Home
About
Archives
Contactenos
Ayuda | Help

04 2018

10 leyes inmutables de la administracion de seguridad

www.radians.com.arHace unos años Microsoft y Scott Culp (administrador de programa de seguridad en el Centro de respuesta de seguridad de Microsoft), publicaron una serie de leyes de seguridad en donde detallaba varios de los errores comunes o los temas donde puntualmente hay que tener cuidado y verificar que no realicemos los errores comunes. Hoy vamos a revisarla y darla a conocer ya que muchos no tenian idea de estas recomendaciones.

Generalmente los administradores tienen su propio conjunto de leyes inmutables, una que está completamente separada de la lista para los usuarios. Entonces, analizamos a los administradores de redes, gurús de seguridad y otras personas aquí en Microsoft, y desarrollamos la lista que sigue, que encapsula literalmente cientos de años de experiencia ganada con esfuerzo.

Como en el caso de las leyes inmutables para los usuarios, las leyes en esta lista reflejan la naturaleza básica de la seguridad, en lugar de cualquier problema específico del producto. No busquemos un parche de un proveedor, ya que estas leyes no son el resultado de un defecto tecnológico. En su lugar, debemos usar el sentido común y una planificación exhaustiva para convertirlos en su ventaja.

Ley # 1: Nadie cree que algo malo pueda sucederles, hasta que lo haga

www.radians.com.arMuchas personas son socios involuntarios en seguridad informática. Esto no se debe a que estén deliberadamente tratando de poner en peligro la red; simplemente tienen una agenda diferente a la suya. La razón por la que su empresa tiene una red es porque le permite a su compañía hacer negocios, y sus usuarios se enfocan en los negocios de su compañía más que en los caprichos de la seguridad informática. Muchos usuarios no pueden concebir por qué alguien se puede tomar la molestia de enviarles un correo electrónico malicioso o de intentar descifrar su contraseña, pero un atacante solo necesita encontrar un enlace débil para penetrar en su red.

Como resultado, depender de medidas voluntarias para mantener su red segura es probable que no sea un comienzo. Necesita la autoridad para exigir seguridad en la red. Trabaje con el equipo de administración de su empresa para desarrollar una política de seguridad que describa específicamente el valor de la información en su red y los pasos que la compañía está dispuesta a tomar para protegerla. Luego desarrolle e implemente medidas de seguridad en la red que reflejen esta política.

Ley # 2: La seguridad solo funciona si la forma segura también es la manera más fácil

Como discutimos en la Ley n. ° 1, necesita la autoridad para exigir seguridad en la red. Sin embargo, la otra cara de la moneda es que si conviertes la red en un estado policial, es probable que enfrentes un levantamiento. Si sus medidas de seguridad obstaculizan los procesos comerciales de su empresa, sus usuarios pueden incumplirlas. De nuevo, esto no se debe a que sean maliciosos, es porque tienen trabajos que hacer. El resultado podría ser que la seguridad general de su red sería en realidad menor después de implementar políticas más estrictas.

Hay tres cosas clave que puede hacer para evitar que sus usuarios se conviertan en cómplices involuntarios de los hackers.

  • Asegúrese de que la política de seguridad de su empresa sea razonable y logre un equilibrio entre seguridad y productividad. La seguridad es importante, pero si su red es tan segura que nadie puede realizar ningún trabajo, realmente no ha realizado un servicio para su empresa.
  • Busque maneras de hacer que sus procesos de seguridad tengan valor para sus usuarios. Por ejemplo, si tiene una política de seguridad que exige que las firmas de virus se actualicen una vez por semana, no espere que los usuarios hagan las actualizaciones manualmente. En cambio, considere usar un mecanismo de "empuje" para hacerlo automáticamente. A los usuarios les gustará la idea de tener escáneres de virus actualizados, y el hecho de que no tengan que hacer nada hace que sea doblemente popular.
  • En los casos en que debe imponer una medida de seguridad restrictiva, explique a sus usuarios por qué es necesario. Es increíble lo que la gente aguantará cuando saben que es por una buena causa.

Ley n. ° 3: si no se mantiene al día con las soluciones de seguridad, su red no será suya por mucho tiempo

www.radians.com.arEs una realidad: el software contiene errores. Algunos de estos errores involucran seguridad, y hay una gran cantidad de personas de mala reputación buscándolos activamente con la esperanza de usarlos en su contra. No importa cuán segura sea su red hoy en día, podría cambiar de la noche a la mañana si se descubre una vulnerabilidad particularmente grave. Incluso podría ocurrir si se descubren una serie de vulnerabilidades menos serias que se pueden usar en tándem, en un ataque que es mayor que la suma de sus partes. Es vital que te mantengas al tanto del mundo táctico de la seguridad y que bloquees los agujeros en tu armadura cada vez que encuentres una.

La buena noticia es que hay muchas herramientas para ayudarlo a hacer esto. Las listas de correo de seguridad como NTBugTraq , BugTraq y Win2kSecAdvice son una excelente forma de conocer los últimos ataques. Además, muchos proveedores de software (incluido Microsoft ) han desarrollado procesos de respuesta de seguridad para investigar y corregir vulnerabilidades. Asegúrese de verificar nuevos boletines con frecuencia. (Microsoft proporciona un servicio de notificación que permite a los suscriptores recibir todos los boletines de seguridad por correo electrónico minutos después de la publicación, y también ha desarrollado una herramienta que permite a los servidores de IIS 5.0 verificar constantemente que se instalen los últimos parches). Y no olvide los paquetes de servicios, son una de las mejores maneras de asegurarse de que esté lo más seguro posible.

Ley n. ° 4: no hace mucho bien instalar arreglos de seguridad en una computadora que nunca se aseguró para empezar

Imagina que eres un visigodo y estás explorando un castillo que tú y el resto de la horda planean saquear y saquear. Desde tu escondite en el bosque, ves que hay un verdadero ejército de siervos que realizan tareas de mantenimiento en las defensas del castillo: están reparando grietas en el mortero, afilando los puntos en el chevaux de frise y rellenando las cubas de aceite hirviendo . Ahora te escabulles hacia la parte trasera del castillo y descubres que ¡no hay parte trasera del castillo! ¡Nunca lo construyeron! ¿Cuánto va a hacer todo el mantenimiento en el frente del castillo cuando tú y la horda atacan por la retaguardia?

Del mismo modo, ¿de qué sirven los parches de seguridad si tiene una contraseña de administrador débil en su controlador de dominio? ¿O si has compartido el disco duro de tu servidor web con el mundo? ¿O si ha habilitado la cuenta de Invitado en el servidor de nómina de su compañía? El momento de bloquear una máquina es antes de que esté conectada a la red. Si esto parece demasiado trabajo, considere que, si un malo pasa por la máquina, tendrá que reconstruirlo de todos modos. Microsoft proporciona listas de verificación de seguridad que facilitan el bloqueo de sus máquinas, así como una herramienta de bloqueo de seguridad que puede usar para proteger automáticamente los servidores web de IIS 5.0. No es mucho más fácil que eso.

Ley # 5: La vigilancia eterna es el precio de la seguridad

De acuerdo, entonces lee las Leyes 3 y 4 y te da palmadas en la espalda. Has hecho todo bien: aseguraste tus máquinas antes de ponerlas en producción, tienes instalado el último Service Pack y has estado aplicando diligentemente parches de seguridad. Debes estar seguro, ¿verdad? Bueno, tal vez, pero tal vez no. Incluso en estas condiciones, un usuario malintencionado podría atacar su red. Por ejemplo, podría montar ataques de inundación y simplemente enviar un gran número de solicitudes legítimas a un servidor para utilizar todos sus recursos. O podría llevar a cabo ataques de adivinación de contraseñas con fuerza bruta. Ni los parches de seguridad ni las configuraciones de máquina pueden evitar totalmente ataques como estos, porque las actividades del tipo malo, aunque son maliciosas, no son inválidas.

Sin embargo, tienes un arma: los registros de eventos. Le darán información sobre quién está utilizando los recursos del sistema, qué están haciendo y si la operación tuvo éxito o falló. Una vez que sepa quién hace qué, puede tomar las medidas adecuadas. Si alguien está inundando su sistema, puede bloquear las solicitudes desde sus direcciones IP. Si alguien está tratando de usar fuerza bruta en sus cuentas, puede deshabilitar las que están en riesgo, configurar "trampas de miel" para atraparlo, o aumentar el intervalo de bloqueo en las cuentas. En resumen, el registro de eventos le permite medir el estado de sus sistemas y determinar el curso de acción correcto para mantenerlos seguros.

Tenga cuidado al configurar los registros de eventos: puede auditar fácilmente tantos eventos que excederá su capacidad de analizar los datos. Planifique cuidadosamente los eventos que necesita para iniciar sesión y si necesita auditar solo éxitos, fracasos o ambos. Las listas de verificación de seguridad incluyen configuraciones sugeridas a este respecto. Finalmente, tenga en cuenta que los datos no servirán de nada a menos que lo use. Establezca procedimientos para verificar regularmente los registros. Si tiene demasiadas máquinas para verificarlas todas usted mismo, considere comprar una herramienta de minería de datos de terceros que analizará automáticamente los registros de los indicadores conocidos de que su sistema está siendo atacado.

Ley n. ° 6: realmente hay alguien tratando de adivinar sus contraseñas

Las contraseñas son un ejemplo clásico de que su sistema es tan seguro como la parte más débil de sus defensas. Una de las primeras cosas que un atacante puede probar es la solidez de sus contraseñas, por dos razones:

  • Son extraordinariamente valiosos. Independientemente de las otras prácticas de seguridad que sigas, si un chico malo puede aprender solo la contraseña de un usuario, puede obtener acceso a tu red. Desde allí, tiene una posición perfecta desde la cual montar ataques adicionales.
  • Las contraseñas son "frutas bajas". La mayoría de las personas eligen contraseñas pésimas. Escogerán una palabra fácil de adivinar y nunca la cambiarán. Si se ve obligado a elegir una contraseña más difícil, muchos usuarios la escribirán. (Esto también se conoce como la vulnerabilidad "almohadilla adhesiva amarilla"). No es necesario ser un genio técnico para descifrar la cuenta de alguien si ya conoce su contraseña.

A menos que pueda aplicar una política de contraseña segura, nunca podrá proteger su red. Establezca la longitud mínima de la contraseña, la complejidad de la contraseña y las políticas de caducidad de la contraseña en su red. (Windows 2000, por ejemplo, le permitirá configurar estos como parte de la Política de grupo). Además, use el bloqueo de la cuenta y asegúrese de auditar los intentos fallidos de inicio de sesión. Finalmente, asegúrese de que sus usuarios comprendan por qué es una mala práctica escribir sus contraseñas. Si necesita una demostración, obtenga la aprobación de la administración para recorrer periódicamente las oficinas de sus usuarios y verifique la temida nota adhesiva con una contraseña escrita en ella. No haga una búsqueda intrusiva, solo revise el cajón superior del escritorio, la parte inferior del teclado y la mesa de escritura extraíble que se encuentra en muchos escritorios. Si su empresa es como la mayoría, se sorprenderá de la cantidad que encontrará.

Además de fortalecer las contraseñas en su sistema, también puede considerar el uso de una forma más sólida de autenticación que las contraseñas. Por ejemplo, las tarjetas inteligentes pueden mejorar significativamente la seguridad de su red, ya que la persona debe tener tanto un PIN como la posesión física de la tarjeta para poder iniciar sesión. La autenticación biométrica lleva esta seguridad a un nivel aún más alto, ya que el elemento que se usa para iniciar sesión (huella digital, retina, voz, etc.) es parte de usted y nunca se puede perder. Elija lo que elija, asegúrese de que su proceso de autenticación proporcione un nivel de seguridad acorde con el resto de las medidas de seguridad de su red.

Ley # 7: la red más segura es una bien administrada

www.radians.com.arLa mayoría de los ataques exitosos no implican un defecto en el software. En cambio, explotan configuraciones erróneas, por ejemplo, permisos que se redujeron durante la resolución de problemas pero nunca se restablecieron, una cuenta que se creó para un empleado temporal pero nunca se deshabilitó cuando salió, una conexión directa a Internet que alguien configuró sin aprobación, y así sucesivamente. Si sus procedimientos son descuidados, puede ser difícil o imposible hacer un seguimiento de estos detalles, y el resultado será más agujeros para que un chico malo se deslice.

La herramienta más importante aquí no es una herramienta de software, son los procedimientos. Tener procedimientos específicos y documentados es una necesidad absoluta. Como de costumbre, comienza con la política de seguridad corporativa, que debe detallar, en un nivel amplio, quién es responsable de cada parte de la red y la filosofía general que rige el despliegue, la gestión y el funcionamiento de la red. Pero no se detenga con la política corporativa de alto nivel. Cada grupo debe refinar la política y desarrollar procedimientos operativos para su área de responsabilidad. Cuanto más específicos sean estos procedimientos, mejor. ¡Y escríbelos! Si sus procedimientos existen solo como tradición oral, se perderán a medida que cambie su personal de TI.

A continuación, considere configurar un "Equipo rojo", cuyo único trabajo es buscar en la red posibles problemas de seguridad. Los Equipos Rojos pueden mejorar inmediatamente la seguridad aportando una nueva mirada al problema. Pero también puede haber un beneficio secundario. Es mucho más probable que los operadores de red piensen en seguridad en primer lugar si hay un Equipo Rojo al acecho, aunque solo sea porque nadie quiere que el Equipo Rojo se presente en su oficina para hablar sobre el último problema de seguridad que encontraron.

Ley # 8: la dificultad de defender una red es directamente proporcional a su complejidad

Esta ley está relacionada con la Ley # 7 -las redes más complejas son ciertamente más difíciles de administrar- pero va más allá de solo administrarla. El punto crucial aquí es la arquitectura misma. Aquí hay algunas preguntas que debe hacerse:

  • ¿Cómo son las relaciones de confianza entre los dominios de su red? ¿Son directos y fáciles de entender, o se parecen a los espaguetis? Si es el último, hay muchas posibilidades de que alguien pueda abusar de ellos para obtener privilegios que usted no pretende que tengan.
  • ¿Conoces todos los puntos de acceso a tu red? Si uno de los grupos en su empresa tiene, por ejemplo, configurar un FTP público o un servidor web, podría proporcionar una puerta trasera a su red.
  • ¿Tiene un acuerdo de asociación con otra empresa que permita que los usuarios de su red entren en su red? Si es así, la seguridad de su red es efectivamente la misma que la de la red asociada.

Adopte la frase "pocos y bien controlados" como su mantra para la administración de la red. Relaciones de confianza? Pocos y bien controlados. Puntos de acceso de red? Pocos y bien controlados. Usuarios? Pocos y bien controlados, ¡es broma! El punto es que no puedes defender una red que no entiendes.

Ley # 9: La seguridad no se trata de evitar riesgos; se trata de la gestión de riesgos

Uno de los tópicos más citados con más frecuencia en seguridad informática es que la única computadora verdaderamente segura es una que está enterrada en concreto, con la energía apagada y el cable de red cortado. Es verdad, cualquier cosa menos es un compromiso. Sin embargo, una computadora así, aunque segura, no ayuda a su empresa a hacer negocios. Inevitablemente, la seguridad de cualquier red útil será menos que perfecta, y debe tener esto en cuenta en su planificación.

Su objetivo no puede ser evitar todos los riesgos para la red; eso es simplemente irreal. En cambio, acepta y acepta estas dos verdades innegables:

  • Habrá ocasiones en que los imperativos comerciales entren en conflicto con la seguridad. La seguridad es una actividad de apoyo para su negocio en lugar de un fin en sí mismo. Tome los riesgos considerados y luego mitítelos en la mayor medida posible.
  • La seguridad de su red se verá comprometida. Puede ser un error menor o un desastre de buena fe, puede ser debido a un atacante humano o un acto de Dios, pero tarde o temprano su red se verá comprometida de alguna manera. Asegúrese de haber realizado planes de contingencia para detectar, investigar y recuperarse del compromiso.

El lugar para tratar estos dos problemas está en su política de seguridad. Trabaje con la administración corporativa para establecer las pautas generales con respecto a los riesgos que está dispuesto a asumir y cómo pretende gestionarlos. Desarrollar la política lo obligará a usted y a su gerencia corporativa a considerar escenarios en los que la mayoría de la gente preferiría no pensar, pero el beneficio es que cuando ocurre uno de estos escenarios, ya tendrá una respuesta.

Ley # 10: La tecnología no es una panacea

Si ha leído Las 10 leyes inmutables de la seguridad , reconocerá esta ley: es la última ley en esa lista también. La razón por la que está en ambas listas es porque se aplica igualmente bien a los usuarios de la red y a los administradores, y es igualmente importante que ambos tengan en cuenta.

La tecnología en sí misma no es suficiente para garantizar la seguridad. Es decir, nunca habrá un producto que simplemente pueda desempaquetar, instalar en su red y obtener una seguridad perfecta al instante. En cambio, la seguridad es el resultado tanto de la tecnología como de la política, es decir, es la forma en que se utiliza la tecnología que, en última instancia, determina si su red es segura. Microsoft ofrece la tecnología, pero solo usted y su administración corporativa pueden determinar las políticas correctas para su empresa. Plan de seguridad temprano. Comprenda qué quiere proteger y qué está dispuesto a hacer para protegerlo. Finalmente, desarrolle planes de contingencia para emergencias antes de que sucedan. Planifique minuciosamente con tecnología sólida y tendrá una gran seguridad.

Espero les sea de interes y utilidad. Saludos, Roberto Di Lello

Si te parecio util la informacion del blog hace click en el boton "DONATE" o Ayudar al Blog - DONAR Si te ha gustado este post, por favor considera Dejar un Comentario o Suscribirse a este sitio por medio de RSS para tener los futuros artículos desarrollados en su lector de feeds.

Dejar un comentario

« »