Get best of the week

Nuevos estándares de seguridad de la información: hacen la vida más difícil para los atacantes

En el campo de la TI y la seguridad de la información, el concepto de referencia se ha establecido desde hace mucho tiempo: es un estándar técnico para configurar un sistema operativo, equipo de red o software de servidor específico. Tales documentos generalmente describen qué y cómo debería funcionar en la infraestructura de la empresa, qué aspectos de protección afecta, cómo verificar y configurar todo. Suena breve y claro, pero en la práctica resulta ser más difícil.

En este artículo hablaremos sobre los problemas de los estándares técnicos modernos (puntos de referencia) de seguridad de la información y cómo se pueden resolver.

Cómo son los puntos de referencia modernos


Para cada sistema, estos estándares son diferentes. Los estándares más famosos del mundo son los estándares de la familia CIS Benchmarks , desarrollados bajo los auspicios de la organización internacional CIS a través de los esfuerzos de entusiastas expertos invitados de todo el mundo.

Por lo general, estos estándares incluyen cientos de requisitos que describen, incluidos:

  • longitud y complejidad de la contraseña;
  • derechos de acceso a archivos de diferentes tipos;
  • Recomendado para habilitar y deshabilitar servicios.

Pros y contras de las normas técnicas existentes


Como cualquier kit de herramientas, los puntos de referencia de seguridad son útiles porque aumentan el nivel promedio de seguridad de la infraestructura. Esto se refleja en el hecho de que una infraestructura configurada al menos de acuerdo con las recomendaciones básicas de los puntos de referencia es mucho más difícil de descifrar, al menos con los pentesters (en algunos casos, generalmente no logran sus objetivos debido a límites de tiempo o objetivos de ataque aceptables o métodos de ataque aceptables )

Como cada uno de estos estándares es bastante grande, simplemente se puede usar como referencia o lista de verificación, de acuerdo con la cual se configuran el equipo y el software.

Los puntos de referencia reconocidos en el extranjero son familiares para las empresas de diferentes países, por lo tanto, son conscientes de sus ventajas y se esfuerzan por cumplir los requisitos especificados en los documentos.

Pero no todo es tan sencillo en la práctica: la aplicación de estándares familiares para todos no está exenta de problemas. Aquí hay algunos de ellos.

Hay muchos requisitos


Si tanto el sistema operativo como un par de aplicaciones de servidor están instaladas en algún nodo, entonces deberá aplicar varios estándares, y el número total de requisitos puede exceder fácilmente los 500. Aquí hay una aritmética simple para el caso de una organización grande típica:

  1. Estaciones de trabajo: más de 500 requisitos para Windows y MS Office, el número de nodos, de mil.
  2. Servidores: según el sistema operativo y el software del servidor instalado, de 100 a 700 requisitos por nodo, el número de nodos es de cientos.
  3. Equipo de red: según la marca, el modelo y la funcionalidad de 20 a 80 requisitos por nodo, el número de nodos es de cientos.

El límite inferior de la evaluación es de 500 mil requisitos para toda la infraestructura. Es lógico que sea imposible garantizar el cumplimiento de todas sus unidades con todos los requisitos de dichos estándares, así como rastrear el hecho del cumplimiento de estos requisitos.

Una consecuencia importante también se deriva de la gran cantidad de requisitos y nodos en la infraestructura bajo control: la duración y la laboriosidad del escaneo automatizado, incluso partes de la infraestructura, por regla general, no se adaptan ni a los administradores de TI ni a los especialistas en seguridad de la información. Para verificar de alguna manera todos los nodos, debe ir a varios trucos: asignar ciertas "ventanas tecnológicas" para diferentes grupos de nodos, escanear con menos frecuencia de la que nos gustaría.

Al mismo tiempo, uno todavía tiene que monitorear cuidadosamente la disponibilidad de la red de sucursales remotas y su ancho de banda (en algunos casos son canales satelitales, lo que agrega complejidad), tratar de no confundirse con la frecuencia de los escaneos y simplemente encontrar el tiempo para resolver los problemas de escaneo que surgen.

Difícil de priorizar


En los conjuntos de requisitos estándar, generalmente no hay división en más o menos importantes; como resultado, es extremadamente difícil seleccionar e implementar solo aquellos que afectan la resistencia a los robos. Hay algunos ejemplos de intentos de introducir tal separación, pero hasta ahora no tienen mucho éxito: los expertos de la CEI recientemente comenzaron a dividir sus requisitos en dos grupos significativos, pero al final ambos grupos resultaron ser muy grandes de todos modos, y este paso no resolvió el problema.

Varias organizaciones se esfuerzan por crear sus propios estándares para configuraciones seguras basadas en CIS, cuyo número de requisitos es menor que el original. Sin embargo, en el caso de empresas en otras áreas, los especialistas a menudo carecen de conocimientos especializados.

No está claro qué afecta exactamente un requisito particular.


Al leer los requisitos de los estándares, a menudo no está claro cuáles de ellos están relacionados con la seguridad práctica y ayudarán a proteger contra la piratería, y cuáles son necesarios para que todo funcione correctamente. Para comprender esto, debe comprender en un nivel profundo el sistema para el que está escrito el punto de referencia.

No hay incentivo para usar estándares técnicos


Para lograr los requisitos de muchos puntos de referencia en muchos nodos es un trabajo enorme, complejo e intenso. Además, si un especialista de TI involucrado en infraestructura ni siquiera comprende qué es exactamente lo que dará cumplimiento a ciertos requisitos para un sistema que ya funciona, no hay incentivo para usarlo.

Cómo resolver estos problemas: PT Essential standards


Los principales problemas de los estándares actuales en seguridad de la información son su gran tamaño y su no especificidad general. Si estas dos deficiencias no se eliminan, los beneficios de tales estándares siempre serán limitados.

Para resolver estos problemas, para varios sistemas de destino, hemos desarrollado los estándares de la nueva generación PT Essential (PTE) y los implementamos en MaxPatrol 8 . Se crearon nuevos documentos sobre la base de puntos de referencia existentes (por ejemplo, CIS) e información sobre problemas de seguridad reales obtenidos de las pruebas de penetración realizadas por nuestros expertos. Al hacerlo, utilizamos el principio de Pareto 20/80: por lo general, una parte más pequeña de los requisitos nos permite cerrar una gran cantidad de posibles problemas de seguridad.

En la práctica, generalmente la mayoría de las pruebas de penetración terminan con el éxito de los atacantes. Una de las razones principales es que las organizaciones no siguen ni siquiera las recomendaciones de protección más simples y críticas, que incluyen:

  • complejidad de la contraseña *,
  • frecuencia de cambio de contraseña
  • SO y software en desuso.

* Los resultados de las pruebas del nivel de seguridad de los sistemas realizadas por Positive Technologies mostraron que la gran mayoría de las contraseñas seleccionadas con éxito durante las pruebas de protección con contraseña se compilaron de manera predecible. La mitad de ellos se asociaron con varias combinaciones del mes o época del año con números que indican el año (por ejemplo, Fduecn2019, Winter2019). Las contraseñas del tipo 123456, 1qaz! QAZ, Qwerty1213, que se componen de teclas cercanas en el teclado, ocuparon el segundo lugar en términos de prevalencia.

En los nuevos estándares, tratamos de tener en cuenta la experiencia de los pentests realizados por nuestro equipo en cientos de empresas para ayudarlos a cerrar al menos los vectores de ataque más obvios. Incluso tales acciones básicas complican seriamente la vida del atacante y hacen que el ataque a la empresa sea menos atractivo.

Estas son las diferencias clave entre los nuevos puntos de referencia:

  • Cada uno de ellos contiene un mínimo de requisitos: solo se incluyen aquellos que afectan directamente la seguridad del sistema. El número de requisitos de PTE para cada sistema objetivo es N (N - de 3 a 10) veces menor que la contraparte de CIS. Como resultado, se reducen proporcionalmente:
    • tiempo de escaneo
    • costos de mano de obra para el análisis de escaneo y eliminación de deficiencias encontradas.

  • Para la mayoría de los requisitos del estándar, se asignan métricas CVSS, similares a las vulnerabilidades. Esto le permite priorizar inmediatamente la eliminación de deficiencias.
  • La descripción de todos los requisitos describe las consecuencias que la organización puede enfrentar si no la cumple.

A continuación se muestra una breve comparación de los puntos de referencia CIS y las familias PT Essential:
CriterioPuntos de referencia de la CEIPT Essential (PTE)
Número de requisitosHasta 400 por estándarNo más de 40 por estándar
Incorporación de requisitos en el estándar de
configuración segura		Todo lo relacionado
con la configuración del
subsistema de protección.		Solo eso está
directamente relacionado con la
piratería (protección contra la piratería)
Capacidad para priorizar
requisitos		2 (
):
,


— CVSS
( )
,
.

,
,
.


( )

Aquí hay un ejemplo de un requisito de PTE (los ejemplos a continuación se refieren a sistemas UNIX; en lugar de estándares separados para cada sistema operativo tipo UNIX, se ha creado un estándar único para todos los sistemas compatibles con MaxPatrol 8):

Requisito de ejemplo "Deshabilitar inicio de sesión remoto sin contraseña para rlogin / rsh"


  • Los servicios configurados de rlogin / rsh le permiten iniciar sesión sin especificar una contraseña.
  • Se pueden configurar tanto para todos los usuarios (configurados en /etc/hosts.equiv) como individualmente para cada usuario (en $ HOME / .rhosts).
  • Con esta configuración, los usuarios pueden iniciar sesión en el servidor de destino desde los clientes especificados sin ingresar una contraseña en el servidor de destino.
  • Además, los subsistemas R sufren ataques de falsificación de ARP, ya que el criterio de confianza se basa solo en las direcciones de los clientes.
  • El uso de estos subsistemas obsoletos plantea un riesgo extremadamente grave, por lo que se recomienda encarecidamente que se desactiven.
  • Todo el software de aplicación y sistema que utiliza estas herramientas admite SSH como una alternativa mucho más segura.


CVSS: 3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (8.8)

Requisito de ejemplo "Excluir comandos peligrosos de la configuración de sudo"


La configuración incorrecta de sudo puede permitir que el usuario tenga derecho a ejecutar algunos comandos (potencialmente peligrosos) como root para el usuario:

  1. aumentar los privilegios en el sistema,
  2. sobrescribir los archivos del sistema, interrumpiendo el sistema.

Potencialmente peligroso puede ser cualquier comando que le permita:

  • escribir en un archivo arbitrario (especificado por el usuario);
  • escribir en uno de los archivos del sistema;
  • destruir el sistema de archivos o la partición del disco.

Es necesario excluir comandos peligrosos de la configuración de sudo.

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8)

« »


  • , , . , , — .
  • 755 , root ( ).
  • , , . root, .

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8)

Importante : de forma obligatoria, cada requisito contiene orientación para resolver fallas de seguridad y verificar problemas.

Conclusión


Los estándares técnicos en seguridad de la información son una herramienta importante para aumentar el nivel de seguridad de la infraestructura, lo que complica enormemente la vida de los atacantes con una implementación adecuada y una buena interacción entre los departamentos de TI e IS. Sin embargo, muchos estándares modernos son demasiado complejos y voluminosos para una aplicación práctica.

Es mucho más conveniente usar la familia estándar de PT Essential, una nueva generación de puntos de referencia que entregan solo la información más importante y se basan en la experiencia de cientos de pruebas de penetración. Al implementar departamentos de TI y especialistas en seguridad de la información, queda claro qué requisitos son más importantes, dónde comenzar y qué problemas pueden surgir si no se cumplen estos requisitos.

La aplicación de los requisitos de PT Essential le permite identificar y resolver rápidamente los problemas de seguridad más importantes en la infraestructura con una reducción notable en la complejidad y complejidad de este proceso. Entonces, ¿por qué no hacer la vida más difícil para los pentesters e intrusos? ..

More articles:


All Articles