HERRAMIENTAS DE HARDENING 101 [ACTUALIZADO:2021]

El hardening (también conocido como endurecimiento o robustecimiento) del sistema se refiere a las acciones realizadas para reducir la superficie de ataque, asegurando las configuraciones de los componentes del sistema (servidores, aplicaciones, etc.). Típicamente los fabricantes preconfiguran los componentes del sistema más orientados a las funciones que a la seguridad, lo que significa que las funciones innecesarias están habilitadas. Cada función es un vector de potencial ataque, por lo que asegurar la configuración del sistema es fundamental para mitigar vulnerabilidades y evitar intrusiones.

Las organizaciones deben establecer diferentes políticas de hardening para cada componente del sistema, aspirando a ser lo más granular posible (diferenciando el tipo de componente, rol, versión, entorno, etc.). De hecho, el hardening se ha convertido en un requisito obligatorio en todas las regulaciones. Por lo tanto, establecer una buena política de hardening ya no está abierta al debate y hay mejores prácticas de endurecimiento de la seguridad que las organizaciones deben seguir (por ejemplo, los benchmarks de CIS y DISA STIG).

Después de establecer una política de hardening hay 3 etapas que debe completar para lograr el endurecimiento con la línea base:

Pruebas: El aplicar su política tal como está y cambiar la configuración de sus sistemas causará daños extensos. Mientras que el endurecimiento de las prácticas recomendadas indica deshabilitar y bloquear cualquier vector de ataque potencial, algunas reglas simplemente no se pueden implementar ya que esta configuración seguramente está en uso. Para entender qué reglas se pueden aplicar y cuáles no, debe conocer todas las dependencias de su red. La práctica común en la etapa de prueba es crear un entorno de prueba que simule la red con la mayor precisión posible y aplicar cambios aquí para entender el impacto de la regla en cada aplicación o servicio. Esta es, sin lugar a duda, la etapa más difícil, más larga y más exigente de recursos de un proyecto de hardening. Además, es el más importante, ya que, si no se hace correctamente, dará lugar a interrupciones de producción.

Después de terminar de probar el impacto de cada cambio de configuración, la directiva debe volver a discutir para decidir el curso de acción de cada regla que cause impacto.

Aplicación y cumplimiento: después de probar y ajustar la directiva a los resultados de la prueba, deberá aplicar todas las directivas en todos los componentes del sistema. Esta etapa también es altamente propensa a errores humanos si usted no está utilizando herramientas de asistencia. Asegurar que a todos los componentes se les ha aplicado la directiva correcta y de que todas las reglas de directivas se han insertado correctamente es altamente complejo de administrar.
Monitoreo - si usted no quiere regresar al estado inicial de su postura de cumplimiento, la supervisión y monitoreo es esencial. La red de la organización es dinámica y cambia constantemente. Se instalan nuevas aplicaciones, las máquinas antiguas se dan de baja y debe tener la capacidad de reaccionar a estos cambios, para no perder su postura de cumplimiento. Además, los cambios en la configuración pueden producirse intencional o involuntariamente, y debe tener la capacidad de supervisarlos y corregirlos.

Intentamos resumir los diferentes tipos de herramientas que le ayudarán a endurecer su red con éxito.

Hay 4 grupos de herramientas que debe comprobar antes de iniciar un proyecto de endurecimiento:

Herramientas de automatización de endurecimiento.
Herramientas de administración de configuración.
Escáneres de cumplimiento.
Herramientas gratuitas de código abierto.

Cada tipo de herramienta ofrece una solución para una etapa diferente en el proyecto de endurecimiento:

Tipo de Herramienta	Prueba	Aplicación	Monitoreo
Herramientas de Automatización de Hardening	V	V	V
Herramientas de Gestión de Configuraciones		V	V
Escaneres de Cumplimiento			V

HERRAMIENTAS DE AUTOMATIZACIÓN DE HARDENING:

Características: Pruebas, aplicación, supervisión/monitoreo.

Descripción: Las herramientas de automatización de hardening ofrecen una solución de endurecimiento completa. Realizan todo el procedimiento de prueba automáticamente aprendiendo el sistema e informando del impacto de cada cambio de configuración. Solo esta característica puede ahorrar la mayor parte del tiempo y los recursos invertidos en el proyecto de hardening, lo que hace que las herramientas de automatización de hardening ofrezcan muy buen valor por la inversión.

Después de la fase de pruebas, las herramientas de automatización de hardening también permiten aplicar las directivas en todos los sistemas de producción desde un único punto de control. Esto alivia drásticamente la tarea de aplicación y reduce al mínimo los errores humanos. Todo el procedimiento de cambio de configuración también se controla desde un único punto de control.

Por último, las herramientas de automatización de endurecimiento supervisarán su red y reaccionarán a cualquier cambio no deseado en la postura de cumplimiento. Alertará y corregirá las variaciones de configuración y será reactivo a los cambios estructurales de la red.

Las herramientas de automatización de hardening tienen todas las capacidades de las herramientas de gestión de configuración de seguridad y de los escáneres de cumplimiento con el añadido de la capacidad de análisis de impacto.

Herramientas:

Calcom Server Hardening Solution CalCom Hardening Solution (CHS) es una solución de automatización de hardening de servidores diseñada para reducir los costos operativos y aumentar la postura de seguridad y cumplimiento del servidor. CHS elimina las interrupciones y reduce los costes de endurecimiento al indicar el impacto de un cambio de endurecimiento de la seguridad en los servicios de producción. Garantiza un entorno de servidor resistente, constantemente endurecido y supervisado.

CalCom Security Solution for IIS - CalCom Security Solution (CSS) for IIS Server es una solución de automatización de hardening diseñada específicamente para middleware de servidor web. CSS para IIS está diseñado para reducir los costos operativos y aumentar la postura de seguridad y cumplimiento de su infraestructura web. CSS para IIS indica automáticamente el impacto de los cambios de configuración en los servicios de producción, lo que reduce los costos de endurecimiento. CSS para IIS garantiza servidores web resistentes, constantemente endurecidos y supervisados.

HERRAMIENTAS DE GESTIÓN DE CONFIGURACIÓN DE SEGURIDAD:

Características: aplicación, supervisión.

Descripción: según NIST, la gestión de la configuración de seguridad (SCM) se puede describir como “La gestión y el control de configuraciones para un sistema de información con el objetivo de permitir la seguridad y gestionar el riesgo.”.

Mediante el uso de herramientas SCM podrá:

Aplicar la directiva deseada, lo que le permite configurar la infraestructura al estado deseado.
Aplicar fácilmente los cambios de configuración en toda la infraestructura desde un único punto de control.
Elegir la versión con la que está trabajando.
Realizar fácilmente cambios en el código.
Realizar un seguimiento de los cambios realizados y quién los cambió.
Aprobar o rechazar la solicitud de cambios.
Informar y registrar el estado de configuración.

Herramientas:

Ansible : Ansible es una plataforma RedHat que permite al usuario controlar y desarrollar la automatización en la red de TI. No es específico para el hardening, pero se puede utilizar para eso.

Chef: Chef Enterprise Automation Stack (EAS) proporciona a los equipos que implementan DevSecOps un enfoque común para automatizar la entrega de aplicaciones, la configuración de infraestructura y la auditoría de cumplimiento. No es específico para el hardening, pero se puede utilizar para eso.

Puppet - plataforma de automatización de infraestructura con tecnología de código abierto. No es específico para el hardening, pero se puede utilizar para eso.

Administración de configuración de Microsoft System Center: Microsoft Configuration Manager que proporciona control remoto, administración de revisiones, distribución de software, implementación del sistema operativo, protección de acceso a la red e inventario de hardware y software. No es específico para el hardening, pero se puede utilizar para eso.

SolarWinds Network Configuration Manager: cuenta con cumplimiento de red, automatización de red, copia de seguridad de configuración y evaluación de vulnerabilidades.

ESCÁNERES DE CUMPLIMIENTO:

Características: Supervisión/Monitoreo.

Descripción: El análisis de cumplimiento se centra en evaluar la adhesión a un determinado marco de cumplimiento (por ejemplo, CIS Benchmark, DISA STIG). Los analizadores de cumplimiento producen un informe que indica qué tan bien está endurecido un sistema en comparación con un marco de cumplimiento.

Herramientas:

Tripwire Configuration Manager: le ofrece la capacidad de ver la configuración y el estado de cumplimiento de todos sus activos en un único entorno de informes.

Qualys: proporciona análisis de configuración y simplifica los flujos de trabajo para solucionar problemas de configuración.

NNT SecureOps: proporciona inteligencia en el control cambios y automatización. Audita y automatiza el cumplimiento continuo. Proporciona detección en tiempo real para cambios sospechosos.

CIS-CAT Pro - CIS-CAT® Pro Assessor evalúa la postura de ciberseguridad de un sistema contra los ajustes de políticas recomendados. La herramienta ayuda a las organizaciones a ahorrar tiempo y recursos mediante el soporte de contenido automatizado con recomendaciones de configuración de políticas basadas en los puntos de referencia CIS reconocidos a nivel mundial.

HERRAMIENTAS DE ENDURECIMIENTO DE CÓDIGO ABIERTO:

Proyecto SALT: Permite funciones de automatización, administración de infraestructuras, orquestación basada en datos, ejecución remota, administración de configuración.

Microsoft Security Compliance Toolkit 1.0: un conjunto de herramientas que permite a los administradores de seguridad empresarial descargar, analizar, probar, editar y almacenar las líneas base de configuración de seguridad recomendadas por Microsoft para Windows y otros productos de Microsoft, comparándolas con otras configuraciones de seguridad.

Auditor de Hardening: Ofrece scripts para comparar el cumplimiento de Microsoft Windows con las guías de hardening ASD 1709 y Office 2016.

Windows Exploit Suggester Next Generation - WES-NG es una herramienta basada en los reportes del utilitario systeminfo de Windows que proporciona la lista de vulnerabilidades a las que el sistema operativo está expuesto, incluidos los exploits para estas vulnerabilidades. Soporta todos las vesiones del sistema operativo Windows incluidos Windows XP y Windows 10, y sus homólogos de Windows Server.

Privesc: script de Windows PowerShell que encuentra problemas de configuración incorrecta que pueden provocar una escalada de privilegios.

Comprobación de Windows- privesc: Windows-privesc-check es un ejecutable independiente que se ejecuta en sistemas Windows. Intenta encontrar configuraciones erróneas que podrían permitir a los usuarios locales no privilegiados escalar los privilegios a otros usuarios o acceder a aplicaciones locales (por ejemplo, bases de datos).

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.

Cookie	Duration	Description
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
__stidv	1 year	This cookie is used by ShareThis. This cookie is used for sharing the content from the website to social networks.

Cookie	Duration	Description
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
_gat	1 minute	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.

Cookie	Duration	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
__stid	1 year	The cookie is set by ShareThis. The cookie is used for site analytics to determine the pages visited, the amount of time spent, etc.

Cookie	Duration	Description
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

HERRAMIENTAS DE HARDENING 101 [ACTUALIZADO:2021]

Hay 4 grupos de herramientas que debe comprobar antes de iniciar un proyecto de endurecimiento:

HERRAMIENTAS DE AUTOMATIZACIÓN DE HARDENING:

HERRAMIENTAS DE GESTIÓN DE CONFIGURACIÓN DE SEGURIDAD:

ESCÁNERES DE CUMPLIMIENTO:

HERRAMIENTAS DE ENDURECIMIENTO DE CÓDIGO ABIERTO:

Subscribe to Email Updates

You might be interested

Experience a personalized demo

Cookie	Duration	Description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 8 months 26 days 14 hours	No description
drift_campaign_refresh	30 minutes	No description
fpestid	1 year	No description
st_samesite	session	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.