Guía de configuración de seguridad y refuerzo básico del CIS

Los controles del CIS v8 han sido revisados y publicados por el Center for Internet Security (CIS). Estos controles son una colección de las mejores prácticas reconocidas por la industria para empresas que se enfrentan a riesgos de seguridad de datos. Estas medidas se crearon para facilitar las cosas y mantener la atención de los equipos de seguridad y operaciones de TI en las tareas cruciales. En la v8, el CIS cambia un poco la perspectiva sobre la seguridad básica y el hardening del sistema.

En este artículo, veremos cómo implementar las recomendaciones del CIS para la seguridad básica y la modificación de versiones anteriores.

Establezca y mantenga un proceso de configuración seguro.
Establezca y mantenga un proceso de configuración seguro para la infraestructura de red.
Configure el bloqueo de sesión automático en activos empresariales.
Implemente y administre un firewall en Servidores.
Implemente y administre un firewall en los dispositivos de los usuarios finales.
Gestione de forma segura los activos y el software de la empresa.
Administre cuentas predeterminadas en activos y software empresariales.
Desinstale o deshabilite los servicios innecesarios en los activos y el software de la empresa.
Configure los servidores DNS de confianza en activos empresariales.
Haga cumplir el bloqueo automático de dispositivos en dispositivos portátiles de usuario final.
Haga cumplir la capacidad de borrado remoto en dispositivos portátiles de usuario final
Habilite espacios de trabajo empresariales separados en dispositivos móviles de usuario final.
Habilite herramientas de hardening automatizado como el elemento más importante de su proyecto de hardening.

Control del CIS #4: ASEGURAR LA CONFIGURACIÓN DE LOS ACTIVOS Y EL SOFTWARE DE LA EMPRESA

Este Control busca proteger la configuración de cualquier sistema ajustable, hardware o componente de software, esto incluye dispositivos de usuario final, incluidos portátiles y móviles; dispositivos de red; dispositivos no informáticos/IoT y servidores. También abarca software (sistemas operativos y aplicaciones). Para seleccionar la mejor opción, los empleados multidisciplinarios deben revisar varias opciones disponibles, y una vez que se implementan los ajustes de configuración, estos se deben mantener ya que el sistema es dinámico y nuevas amenazas se descubren constantemente.

Se puede lograr una infraestructura fortalecida mediante el uso de un número limitado de alternativas de herramientas de hardening. El hardening del sistema debe automatizarse . El uso de herramientas no automatizadas probablemente dará como resultado uno de estos dos escenarios: 1. Las máquinas críticas no están configuradas de la manera más segura, lo que aumenta la superficie de ataque de la organización. 2. El tiempo de inactividad de las máquinas se vuelve crítico debido al uso de herramientas manuales para tareas tan complejas.

De acuerdo con los controles del CIS, se requieren las siguientes 12 acciones para lograr un baseline seguro:

<ID="SECURE">ESTABLECE Y MANTIENE UN PROCESO DE CONFIGURACIÓN SEGURO

Todos los recursos comerciales (hardware de usuario final, dispositivos que no sean computadoras/Internet de las cosas y servidores) y software están cubiertos por este baseline.

La seguridad de la configuración pasa por tres niveles :

Creación de una política de seguridad de configuración: cada tipo de componente del sistema, función, versión y entorno debe tener sus propias políticas. Las políticas deben actualizarse anualmente, o si hay un cambio significativo dentro de la organización. Las políticas deben basarse en las mejores prácticas de seguridad de configuración, como los CIS Benchmarks.
Prueba y aplicación de la política – Una vez autorizada la política, se debe aplicar en la forma en que fue aprobada. Cualquier desviación debe ser tratada como una excepción.
Monitoreo de la postura de cumplimiento: Esforzarse en proteger adecuadamente los servidores es insuficiente.

Aspecto del Control CIS V7.1:

5.1 Establecer configuraciones seguras.

5.4 Implementar una herramienta de gestión de la configuración del sistema.

14.3 Deshabilitar la comunicación entre las estaciones de trabajo.

2) <ID="NETWORK>ESTABLECE Y MANTIENE UN PROCESO DE CONFIGURACIÓN SEGURO PARA LA INFRAESTRUCTURA DE RED

Establece el mismo proceso mencionado anteriormente en los dispositivos de red .

Aspecto de CIS Control V7.1:

11.1 Mantener configuraciones de seguridad estándar para dispositivos de red,

11.3 Usar herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios

3) <ID="SESSION">CONFIGURA EL BLOQUEO AUTOMÁTICO DE SESIÓN EN LOS ACTIVOS DE LA EMPRESA

En la mayoría de los sistemas operativos (OS), los valores posibles del Bloqueo automático de sesión podrían estar Deshabilitado o No definido.

En el sistema operativo de propósito general, se recomienda configurar el tiempo de bloqueo en no más de 15 minutos, pero en dispositivos portátiles de usuario final, no más de 2 minutos.

Aspecto del Controla CIS V7.1:

16.11 Bloquear sesiones de la estación de trabajo después de la inactividad.

4) <ID="FIREWALL">IMPLEMENTA Y GESTIONA UN FIREWALL EN LOS SERVIDORES

Los pilares de ciberseguridad de una empresa incluyen firewalls o cortafuegos . Pero tenga cuidado, porque esta herramienta tiene sus propias fallas de seguridad.

Errores de configuración: si sus firewalls o cortafuegos están mal configurados, un atacante no tendrá problemas para usarlos y violentar la red. Es normal notar errores como la habilitación del enrutamiento dinámico.
Parches faltantes: estos suelen ser el resultado de una mala administración del firewall.
Amenaza interna: sin un firewall interno, la amenaza interna o un firewall no será beneficioso para detectar el origen dentro de su empresa.

Aspecto de los controles CIS V7.1:

9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobado.

9.4 Aplicar firewalls o cortafuegos basados en host o filtrado de puertos.

12.4 Denegar comunicación a través de puertos no autorizados.

11.2 Reglas de configuración del tráfico de documentos.

5) <ID="END">IMPLEMENTA Y GESTIONA UN FIREWALL EN DISPOSITIVOS DE USUARIOS FINALES

La línea inicial de protección contra los ataques de infiltración son los firewalls de los dispositivos de los usuarios finales. La función de un firewall personal es: 1. Filtrar el tráfico entrante y bloquear el código sospechoso. 2. Verificar los mensajes enviados en busca de amenazas para el destinatario. 3. Evitar que los piratas informáticos utilicen puertos lógicos .

Aspecto de los controles CIS V7.1:

9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados.

9.4 Aplique firewalls o cortafuegos basados en host o filtrado de puertos.

12.4 Debe denegar la comunicación en aquellos puertos no autorizados.

11.2 Reglas de configuración del tráfico de documentos.

6) <ID="ASSETS">GESTIONA DE FORMA SEGURA LOS ACTIVOS Y EL SOFTWARE DE LA EMPRESA

Se recomienda poner en práctica:

Establecer una política de hardening que sea particular para el tipo y la versión de la infraestructura. En otras palabras, las políticas de hardening para Windows Server 2016 y 2019 deberían diferir entre sí .
Implemente solo protocolos de red seguros. Trate de evitar el uso de HTTP, por ejemplo, siempre que pueda.
Evite utilizar protocolos inseguros siempre que sea posible.

Aspecto de los controles CIS V7.1 :

Esta sección es nueva. No se publicaron recomendaciones similares en los Controles CIS V7.

7) <ID="DEFAULT">GESTIONA LAS CUENTAS PREDETERMINADAS EN ACTIVOS Y SOFTWARE EMPRESARIALES

Las cuentas estándar obtienen contraseñas únicas establecidas por rutinas integradas. En consecuencia, todos los dispositivos de configuración utilizan la misma contraseña. Por ejemplo, sus activos tienen esta opción para que pueda usarla como una configuración o una cuenta de recuperación de crisis, debe apagarse cuando no esté en uso. La cuenta se volverá a habilitar de inmediato en las herramientas de solución de problemas si necesita usarla para la recuperación o para iniciar en modo seguro.

Aspecto de los Controles CIS V7.1:

4.2 Cambiar contraseñas predeterminadas

8) <ID="UNNECESSARY">DESINSTALA O DESACTIVA SERVICIOS INNECESARIOS EN ACTIVOS Y SOFTWARE EMPRESARIALES

No todos los componentes del sistema necesitan de todas las funciones. Si bien lo mejor para la empresa es permitir tantas funciones como sea posible, por lo general la seguridad no va de la mano con esto.

El mayor problema al implementar este consejo es la producción de un informe de análisis de efectos para determinar qué servicio se requiere y dónde . Este escenario tiene dos opciones:

Utilizar soluciones de automatización que puedan comprender su red y notificarle automáticamente los efectos de cualquier cambio.
Comenzar a evaluar manualmente cómo afectará cada modificación a su producción. Deberá comenzar a probar cada actualización mientras simula varios componentes y situaciones del sistema. Se requerirán horas extendidas y es probable que haya errores humanos que causen interrupciones.

Puede encontrar aquí todas las herramientas disponibles para esta tarea, tanto de pago como gratuitas,.

Aspecto de los Controles CIS V7.1:

Algunas de las recomendaciones de esta sección son nuevas. El resto aparece aquí:

9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados.

15.6 Deshabilite las capacidades de red inalámbrica punto a punto en los clientes inalámbricos.

15.9 Deshabilite el acceso periférico inalámbrico de dispositivos.

15.4 Deshabilite el acceso inalámbrico en dispositivos si no es necesario.

9) <ID="DNS">CONFIGURA SERVIDORES DNS DE CONFIANZA EN LOS ACTIVOS DE LA EMPRESA

La interfaz de una organización con Internet y las redes IP depende principalmente del Servidor de Nombres de Dominio o Domain Name Server (DNS). Las recomendaciones para la defensa del DNS incluyen:

Manténgase actualizado con los últimos parches y compilaciones existentes.
Separe entre servidores de DNS internos y externos.
Deshabilite la recursividad (recursion).
Intente ejecutar servidores DNS que solo estén dedicados a un solo propósito.
Diversifique las ubicaciones de sus servidores DNS para ayudar a prevenir ataques DoS .
Restrinja la transferencia de zona.
Autentique la transferencia de zona.
Restrinja las actualizaciones dinámicas.
Oculte la versión BIND del servidor.
Restrinja el acceso externo a los servidores DNS mediante consultas para clientes con direcciones IP públicas.

Aspecto de los Controles CIS Controls V7.1:

Esta sección es nueva. No se publicaron recomendaciones similares en los Controles CIS V7.

10) <ID="PORTABLE">HACE CUMPLIR EL BLOQUEO AUTOMÁTICO DE DISPOSITIVOS EN DISPOSITIVOS PORTÁTILES DE USUARIO FINAL

Diferentes dispositivos tienen diferentes números recomendados de intentos fallidos. La limitación de la cantidad de intentos fallidos para computadoras portátiles no debe ir más allá de 20. Para tabletas y teléfonos inteligentes, la cantidad máxima de intentos fallidos es de 10.

Aspecto de Controles CIS V7.1:

Esta sección es nueva. No se publicaron recomendaciones similares en los Controles CIS V7.

11) <ID="WIPE">APLICA LA CAPACIDAD DE LIMPIEZA REMOTA EN DISPOSITIVOS PORTÁTILES DE USUARIO FINAL

Esto es crucial en casos de equipos perdidos o robados. También es una práctica inteligente cuando se maneja el dispositivo de un ex empleado al que se desea impedir que acceda a los datos de la empresa.

Apariencia de los Controles CIS V7.1:

Esta sección es nueva. No se publicaron recomendaciones similares en CIS Controls V7.

12) <ID="MOBILE">SEPARA ESPACIOS EMPRESARIALES DE TRABAJO EN DISPOSITIVOS MÓVILES DE USUARIO FINAL

Trate de mantener separados el uso laboral y el personal para los espacios de trabajo móviles de los empleados. Habrá menos posibilidades de que los atacantes utilicen las actividades de los empleados para obtener acceso a su red .

Apariencia de los Controles CIS V7.1:

Esta sección es nueva. No se publicaron recomendaciones similares en CIS Controls V7.

BONUS) <ID=” AUTOMATION">HERRAMIENTAS TRANSFORMADORAS DE HARDENING AUTOMATIZADO PARA SU PROYECTO

Las herramientas para el Hardening automatizado proporcionan soluciones de hardening completas, porque simplifican este complicado procedimiento en operaciones de tan solo el “clic de un botón”. No necesitará escribir un solo script ni poseer ningún conocimiento especializado. Están equipados con habilidades de análisis de impacto y todas las características de las herramientas de configuración de seguridad y los escáneres de cumplimiento.

CalCom Hardening Automation Suite (CHS) es una plataforma de Hardening automatizado diseñada para reducir los costos operativos y aumentar la postura de seguridad y cumplimiento de la infraestructura. CHS elimina las interrupciones y reduce los costos de hardening al automatizar cada etapa del proceso brindando:

Análisis de impacto automático: indica el impacto de un cambio de hardening de seguridad en los servicios de producción.
Implementación automática de políticas: después de establecer una política de acuerdo con el informe de análisis de impacto, CHS implementará cada política en la máquina correcta desde un único punto de control.
Cumplimiento continuo : CHS monitoreará su postura de cumplimiento, alertará y remediará las desviaciones de configuración. CHS se asegurará de que su nivel de cumplimiento se mantenga alto en la infraestructura dinámica en constante cambio, por lo que no necesitará realizar el hardening desde cero pasado un tiempo de su proyecto de hardening inicial.

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.

Cookie	Duration	Description
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
__stidv	1 year	This cookie is used by ShareThis. This cookie is used for sharing the content from the website to social networks.

Cookie	Duration	Description
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
_gat	1 minute	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.

Cookie	Duration	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
__stid	1 year	The cookie is set by ShareThis. The cookie is used for site analytics to determine the pages visited, the amount of time spent, etc.

Cookie	Duration	Description
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Guía de configuración de seguridad y refuerzo básico del CIS

Subscribe to Email Updates

You might be interested

Experience a personalized demo

Cookie	Duration	Description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 8 months 26 days 14 hours	No description
drift_campaign_refresh	30 minutes	No description
fpestid	1 year	No description
st_samesite	session	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.