GUÍA CIS DE HARDENING Y SEGURIDAD DE LA CONFIGURACIÓN

By Keren Pollack, on June 22nd, 2021

El Centro para la Seguridad de Internet (CIS) recientemente publicó una versión actualizada para los controles CIS – Controles CIS v8. Los controles CIS, un conjunto de pautas de seguridad, son el estándar a seguir para organizaciones que enfrentan problemas de seguridad de datos. Estos controles se desarrollaron para simplificar y ayudar a los equipos de seguridad y operaciones de TI a permanecer enfocados en lo esencial.

 

El CIS actualiza su recomendación de acuerdo con los cambios y nuevos descubrimientos en el campo de la seguridad de la información. La octava versión de los controles CIS se publicó en mayo de 2021. En esta versión, el CIS cambia un poco la perspectiva en torno a la seguridad básica y el hardening de sistemas.

 

En esta publicación, presentaremos las recomendaciones de CIS para la seguridad básica y lo que ha cambiado con respecto a las versiones anteriores.

 

CONTROL CIS NÚM 4: CONFIGURACIÓN SEGURA DE ACTIVOS Y SOFTWARE EMPRESARIALES

“Establecer y mantener la configuración segura de los activos de la empresa (dispositivos de usuario final, incluidos portátiles y móviles; dispositivos de red; dispositivos no informáticos / IoT; y servidores) y software (sistemas operativos y aplicaciones)”.

 

Con este control se trata de asegurar la configuración de cualquier componente configurable en su sistema, hardware y software. La implementación de configuraciones seguras es extremadamente compleja. Requiere personal multidisciplinario que analice potencialmente cientos o miles de posibilidades para tomar la decisión correcta. Además, una vez que se implementan los cambios de configuración, deben administrarse continuamente, ya que el sistema cambia constantemente y surgen nuevas vulnerabilidades.

 

Hay pocas opciones de herramientas de hardening que pueden ayudarlo a lograr una infraestructura reforzada, pero solo algunas de ellas están dedicadas solo al hardening (endurecimiento). Es muy recomendable automatizar el hardening de los sistemas. El uso de herramientas no automatizadas probablemente resultará en uno de dos escenarios: 1. Máquinas críticas no configuradas de la manera más segura, aumentando la superficie de ataque de la organización. 2. Tiempo de inactividad de las máquinas críticas debido al uso de herramientas manuales en tareas tan complejas.

 

Según los controles de CIS, se requieren 12 acciones para lograr una línea base segura:

  1. ESTABLECER Y MANTENER UN PROCESO DE CONFIGURACIÓN SEGURO

Esto se refiere a todos los activos de la empresa (dispositivos de usuario final, incluidos los portátiles y móviles; dispositivos no informáticos / IoT; y servidores) y software (sistemas operativos y aplicaciones).

 

El proceso de asegurar configuraciones tiene 3 etapas:

  1. La creación de una política de seguridad de la configuración: cada tipo de componente del sistema, función, versión y entorno debe tener su propia política. Las políticas deben actualizarse anualmente o cuando se produzca un cambio significativo en la organización. Las políticas deben basarse en las mejores prácticas de seguridad de la configuración, como los Benchmarks de CIS.

 

  1. Prueba e implementación de la política: una vez que se aprueba la política, se debe implementar en su versión aprobada. Cualquier desviación debe tratarse como una excepción. Esta etapa impone un gran desafío técnico y puede causar graves daños a la organización si no se gestiona correctamente. El principal peligro en esta etapa es provocar cortes de producción como resultado de cambios de configuración. La política deseada afectará a sus máquinas y, para evitar interrupciones en la producción, debe comprender el impacto potencial de su política antes de aplicarla. Por lo tanto, cada política debe probarse antes de pasar a producción. El objetivo de la prueba es generar un informe de análisis de impacto que indicará el impacto de cada cambio de configuración en la funcionalidad de la máquina. Este análisis de impacto es crucial, o seguramente se producirán interrupciones en la operación.

 

  1. Supervisión de la postura de cumplimiento: invertir esfuerzos en el hardening adecuado de los servidores no es suficiente. Se requiere una supervisión y un mantenimiento continuo, ya que el entorno de producción cambia constantemente y se descubren nuevas vulnerabilidades. Además, puede descubrir actividad maliciosa al monitorear la postura de cumplimiento. Se puede ahorrar mucho tiempo y dinero al adoptar hábitos saludables que evitarán la necesidad de fortalecer su infraestructura desde cero cada pocos años.

 

Como aparece en el CIS Control v7.1:

5.1 Establecer configuraciones seguras.

5.4 Implementar la herramienta de gestión de la configuración del sistema.

14.3 Desactive la comunicación de estación de trabajo a estación de trabajo.

 

  1. ESTABLECER Y MANTENER UN PROCESO DE CONFIGURACIÓN SEGURO PARA LA INFRAESTRUCTURA DE RED

Establezca el mismo proceso mencionado anteriormente en dispositivos de red.

 

Como aparece en el CIS Control v7.1:

11.1 Mantener configuraciones de seguridad estándar para dispositivos de red,

11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios

 

  1. CONFIGURAR EL BLOQUEO AUTOMÁTICO DE SESIONES EN ACTIVOS EMPRESARIALES

El valor predeterminado de Bloqueo Automático de Sesión en la mayoría de los sistemas operativos (SO) es Desactivado o No Definido.

 

Se recomienda configurar el Tiempo de Bloqueo para que no sea más de 15 minutos en el sistema operativo de uso general y no más de 2 minutos en un dispositivo móvil de usuario final. Esto ayudará a evitar el acceso de usuarios no autorizados cuando un único usuario se vaya sin bloquear el escritorio.

 

Como aparece en el CIS Control v7.1:

  • Bloquee Sesiones de la Estación de Trabajo Después de Inactividad.

 

  1. IMPLEMENTAR Y GESTIONAR UN FIREWALL EN SERVIDORES

Los firewalls son parte de los cimientos de la ciberseguridad de la organización. Pero debe tener en cuenta que esta herramienta tiene sus propias debilidades de seguridad. Por tanto, es importante no depositar toda la confianza en él y ser consciente de cómo está configurado y cómo se puede utilizar de forma malintencionada. A continuación, se muestran algunos ejemplos de vulnerabilidades de los firewalls:

  1. Errores de configuración: la configuración incorrecta de su firewall hará que sea muy fácil para un atacante tomar esta herramienta de seguridad y aprovecharla para violar su red. Es común ver errores como que el enrutamiento dinámico está Habilitado.
  2. Parches no aplicados: esto suele ser el resultado de una mala gestión del firewall. Un firewall sin parches es una puerta abierta para los atacantes a su organización.
  3. Amenaza interna: el firewall no será útil para ataques que se originen dentro de su organización a menos que tenga un firewall interno.

 

 Como aparece en el CIS Control v7.1:

9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados,

9.4 Aplicar firewalls basados ​​en host o filtrado de puertos,

12.4 Denegar la comunicación a través de puertos no autorizados,

11.2 Documentar las Reglas de Configuración de Tráfico

 

  1. IMPLEMENTAR Y GESTIONAR UN FIREWALL EN DISPOSITIVOS DE USUARIO FINAL

Los firewalls en dispositivos de usuario final son la primera línea de defensa contra los ataques de penetración. El trabajo del firewall personal es: 1. filtrar el tráfico entrante y bloquear código sospechoso. 2. Filtrar los mensajes enviados que puedan dañar al destinatario. 3. Evitar que los atacantes utilicen puertos lógicos.

 

Como aparecen en el CIS Control v7.1:

9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados

9.4 Aplicar firewalls basados ​​en host o filtrado de puertos

12.4 Denegar la comunicación a través de puertos no autorizados

11.2 Documentar las Reglas de Configuración de Tráfico

 

  1. GESTIONAR DE FORMA SEGURA LOS ACTIVOS Y EL SOFTWARE DE LA EMPRESA

Los ejemplos de las mejores prácticas para esta sección son:

  1. Establezca una política de hardening que sea específica no solo para el tipo de infraestructura, sino también para su versión. Lo que significa que, por ejemplo, la política de protección de Windows Server 2016 debería ser diferente de la política de protección de Windows Server 2019.
  2. Utilice solo protocolos de red seguros. Por ejemplo, intente desestimar el uso de HTTP siempre que sea posible.
  3. Intente evitar el uso de protocolos inseguros (Telnet, por ejemplo).

 

Como aparece en el CIS Control v7.1:

Esta sección es nueva. No se publicaron recomendaciones similares en el CIS Control v7.

 

  1. ADMINISTRAR CUENTAS PREDETERMIANDAS (DEFAULT) EN ACTIVOS Y SOFTWARE EMPRESARIALES

Las cuentas predeterminadas tienen scripts estándar que establecen su contraseña. Esto da como resultado que todos los sistemas de los entornos utilicen la misma contraseña.

 

Tomemos, por ejemplo, las cuentas predeterminadas de administrador. La razón por la que sus activos tienen esta opción es para que la utilice en la configuración inicial o como una cuenta de recuperación ante desastres. Cuando no se utilice para estos fines, debe desactivarse. Si necesita usarla para la recuperación o para iniciar en modo seguro, la cuenta se volverá a habilitar automáticamente para usarla en las herramientas de solución de problemas.

 

Al permitir que las personas usen la cuenta predeterminada, perderá la capacidad de auditar sus acciones. Esto hará que la tarea de encontrar la fuente en caso de un ataque sea imposible.

 

Como aparece en el CIS Control v7.1:

4.2 Cambiar Contraseñas Predeterminadas

 

  1. DESINSTALAR O DESHABILITAR SERVICIOS INNECESARIOS EN ACTIVOS Y SOFTWARE EMPRESARIALES

No todos los componentes del sistema requieren todas las funcionalidades. Si bien el interés del fabricante es permitir tantas funcionalidades como sea posible, a menudo no viene acompañada de la seguridad necesaria. Muchos servicios exponen a la organización a vulnerabilidades. Por ejemplo, RDP es una de las herramientas más frecuentemente usada que los atacantes aprovechan estos días. Aunque hay formas de configurar RDP de manera más segura, la mejor práctica será deshabilitarlo donde no sea necesario.

 

El principal desafío al aplicar esta recomendación es generar un informe de análisis de impacto para entender qué servicio se necesita y dónde. En este caso, tiene dos opciones:

  1. Utilizar herramientas de automatización que conocerán su red y le informarán automáticamente cuál será el impacto de cada cambio.
  2. Probar manualmente el impacto de cada cambio en su ambiente de producción. Esto requerirá que simule todos los tipos de componentes y entornos del sistema, y comience a probar cada cambio. Le llevará muchas horas y, por lo general, dará lugar a errores humanos que provocarán tiempo de inactividad.

 

Puede encontrar aquí todas las herramientas, tanto pagas como gratuitas, disponibles para esta tarea.

 

Como aparece en el CIS Control v7.1:

Algunas de las recomendaciones de esta sección son nuevas. El resto aparece aquí:

9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados.

15.6 Deshabilitar la capacidad de comunicación inalámbrica punto a punto en clientes inalámbricos.

15.9 Deshabilitar el acceso de dispositivos periféricos inalámbricos.

15.4 Deshabilitar el acceso inalámbrico en dispositivos si no es necesario.

 

  1. CONFIGURAR SERVIDORES DNS DE CONFIANZA EN ACTIVOS EMPRESARIALES

El Servidor de Nombres de Dominio (DNS) es un componente clave de la interfaz de una organización con Internet y las redes IP. Las siguientes son recomendaciones publicadas por el Instituto SANS para la Defensa del DNS:

  1. Manténgase actualizado con los últimos parches y compilaciones publicadas.
  2. Separe los servidores DNS internos de los externos.
  3. Desactive la recursividad.
  4. Intente provisionar servidores DNS que solo estén dedicados a un único propósito.
  5. Diversifique las ubicaciones de sus servidores DNS para ayudar a prevenir ataques DoS.
  6. Restrinja la transferencia de zona.
  7. Autentifique la transferencia de zona.
  8. Restrinja las actualizaciones dinámicas.
  9. Oculte la versión BIND del servidor.
  10. Restrinja el acceso externo a los servidores DNS mediante consultas para clientes con direcciones IP públicas.

 

Como aparece en el CIS Control v7.1:

Esta sección es nueva. No se publicaron recomendaciones similares en CIS Control v7.

 

  1. APLICAR EL BLOQUEO AUTOMÁTICO DE DISPOSITIVOS EN DISPOSITIVOS PORTÁTILES DE USUARIO FINAL

El número recomendado de intentos fallidos varía según el tipo de dispositivo. Para laptops el número de intentos fallidos no debe ser mayor a 20. Para tabletas y teléfonos inteligentes, el número de intentos fallidos no debe ser mayor a 10.

 

Puede utilizar herramientas como InTune Device Lock para dispositivos Microsoft y Apple Configuration Profile maxFailedAttempts para Apple®.

 

Como aparece en el CIS Control v7.1:

Esta sección es nueva. No se publicaron recomendaciones similares en CIS Control v7.

 

  1. APLICAR Y HACER CUMPLIR LA CAPACIDAD DE LIMPIEZA REMOTA EN DISPOSITIVOS PORTÁTILES DE USUARIO FINAL

Esto es especialmente importante en casos de dispositivos perdidos o robados. También es una buena práctica para manejar un dispositivo de un exempleado al que desea prohibir el acceso a los datos de la organización.

 

Como aparece en el CIS Control v7.1:

Esta sección es nueva. No se publicaron recomendaciones similares en el CIS Control v7.

 

  1. SEPARE ESPACIOS DE TRABAJO EMPRESARIALES EN DISPOSITIVOS MÓVILES DE USUARIO FINAL

Aspire a aislar tanto como sea posible el espacio de trabajo móvil de su empleado y el de uso personal. Esto reducirá el riesgo de que los atacantes aprovechen las actividades personales de los empleados para acceder a su red.

 

Como aparece en el CIS Control v7.1:

Esta sección es nueva. No se publicaron recomendaciones similares en el CIS Control v7.