jueves, 12 de diciembre de 2013

El camino del SysAdmin hacia el Chief Information Security Officer.

Siempre intento definirme como un administrador de sistemas concienciado en la seguridad, mas que como un experto en seguridad, pentester, investigador o similares.

También intento definirme como una persona guapa, apuesta, inteligente, simpática, pero no iba la cosa por ahí...
Propiedad de ECCOUNCIL...
El título de hoy es un poco para hacer la broma de la cantidad de siglas para puestos laborales que nos inundan y que debemos añadir a nuestra no pequeña lista de siglas, aunque van por ahí los términos.

Estoy colaborando con la empresa de un amigo en mejorar un poco su seguridad y de las necesidades identificadas he creado un pequeño Brainstorm de aspectos que yo considero interesantes.
He creído oportuno modificarlo y compartir con vosotros, gratis, esa lista de aspectos que considero que cualquier administrador de sistemas ( o si eres poseedor de siglas relacionadas) debería controlar en sus infraestructuras. Quizás algunos sean obvios para ti, o quizás alguno te sirva para mejorar en tu trabajo diario.


  • TECNICAS ANTI FINGERPRINTING.
    Del resultado de un pentest externo resulta interesante trabajar en la ocultación de toda la información que podamos de nuestros servicios expuestos. Por ejemplo, cambiar la carpeta de administración de nuestro CMS, cambiar el logotipo, cambiar el banner del servicio, recompilar el kernel para cambiar el comportamiento del Stack TCP xD etc.
  • FIREWALL Y MONITORIZACIÓN DE LOGS.
    Es importante contar con un sistema de Firewall para la red perimetral, pero es necesario ampliar la seguridad con firewall a nivel de servidor e incluso de estaciones. Tanto para la entrada como para la salida. La gestión de los logs y las decisiones en consecuencia de esta gestión son algo básico en las tareas diarias de un buen administrador. Por supuesto comprobar que todos los firewall se comportan como esperamos.
  • WEB APPLICATION FIREWALL.
    Las aplicaciones web debemos protegerlas al igual que el resto de servicios que ofrecemos en nuestra organización. Contar con un sistemas WAF nos puede ayudar con la mitigación de ataques 0Day que usan técnicas ya conocidas pero no subsanadas por el proveedor, o por nosotros mismos. También nos ayuda como técnica de anti-fingerprinting.
  • SISTEMA DE DETECCIÓN/PREVENCION DE INTRUSOS.
    Saber que estamos teniendo actividad sospechosa es el primer paso para parar esa actividad sospechosa. O bien manualmente, o bien dinámicamente, debemos actuar ante esa actividad registrada. Por ejemplo, un escaneo de puertos puede pasar desapercibido para un firewall si sobrepasamos el tiempo entre intentos de puertos, o lo mismo para un ataque de fuerza bruta. Mi experiencia es que al final el IDS te ayuda incluso para asuntos de rendimiento, por ejemplo cuando encuentra multidifusión sospechosa de algún dispositivo mal configurado.
  • HONEYPOTS.
    Trabajar con sistemas Honeypots es altamente recomendable, como hemos hablado largo y tendido en este blog. Tener sistemas de alerta asociados al Honeypot, o un sistemas de prevención IPS es estar un paso por delante en la prevención de un futuro ataque a un servicio real. No solo la parte científica o de investigación es importante en los sistemas Honeypots.
  • POLITICA DE ACTUALIZACION APLICACIONES WEB.
    Tener un sistemas para estar al tanto de las actualizaciones de los portales web es básico. Si usas un Wordpress como CMS deberías dejar la casilla de "Mantenerme informado" para estar al día de las actualizaciones. Cada proveedor tiene sus propios canales de información de seguridad. Debemos estar pendientes.
     
Otros elementos que considero relacionados con la seguridad a revisar:

  • INVENTARIO DE EQUIPOS.
    Tener un control de todo nuestro parque es indispensable para una buena gestión del servicio. Tener una lista con los PC´s hasta ahora era relativamente sencillo, pero con la virtualización, el número de equipos crece considerablemente. No solo es importante el inventario, sino el nivel de detalle que necesitamos para realizar nuestro trabajo.
  • POLITICA DE AUDITORIA INTERNA Y EXTERNA CONTINUA.
    Si tienes la suerte de poder contratar una auditoría de seguridad cada X meses eres afortunado, pero esto no es suficiente. Hay que establecer una política de auditoría continua, o lo más continuada posible.
  • INVENTARIO DE SOFTWARE Y VERSIONES.
    Saber que aplicaciones se ejecutan en la empresa y su versión actual es necesario. El típico ejemplo de un Adobe Pdf Reader no actualizado puede ser el punto de entrada a nuestra infraestructura. Tener todos los servicios que ofrecemos controlados, lo que llamarían CI (elemento de configuración) en el mundo ITIL. Por ejemplo, un servidor que ejecuta un proceso mediante el programador de tareas. Esto es un elemento que debemos supervisar, y no esperar el "madre mía" cuando ha fallado una ejecución, y ese mes no se mandan las nominas al banco !!!
  • POLITICA DE ACTUALIZACIÓN DE SISTEMAS OPERATIVOS.
     
    Tener un sistema centralizado de aprobación de actualizaciones para los sistemas operativos. No solo actualizar, sino tener un laboratorio para realizar las pruebas.
  • POLITICA DE ACTUALIZACIÓN DE SOFTWARE CONVENCIONAL (No actualizable mediante Windows Update por ejemplo).
    Como decía anteriormente debemos controlar las versiones que tenemos instaladas, pero sobre todo para poder actualizarlas. El caso del PDF Reader.
  • POLITICAS DE SEGURIDAD TECNICAS PARA NORMATIVA LOPD.
    Revisar el correcto funcionamiento de las típicas medidas de seguridad que nos exige la LOPD como el cambio de contraseñas, complejidad, longitud, bloqueo de sesiones, gestión de archivos temporales, etc.
  • LICENCIAS DE SOFTWARE.
    Tener controlado el inventario de licencias de nuestros sistemas operativos y aplicaciones es parte del trabajo del administrador de sistemas.
  • ESTRATEGIA PARA "BRING YOUR OWN DEVICE" Y DISPOSITIVOS MOVILES EN GENERAL.
    Establecer una estrategia que impida fugas de información en dispositivos móviles y garantizar el cumplimiento de las políticas de seguridad impuestas en la empresa. Por ejemplo, si se pierde el Iphone del jefe, o si se puede navegar por ciertas páginas web desde el portátil de empresa.
  • PROXY INTERNO PARA PROTECCIÓN WEB.
    Gestionar la navegación de los usuarios dentro de la red para proteger a los mismos de sitios maliciosos, o garantizar el cumplimiento de la política de seguridad de la empresa. No en todas las empresas se puede usar Facebook...
  • POLITICA EMPRESARIAL DE SEGURIDAD (Pruebas de identificación de phising y ejemplos para concienciación.)
    Tus usuarios son el último eslabón en la cadena de la seguridad. Trabajar en la concienciación de la cultura de la seguridad nos ahorrará muchos dolores de cabeza. Realizar demostraciones y pruebas.
Seguro que me dejo en el tintero mucho trabajo relacionado con la seguridad, pero espero que al menos estos términos os ayuden en vuestro trabajo diario como administradores de sistemas concienciados con la seguridad.

Como siempre, espero que os guste y gracias por leerme.