By Keren Pollack, on May 18th, 2021

El hardening (también conocido como endurecimiento o robustecimiento) del sistema se refiere a las acciones realizadas para reducir la superficie de ataque, asegurando las configuraciones de los componentes del sistema (servidores, aplicaciones, etc.). Típicamente los fabricantes preconfiguran los componentes del sistema más orientados a las funciones que a la seguridad, lo que significa que las funciones innecesarias están habilitadas. Cada función es un vector de potencial ataque, por lo que asegurar la configuración del sistema es fundamental para mitigar vulnerabilidades y evitar intrusiones.

 

Las organizaciones deben establecer diferentes políticas de hardening para cada componente del sistema, aspirando a ser lo más granular posible (diferenciando el tipo de componente, rol, versión, entorno, etc.). De hecho, el hardening se ha convertido en un requisito obligatorio en todas las regulaciones. Por lo tanto, establecer una buena política de hardening ya no está abierta al debate y hay mejores prácticas de endurecimiento de la seguridad que las organizaciones deben seguir (por ejemplo, los benchmarks de CIS y DISA STIG).

 

Después de establecer una política de hardening hay 3 etapas que debe completar para lograr el endurecimiento con la línea base:

  1. Pruebas: El aplicar su política tal como está y cambiar la configuración de sus sistemas causará daños extensos. Mientras que el endurecimiento de las prácticas recomendadas indica deshabilitar y bloquear cualquier vector de ataque potencial, algunas reglas simplemente no se pueden implementar ya que esta configuración seguramente está en uso. Para entender qué reglas se pueden aplicar y cuáles no, debe conocer todas las dependencias de su red. La práctica común en la etapa de prueba es crear un entorno de prueba que simule la red con la mayor precisión posible y aplicar cambios aquí para entender el impacto de la regla en cada aplicación o servicio. Esta es, sin lugar a duda, la etapa más difícil, más larga y más exigente de recursos de un proyecto de hardening. Además, es el más importante, ya que, si no se hace correctamente, dará lugar a interrupciones de producción.

Después de terminar de probar el impacto de cada cambio de configuración, la directiva debe volver a discutir para decidir el curso de acción de cada regla que cause impacto.

 

  1. Aplicación y cumplimiento: después de probar y ajustar la directiva a los resultados de la prueba, deberá aplicar todas las directivas en todos los componentes del sistema. Esta etapa también es altamente propensa a errores humanos si usted no está utilizando herramientas de asistencia. Asegurar que a todos los componentes se les ha aplicado la directiva correcta y de que todas las reglas de directivas se han insertado correctamente es altamente complejo de administrar.
  2. Monitoreo – si usted no quiere regresar al estado inicial de su postura de cumplimiento, la supervisión y monitoreo es esencial. La red de la organización es dinámica y cambia constantemente. Se instalan nuevas aplicaciones, las máquinas antiguas se dan de baja y debe tener la capacidad de reaccionar a estos cambios, para no perder su postura de cumplimiento. Además, los cambios en la configuración pueden producirse intencional o involuntariamente, y debe tener la capacidad de supervisarlos y corregirlos.

 

Intentamos resumir los diferentes tipos de herramientas que le ayudarán a endurecer su red con éxito.

 

Hay 4 grupos de herramientas que debe comprobar antes de iniciar un proyecto de endurecimiento:

  1. Herramientas de automatización de endurecimiento.
  2. Herramientas de administración de configuración.
  3. Escáneres de cumplimiento.
  4. Herramientas gratuitas de código abierto.

 

Cada tipo de herramienta ofrece una solución para una etapa diferente en el proyecto de endurecimiento:

Tipo de Herramienta

 

 Prueba  Aplicación  Monitoreo

Herramientas de Automatización de Hardening

 

V V V
Herramientas de Gestión de Configuraciones

 

V V
Escaneres de Cumplimiento

 

 V

 

HERRAMIENTAS DE AUTOMATIZACIÓN DE HARDENING:

Características: Pruebas, aplicación, supervisión/monitoreo.

 

Descripción: Las herramientas de automatización de hardening ofrecen una solución de endurecimiento completa. Realizan todo el procedimiento de prueba automáticamente aprendiendo el sistema e informando del impacto de cada cambio de configuración. Solo esta característica puede ahorrar la mayor parte del tiempo y los recursos invertidos en el proyecto de hardening, lo que hace que las herramientas de automatización de hardening ofrezcan muy buen valor por la inversión.

 

Después de la fase de pruebas, las herramientas de automatización de hardening también permiten aplicar las directivas en todos los sistemas de producción desde un único punto de control. Esto alivia drásticamente la tarea de aplicación y reduce al mínimo los errores humanos. Todo el procedimiento de cambio de configuración también se controla desde un único punto de control.

 

Por último, las herramientas de automatización de endurecimiento supervisarán su red y reaccionarán a cualquier cambio no deseado en la postura de cumplimiento. Alertará y corregirá las variaciones de configuración y será reactivo a los cambios estructurales de la red.

 

Las herramientas de automatización de hardening tienen todas las capacidades de las herramientas de gestión de configuración de seguridad y de los escáneres de cumplimiento con el añadido de la capacidad de análisis de impacto.

 

Herramientas:

  • Calcom Server Hardening Solution CalCom Hardening Solution (CHS) es una solución de automatización de hardening de servidores diseñada para reducir los costos operativos y aumentar la postura de seguridad y cumplimiento del servidor. CHS elimina las interrupciones y reduce los costes de endurecimiento al indicar el impacto de un cambio de endurecimiento de la seguridad en los servicios de producción. Garantiza un entorno de servidor resistente, constantemente endurecido y supervisado.

 

  • CalCom Security Solution for IIS – CalCom Security Solution (CSS) for IIS Server es una solución de automatización de hardening diseñada específicamente para middleware de servidor web. CSS para IIS está diseñado para reducir los costos operativos y aumentar la postura de seguridad y cumplimiento de su infraestructura web. CSS para IIS indica automáticamente el impacto de los cambios de configuración en los servicios de producción, lo que reduce los costos de endurecimiento. CSS para IIS garantiza servidores web resistentes, constantemente endurecidos y supervisados.

 

HERRAMIENTAS DE GESTIÓN DE CONFIGURACIÓN DE SEGURIDAD:

Características: aplicación, supervisión.

 

Descripción: según NIST, la gestión de la configuración de seguridad (SCM) se puede describir como “La gestión y el control de configuraciones para un sistema de información con el objetivo de permitir la seguridad y gestionar el riesgo.”.

Mediante el uso de herramientas SCM podrá:

  1. Aplicar la directiva deseada, lo que le permite configurar la infraestructura al estado deseado.
  2. Aplicar fácilmente los cambios de configuración en toda la infraestructura desde un único punto de control.
  3. Elegir la versión con la que está trabajando.
  4. Realizar fácilmente cambios en el código.
  5. Realizar un seguimiento de los cambios realizados y quién los cambió.
  6. Aprobar o rechazar la solicitud de cambios.
  7. Informar y registrar el estado de configuración.

 

Herramientas:

  • Ansible : Ansible es una plataforma RedHat que permite al usuario controlar y desarrollar la automatización en la red de TI. No es específico para el hardening, pero se puede utilizar para eso.

 

  • Chef: Chef Enterprise Automation Stack (EAS) proporciona a los equipos que implementan DevSecOps un enfoque común para automatizar la entrega de aplicaciones, la configuración de infraestructura y la auditoría de cumplimiento. No es específico para el hardening, pero se puede utilizar para eso.

 

  • Puppet – plataforma de automatización de infraestructura con tecnología de código abierto. No es específico para el hardening, pero se puede utilizar para eso.

 

  • Administración de configuración de Microsoft System Center: Microsoft Configuration Manager que proporciona control remoto, administración de revisiones, distribución de software, implementación del sistema operativo, protección de acceso a la red e inventario de hardware y software. No es específico para el hardening, pero se puede utilizar para eso.

 

 

ESCÁNERES DE CUMPLIMIENTO:

Características: Supervisión/Monitoreo.

 

Descripción: El análisis de cumplimiento se centra en evaluar la adhesión a un determinado marco de cumplimiento (por ejemplo, CIS Benchmark, DISA STIG). Los analizadores de cumplimiento producen un informe que indica qué tan bien está endurecido un sistema en comparación con un marco de cumplimiento.

 

Herramientas:

  • Tripwire Configuration Manager: le ofrece la capacidad de ver la configuración y el estado de cumplimiento de todos sus activos en un único entorno de informes.

 

  • Qualys: proporciona análisis de configuración y simplifica los flujos de trabajo para solucionar problemas de configuración.

 

  • NNT SecureOps: proporciona inteligencia en el control cambios y automatización. Audita y automatiza el cumplimiento continuo. Proporciona detección en tiempo real para cambios sospechosos.

 

  • CIS-CAT Pro – CIS-CAT® Pro Assessor evalúa la postura de ciberseguridad de un sistema contra los ajustes de políticas recomendados. La herramienta ayuda a las organizaciones a ahorrar tiempo y recursos mediante el soporte de contenido automatizado con recomendaciones de configuración de políticas basadas en los puntos de referencia CIS reconocidos a nivel mundial.

 

HERRAMIENTAS DE ENDURECIMIENTO DE CÓDIGO ABIERTO:

  • Proyecto SALT: Permite funciones de automatización, administración de infraestructuras, orquestación basada en datos, ejecución remota, administración de configuración.

 

  • Microsoft Security Compliance Toolkit 1.0: un conjunto de herramientas que permite a los administradores de seguridad empresarial descargar, analizar, probar, editar y almacenar las líneas base de configuración de seguridad recomendadas por Microsoft para Windows y otros productos de Microsoft, comparándolas con otras configuraciones de seguridad.

 

  • Auditor de Hardening: Ofrece scripts para comparar el cumplimiento de Microsoft Windows con las guías de hardening ASD 1709 y Office 2016.

 

  • Windows Exploit Suggester Next Generation – WES-NG es una herramienta basada en los reportes del utilitario systeminfo de Windows que proporciona la lista de vulnerabilidades a las que el sistema operativo está expuesto, incluidos los exploits para estas vulnerabilidades. Soporta todos las vesiones del sistema operativo Windows incluidos Windows XP y Windows 10, y sus homólogos de Windows Server.

 

  • Privesc: script de Windows PowerShell que encuentra problemas de configuración incorrecta que pueden provocar una escalada de privilegios.

 

  • Comprobación de Windows- privesc: Windows-privesc-check es un ejecutable independiente que se ejecuta en sistemas Windows. Intenta encontrar configuraciones erróneas que podrían permitir a los usuarios locales no privilegiados escalar los privilegios a otros usuarios o acceder a aplicaciones locales (por ejemplo, bases de datos).

All you need.
Under one roof.

Learn if CHS is
the right solution for you.

Request Demo
  • CHS Baseline
    Hardening Suite
  • PAC - Policy
    Analysis Center
  • CSS
    FOR IIS
  • CHS Baseline
    Hardening Suite
  • PAC - Policy
    Analysis Center
  • CSS
    FOR IIS

All you need. Under one roof.

Learn if CHS is the right solution for you.

Request Demo