GUÍA CIS DE HARDENING Y SEGURIDAD DE LA CONFIGURACIÓN

El Centro para la Seguridad de Internet (CIS) recientemente publicó una versión actualizada para los controles CIS – Controles CIS v8. Los controles CIS, un conjunto de pautas de seguridad, son el estándar a seguir para organizaciones que enfrentan problemas de seguridad de datos. Estos controles se desarrollaron para simplificar y ayudar a los equipos de seguridad y operaciones de TI a permanecer enfocados en lo esencial.

El CIS actualiza su recomendación de acuerdo con los cambios y nuevos descubrimientos en el campo de la seguridad de la información. La octava versión de los controles CIS se publicó en mayo de 2021. En esta versión, el CIS cambia un poco la perspectiva en torno a la seguridad básica y el hardening de sistemas.

En esta publicación, presentaremos las recomendaciones de CIS para la seguridad básica y lo que ha cambiado con respecto a las versiones anteriores.

CONTROL CIS NÚM 4: CONFIGURACIÓN SEGURA DE ACTIVOS Y SOFTWARE EMPRESARIALES

"Establecer y mantener la configuración segura de los activos de la empresa (dispositivos de usuario final, incluidos portátiles y móviles; dispositivos de red; dispositivos no informáticos / IoT; y servidores) y software (sistemas operativos y aplicaciones)".

Con este control se trata de asegurar la configuración de cualquier componente configurable en su sistema, hardware y software. La implementación de configuraciones seguras es extremadamente compleja. Requiere personal multidisciplinario que analice potencialmente cientos o miles de posibilidades para tomar la decisión correcta. Además, una vez que se implementan los cambios de configuración, deben administrarse continuamente, ya que el sistema cambia constantemente y surgen nuevas vulnerabilidades.

Hay pocas opciones de herramientas de hardening que pueden ayudarlo a lograr una infraestructura reforzada, pero solo algunas de ellas están dedicadas solo al hardening (endurecimiento). Es muy recomendable automatizar el hardening de los sistemas. El uso de herramientas no automatizadas probablemente resultará en uno de dos escenarios: 1. Máquinas críticas no configuradas de la manera más segura, aumentando la superficie de ataque de la organización. 2. Tiempo de inactividad de las máquinas críticas debido al uso de herramientas manuales en tareas tan complejas.

Según los controles de CIS, se requieren 12 acciones para lograr una línea base segura:

ESTABLECER Y MANTENER UN PROCESO DE CONFIGURACIÓN SEGURO

Esto se refiere a todos los activos de la empresa (dispositivos de usuario final, incluidos los portátiles y móviles; dispositivos no informáticos / IoT; y servidores) y software (sistemas operativos y aplicaciones).

El proceso de asegurar configuraciones tiene 3 etapas:

La creación de una política de seguridad de la configuración: cada tipo de componente del sistema, función, versión y entorno debe tener su propia política. Las políticas deben actualizarse anualmente o cuando se produzca un cambio significativo en la organización. Las políticas deben basarse en las mejores prácticas de seguridad de la configuración, como los Benchmarks de CIS.

Prueba e implementación de la política: una vez que se aprueba la política, se debe implementar en su versión aprobada. Cualquier desviación debe tratarse como una excepción. Esta etapa impone un gran desafío técnico y puede causar graves daños a la organización si no se gestiona correctamente. El principal peligro en esta etapa es provocar cortes de producción como resultado de cambios de configuración. La política deseada afectará a sus máquinas y, para evitar interrupciones en la producción, debe comprender el impacto potencial de su política antes de aplicarla. Por lo tanto, cada política debe probarse antes de pasar a producción. El objetivo de la prueba es generar un informe de análisis de impacto que indicará el impacto de cada cambio de configuración en la funcionalidad de la máquina. Este análisis de impacto es crucial, o seguramente se producirán interrupciones en la operación.

Supervisión de la postura de cumplimiento: invertir esfuerzos en el hardening adecuado de los servidores no es suficiente. Se requiere una supervisión y un mantenimiento continuo, ya que el entorno de producción cambia constantemente y se descubren nuevas vulnerabilidades. Además, puede descubrir actividad maliciosa al monitorear la postura de cumplimiento. Se puede ahorrar mucho tiempo y dinero al adoptar hábitos saludables que evitarán la necesidad de fortalecer su infraestructura desde cero cada pocos años.

Como aparece en el CIS Control v7.1:

5.1 Establecer configuraciones seguras.

5.4 Implementar la herramienta de gestión de la configuración del sistema.

14.3 Desactive la comunicación de estación de trabajo a estación de trabajo.

ESTABLECER Y MANTENER UN PROCESO DE CONFIGURACIÓN SEGURO PARA LA INFRAESTRUCTURA DE RED

Establezca el mismo proceso mencionado anteriormente en dispositivos de red.

Como aparece en el CIS Control v7.1:

11.1 Mantener configuraciones de seguridad estándar para dispositivos de red,

11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios

CONFIGURAR EL BLOQUEO AUTOMÁTICO DE SESIONES EN ACTIVOS EMPRESARIALES

El valor predeterminado de Bloqueo Automático de Sesión en la mayoría de los sistemas operativos (SO) es Desactivado o No Definido.

Se recomienda configurar el Tiempo de Bloqueo para que no sea más de 15 minutos en el sistema operativo de uso general y no más de 2 minutos en un dispositivo móvil de usuario final. Esto ayudará a evitar el acceso de usuarios no autorizados cuando un único usuario se vaya sin bloquear el escritorio.

Como aparece en el CIS Control v7.1:

Bloquee Sesiones de la Estación de Trabajo Después de Inactividad.

IMPLEMENTAR Y GESTIONAR UN FIREWALL EN SERVIDORES

Los firewalls son parte de los cimientos de la ciberseguridad de la organización. Pero debe tener en cuenta que esta herramienta tiene sus propias debilidades de seguridad. Por tanto, es importante no depositar toda la confianza en él y ser consciente de cómo está configurado y cómo se puede utilizar de forma malintencionada. A continuación, se muestran algunos ejemplos de vulnerabilidades de los firewalls:

Errores de configuración: la configuración incorrecta de su firewall hará que sea muy fácil para un atacante tomar esta herramienta de seguridad y aprovecharla para violar su red. Es común ver errores como que el enrutamiento dinámico está Habilitado.
Parches no aplicados: esto suele ser el resultado de una mala gestión del firewall. Un firewall sin parches es una puerta abierta para los atacantes a su organización.
Amenaza interna: el firewall no será útil para ataques que se originen dentro de su organización a menos que tenga un firewall interno.

Como aparece en el CIS Control v7.1:

9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados,

9.4 Aplicar firewalls basados ??en host o filtrado de puertos,

12.4 Denegar la comunicación a través de puertos no autorizados,

11.2 Documentar las Reglas de Configuración de Tráfico

IMPLEMENTAR Y GESTIONAR UN FIREWALL EN DISPOSITIVOS DE USUARIO FINAL

Los firewalls en dispositivos de usuario final son la primera línea de defensa contra los ataques de penetración. El trabajo del firewall personal es: 1. filtrar el tráfico entrante y bloquear código sospechoso. 2. Filtrar los mensajes enviados que puedan dañar al destinatario. 3. Evitar que los atacantes utilicen puertos lógicos.

Como aparecen en el CIS Control v7.1:

9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados

9.4 Aplicar firewalls basados ??en host o filtrado de puertos

12.4 Denegar la comunicación a través de puertos no autorizados

11.2 Documentar las Reglas de Configuración de Tráfico

GESTIONAR DE FORMA SEGURA LOS ACTIVOS Y EL SOFTWARE DE LA EMPRESA

Los ejemplos de las mejores prácticas para esta sección son:

Establezca una política de hardening que sea específica no solo para el tipo de infraestructura, sino también para su versión. Lo que significa que, por ejemplo, la política de protección de Windows Server 2016 debería ser diferente de la política de protección de Windows Server 2019.
Utilice solo protocolos de red seguros. Por ejemplo, intente desestimar el uso de HTTP siempre que sea posible.
Intente evitar el uso de protocolos inseguros (Telnet, por ejemplo).

Como aparece en el CIS Control v7.1:

Esta sección es nueva. No se publicaron recomendaciones similares en el CIS Control v7.

ADMINISTRAR CUENTAS PREDETERMIANDAS (DEFAULT) EN ACTIVOS Y SOFTWARE EMPRESARIALES

Las cuentas predeterminadas tienen scripts estándar que establecen su contraseña. Esto da como resultado que todos los sistemas de los entornos utilicen la misma contraseña.

Tomemos, por ejemplo, las cuentas predeterminadas de administrador. La razón por la que sus activos tienen esta opción es para que la utilice en la configuración inicial o como una cuenta de recuperación ante desastres. Cuando no se utilice para estos fines, debe desactivarse. Si necesita usarla para la recuperación o para iniciar en modo seguro, la cuenta se volverá a habilitar automáticamente para usarla en las herramientas de solución de problemas.

Al permitir que las personas usen la cuenta predeterminada, perderá la capacidad de auditar sus acciones. Esto hará que la tarea de encontrar la fuente en caso de un ataque sea imposible.

Como aparece en el CIS Control v7.1:

4.2 Cambiar Contraseñas Predeterminadas

DESINSTALAR O DESHABILITAR SERVICIOS INNECESARIOS EN ACTIVOS Y SOFTWARE EMPRESARIALES

No todos los componentes del sistema requieren todas las funcionalidades. Si bien el interés del fabricante es permitir tantas funcionalidades como sea posible, a menudo no viene acompañada de la seguridad necesaria. Muchos servicios exponen a la organización a vulnerabilidades. Por ejemplo, RDP es una de las herramientas más frecuentemente usada que los atacantes aprovechan estos días. Aunque hay formas de configurar RDP de manera más segura, la mejor práctica será deshabilitarlo donde no sea necesario.

El principal desafío al aplicar esta recomendación es generar un informe de análisis de impacto para entender qué servicio se necesita y dónde. En este caso, tiene dos opciones:

Utilizar herramientas de automatización que conocerán su red y le informarán automáticamente cuál será el impacto de cada cambio.
Probar manualmente el impacto de cada cambio en su ambiente de producción. Esto requerirá que simule todos los tipos de componentes y entornos del sistema, y comience a probar cada cambio. Le llevará muchas horas y, por lo general, dará lugar a errores humanos que provocarán tiempo de inactividad.

Puede encontrar aquí todas las herramientas, tanto pagas como gratuitas, disponibles para esta tarea.

Como aparece en el CIS Control v7.1:

Algunas de las recomendaciones de esta sección son nuevas. El resto aparece aquí:

9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados.

15.6 Deshabilitar la capacidad de comunicación inalámbrica punto a punto en clientes inalámbricos.

15.9 Deshabilitar el acceso de dispositivos periféricos inalámbricos.

15.4 Deshabilitar el acceso inalámbrico en dispositivos si no es necesario.

CONFIGURAR SERVIDORES DNS DE CONFIANZA EN ACTIVOS EMPRESARIALES

El Servidor de Nombres de Dominio (DNS) es un componente clave de la interfaz de una organización con Internet y las redes IP. Las siguientes son recomendaciones publicadas por el Instituto SANS para la Defensa del DNS:

Manténgase actualizado con los últimos parches y compilaciones publicadas.
Separe los servidores DNS internos de los externos.
Desactive la recursividad.
Intente provisionar servidores DNS que solo estén dedicados a un único propósito.
Diversifique las ubicaciones de sus servidores DNS para ayudar a prevenir ataques DoS.
Restrinja la transferencia de zona.
Autentifique la transferencia de zona.
Restrinja las actualizaciones dinámicas.
Oculte la versión BIND del servidor.
Restrinja el acceso externo a los servidores DNS mediante consultas para clientes con direcciones IP públicas.

Como aparece en el CIS Control v7.1:

Esta sección es nueva. No se publicaron recomendaciones similares en CIS Control v7.

APLICAR EL BLOQUEO AUTOMÁTICO DE DISPOSITIVOS EN DISPOSITIVOS PORTÁTILES DE USUARIO FINAL

El número recomendado de intentos fallidos varía según el tipo de dispositivo. Para laptops el número de intentos fallidos no debe ser mayor a 20. Para tabletas y teléfonos inteligentes, el número de intentos fallidos no debe ser mayor a 10.

Puede utilizar herramientas como InTune Device Lock para dispositivos Microsoft y Apple Configuration Profile maxFailedAttempts para Apple®.

Como aparece en el CIS Control v7.1:

Esta sección es nueva. No se publicaron recomendaciones similares en CIS Control v7.

APLICAR Y HACER CUMPLIR LA CAPACIDAD DE LIMPIEZA REMOTA EN DISPOSITIVOS PORTÁTILES DE USUARIO FINAL

Esto es especialmente importante en casos de dispositivos perdidos o robados. También es una buena práctica para manejar un dispositivo de un exempleado al que desea prohibir el acceso a los datos de la organización.

Como aparece en el CIS Control v7.1:

Esta sección es nueva. No se publicaron recomendaciones similares en el CIS Control v7.

SEPARE ESPACIOS DE TRABAJO EMPRESARIALES EN DISPOSITIVOS MÓVILES DE USUARIO FINAL

Aspire a aislar tanto como sea posible el espacio de trabajo móvil de su empleado y el de uso personal. Esto reducirá el riesgo de que los atacantes aprovechen las actividades personales de los empleados para acceder a su red.

Como aparece en el CIS Control v7.1:

Esta sección es nueva. No se publicaron recomendaciones similares en el CIS Control v7.

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.

Cookie	Duration	Description
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
__stidv	1 year	This cookie is used by ShareThis. This cookie is used for sharing the content from the website to social networks.

Cookie	Duration	Description
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
_gat	1 minute	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.

Cookie	Duration	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
__stid	1 year	The cookie is set by ShareThis. The cookie is used for site analytics to determine the pages visited, the amount of time spent, etc.

Cookie	Duration	Description
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

GUÍA CIS DE HARDENING Y SEGURIDAD DE LA CONFIGURACIÓN

CONTROL CIS NÚM 4: CONFIGURACIÓN SEGURA DE ACTIVOS Y SOFTWARE EMPRESARIALES

Según los controles de CIS, se requieren 12 acciones para lograr una línea base segura:

ESTABLECER Y MANTENER UN PROCESO DE CONFIGURACIÓN SEGURO

El proceso de asegurar configuraciones tiene 3 etapas:

ESTABLECER Y MANTENER UN PROCESO DE CONFIGURACIÓN SEGURO PARA LA INFRAESTRUCTURA DE RED

CONFIGURAR EL BLOQUEO AUTOMÁTICO DE SESIONES EN ACTIVOS EMPRESARIALES

IMPLEMENTAR Y GESTIONAR UN FIREWALL EN SERVIDORES

IMPLEMENTAR Y GESTIONAR UN FIREWALL EN DISPOSITIVOS DE USUARIO FINAL

GESTIONAR DE FORMA SEGURA LOS ACTIVOS Y EL SOFTWARE DE LA EMPRESA

ADMINISTRAR CUENTAS PREDETERMIANDAS (DEFAULT) EN ACTIVOS Y SOFTWARE EMPRESARIALES

DESINSTALAR O DESHABILITAR SERVICIOS INNECESARIOS EN ACTIVOS Y SOFTWARE EMPRESARIALES

CONFIGURAR SERVIDORES DNS DE CONFIANZA EN ACTIVOS EMPRESARIALES

APLICAR EL BLOQUEO AUTOMÁTICO DE DISPOSITIVOS EN DISPOSITIVOS PORTÁTILES DE USUARIO FINAL

APLICAR Y HACER CUMPLIR LA CAPACIDAD DE LIMPIEZA REMOTA EN DISPOSITIVOS PORTÁTILES DE USUARIO FINAL

SEPARE ESPACIOS DE TRABAJO EMPRESARIALES EN DISPOSITIVOS MÓVILES DE USUARIO FINAL

Subscribe to Email Updates

You might be interested

Experience a personalized demo

Cookie	Duration	Description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 8 months 26 days 14 hours	No description
drift_campaign_refresh	30 minutes	No description
fpestid	1 year	No description
st_samesite	session	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.