¿Qué son los CIS Benchmarks y cómo usarlos?

Existe una lista de 18 procedimientos (reducidos de 20) o “controles” recomendados por el Centro para la Seguridad de Internet (CIS) que se deben seguir para construir una infraestructura de TI resistente a los ataques cibernéticos. El 4to procedimiento de la CIS aconseja establecer y mantener un proceso de configuración seguro para los activos empresariales (dispositivos de usuario final, incluidos dispositivos portátiles y móviles; dispositivos no informáticos/IoT; y servidores) y software (sistemas operativos y aplicaciones) (4.1). También aconsejan implementar tecnologías de administración de la configuración del sistema que impongan y reinstalen automáticamente la configuración de la red en los dispositivos durante períodos predeterminados. Para detener los ataques que se aprovechan de servicios y configuraciones débiles, el CIS aconseja a las organizaciones implementar procedimientos estrictos de control de configuración y modificación.

Junto con estos procedimientos, el CIS también publicó una colección de pautas de fortalecimiento conocidas como CIS Benchmarks para varios hosts, plataformas y sistemas operativos. A pesar de ser la norma de la industria para el hardening del sistema, las investigaciones demuestran que casi todas las empresas se quedan cortas en más del 50 % de las evaluaciones de conformidad de los CIS Benchmarks. Las preocupaciones de más gravedad contribuyeron a más de la mitad de estas pérdidas., y la mayoría de las restricciones hacen que el hardening del sistema sea obligatorio. Por otro lado, la complejidad de los CIS Benchmarks hace que seguirlos sea una dificultad.

¿QUÉ SON LOS CIS BENCHMARKS?

Los CIS Benchmarks son un grupo de estándares sugeridos de hardening que enumeran varios hosts, servicios y plataformas de software. Los CIS Benchmarks son el marco disponible más complejo y profundo, ya que cada sistema tiene regulaciones únicas para cada edición . Los CIS Benchmarks son docenas de archivos separados, cada uno con varios cientos de páginas de regulaciones. Estos reglamentos se dividen en categorías y subdivisiones según el tipo de directriz; la política de bloqueo de cuentas y los controles de acceso, por ejemplo, es parte de las regulaciones de políticas de cuentas.

Insertar imagen del blog: https://www.calcomsoftware.com/cis-hardening-and-configuration-security-guide/

Las siguientes secciones se encuentran en las reglas idénticas. Aquí está el desglose de la configuración: Asegúrese de que ‘Acceder a esta computadora desde la red’ esté configurado en ‘Administradores, Usuarios autenticados, CONTROLADORES DE DOMINIO EMPRESARIAL’ (solo DC) (Automatizado)

Título : La recomendación está contenida en el TÍTULO y en el nivel de significancia de la propuesta (N1). Una propuesta puede categorizarse como L1, que debe ser ejecutada; L2, que puede ejecutarse en un punto posterior del hardening; o NA, que será la propuesta menos esencial.
Aplicabilidad del perfil : la “Aplicabilidad del perfil” indica qué componente del sistema se verá afectado por esta polí
Descripción : Una descripción de las reglas de la configuración.
Justificación : La justificación para establecer la regulación en la forma sugerida.
Impacto : Cualquier efecto anticipado en la producción.
Auditoría : Sugerencias de auditoría para esta regla.
Remediación : Técnica que puede utilizar para que su máquina cumpla con esta directriz.
Valor predeterminado : Se refiere al valor predeterminado de la configuración tal como se estableció
Controles CIS : Aquellos con los que está asociada esta política.

De acuerdo con las intrusiones recientemente identificadas, los ataques similares y las actualizaciones del sistema, los CIS Benchmarks se actualizan una o más veces al año.

¿POR QUÉ DEBERÍA UTILIZAR LOS CIS BENCHMARKS?

La configuración estándar de los sistemas operativos, tal como los envía el proveedor, prioriza la usabilidad sobre la seguridad. Por lo tanto, los sistemas operativos son muy susceptibles a los ataques cibernéticos si no se toman precauciones de seguridad. Los atacantes penetran con frecuencia en la red de TI de una organización, distribuyen malware y causan daños significativos usando un esquema de amenazas. Por ejemplo, el gusano WannaCry de Server Message Block (SMB) , que apareció inicialmente en mayo de 2017, hace uso de dicho esquema para obtener acceso a la red y propagarse. Además, a pesar de que Microsoft entregó las actualizaciones de seguridad adecuadas en 2016 y 2017, el malware WannaCry y otros gusanos SMB como el malware Brambul aún causan pérdidas diarias de miles de dólares. Otro objetivo conocido es el protocolo RDP , que puede ser significativamente más seguro una vez que se implementan las acciones adecuadas de hardening.

También se deben tener en cuenta las restricciones para limitar la superficie de conexión de la organización determinando si se utilizan o no los CIS Benchmarks. Podemos afirmar que prácticamente todas las reglamentaciones importantes exigen, directa o indirectamente, la adhesión a estas pautas de la CIS. Al decir indirectamente nos referimos a que leyes específicas exigen la adhesión a otros marcos, como el marco de Seguridad Cibernética del NIST , pero estos marcos hacen referencia a los CIS Benchmarks.

¿CÓMO UTILIZAR LOS CIS BENCHMARKS?

El objetivo de los CIS Benchmarks es ayudar a las empresas en el ” hardening” de sus sistemas existentes, lo que significa resguardar sus configuraciones. Uno de los pasos más desafiantes para establecer una infraestructura reforzada es poner en práctica estas pautas de la CIS. Para asegurarse de que sus dispositivos estén protegidos, se debe llevar a cabo una serie de procedimientos que incluyen:

Configurar el software y los sistemas operativos con configuraciones estandarizadas y seguras. Teniendo en cuenta las debilidades más recientes y los posibles ataques, las configuraciones deben actualizarse y verificarse. Los CIS Benchmarks deben servir como base para su polí
Aplicar estrictamente la gestión de configuración en todos los sistemas recién instalados de la empresa. Actualice la versión de seguridad, que corregirá cualquier debilidad en una máquina vulnerable. Los diferentes tipos de sistemas (servidores, estaciones de trabajo, etc.) deben tener sus propias imágenes de seguridad.
En servidores con configuraciones de seguridad que se han sometido a pruebas de integridad, conservar la imagen de seguridad principal. Asegúrese de que solo se permitan modificaciones aprobadas. Otra opción es almacenar la imagen maestra en estaciones de trabajo desconectadas, y cuando mueva una imagen del almacenamiento a la red de producción, utilice medios cifrados.
Usar únicamente canales encriptados para todas las tareas administrativas lejanas. Telnet, VNC, RDP y otros protocolos que no admiten abiertamente el software de encriptación solo deben usarse cuando se utilizan en un canal de encriptación secundario como SSL, TLS o IPSEC.
Utilizar un software de verificación de integridad de archivos para asegurarse de que los archivos esenciales no hayan sido alterados. La herramienta de monitoreo está diseñada para aceptar modificaciones anticipadas y regulares mientras alerta a los usuarios sobre cualquier modificación imprevista. La herramienta debe mostrar el registro de las modificaciones de configuración a lo largo del tiempo y anotar quién realizó cada ajuste. Las herramientas de verificación de integridad deben detectar el uso de otros flujos de datos que podrían usarse para ocultar ataques sospechosos, la incorporación de nuevos archivos a ubicaciones esenciales del sistema y modificaciones sospechosas del sistema, como alteraciones de propietarios y derechos de archivos o directorios.
Utilizar la vigilancia de configuración automatizada , que puede examinar todos los componentes de configuración protegidos que han sido probados de forma remota, y emitir notificaciones cuando se produzcan modificaciones ilegales. Se recomiendan herramientas integradas en SCAP.
Implementar tecnologías de administración de la configuración que impongan automáticamente los ajustes de configuración de los sistemas de manera regular o, idealmente, en tiempo real. Con esa ayuda, debería poder cambiar los ajustes de configuración de inmediato o de forma regular, manual o por ocurrencia.

Debido a la complejidad del negocio y la amplitud de las capacidades que se ofrecen, es probable que deba admitir una serie de tomas de seguridad estándar. Para comprender y administrar mejor las características de seguridad de las variantes de cada imagen, se debe usar la menor cantidad posible; sin embargo, la organización está obligada a manejar varios puntos de referencia.

¿QUÉ HERRAMIENTAS uso para implementar CIS BENCHMARKS?

Escáneres y herramientas de evaluación

Los escáneres y las herramientas de evaluación indicarán su postura de cumplimiento de los CIS Benchmark . Cuando se utilizan , indican la brecha entre su póliza actual y estas pautas de CIS, pero no brindan ninguna solución para superar esta brecha. Tendrá que probar y hacer cumplir los cambios para mejorar su postura de cumplimiento. CIS ofrece su propio escáner desarrollado: el CIS CAT.

Herramientas Hardening automatizado

Las herramientas Hardening automatizado proporcionan una solución integral para el hardening. Estas herramientas escanean a través de la implementación mientras también monitorean y mantienen la postura de cumplimiento. Durante el hardening, el uso más lento e ineficiente de los recursos es monitorear las posibles desviaciones. La mayor ventaja de las herramientas de Hardening automatizado es que eliminan la necesidad de verificar cuál será el impacto de cada cambio de configuración en su red.

Las herramientas Hardening automatizado ofrecen la opción de escanear para descubrir la brecha entre su política actual y la política deseada.

También permiten conocer la red e indican cuál será el impacto de cada cambio de configuración.

A su vez implementan la nueva política directamente en producción sin probar ni dañar nada.

Supervisan, controlan y evitan cambios de configuración, todo desde un único punto de control.

La CHS de CalCom es una herramienta de Hardening automatizado de servidores. La CHS aprende el entorno de producción y analiza el impacto de cada cambio de configuración, eliminando así la necesidad de pruebas de laboratorio y permitiendo que los CIS Benchmarks se implementen directamente en el entorno sin el riesgo de interrupciones en la producción. Obtenga más información sobre los beneficios de la CHS .

Herramientas de gestión de la configuración

Las herramientas de gestión de la configuración no son necesariamente específicas para fines de seguridad, pero permiten la implementación de cambios de configuración en una infraestructura. Estas herramientas son relevantes solo después de escanear y encontrar la brecha entre la política y los CIS Benchmarks, para luego probar el impacto previsto de cada cambio de configuración.

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.

Cookie	Duration	Description
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
__stidv	1 year	This cookie is used by ShareThis. This cookie is used for sharing the content from the website to social networks.

Cookie	Duration	Description
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
_gat	1 minute	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.

Cookie	Duration	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
__stid	1 year	The cookie is set by ShareThis. The cookie is used for site analytics to determine the pages visited, the amount of time spent, etc.

Cookie	Duration	Description
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

¿Qué son los CIS Benchmarks y cómo usarlos?

Subscribe to Email Updates

You might be interested

Experience a personalized demo

Cookie	Duration	Description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 8 months 26 days 14 hours	No description
drift_campaign_refresh	30 minutes	No description
fpestid	1 year	No description
st_samesite	session	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.