Llegamos a ustedes gracias a:



Reportajes y análisis

Un enfoque endurecido en la seguridad del sistema

[05/05/2011] Glenn Phillips, presidente de Pelham Forté, basada en Alabama, señala que las estaciones de trabajo dedicadas de Windows que su empresa vende a los administradores de los servicios de urgencias de los hospitales no solo deben ser seguras, sino también absolutamente inviolables. Después de todo, la vida depende de la operación óptima de las máquinas.

Las aplicaciones Forté muestran la disponibilidad actual de técnicos médicos en la sala de emergencias, por lo que nuestro software debe ser el programa que siempre se está ejecutando", señala Phillips. "No podemos permitir que nadie cierre el programa, agregando juegos, cambiando la configuración de Windows y así sucesivamente".
Phillips y otros que necesitan crear puestos de trabajo o servidores de alta seguridad se están yendo hacia el endurecimiento de crear un muro de acero virtual contra los intrusos. El proceso de endurecimiento consiste en extraer las herramientas y los servicios públicos no esenciales de un sistema operativo o aplicación, cualquiera de los cuales se podría utilizar para ayudar a que un atacante obtenga acceso no autorizado a la configuración del sistema o los datos.
El enfoque se puede utilizar para sustituir o, más comúnmente, complementar otras prácticas y tecnologías de seguridad, como firewalls de red.
El endurecimiento es una técnica que ha estado presente desde los primeros días de las computadoras en red, pero poco a poco cayó en desuso a medida que los proveedores de software aumentaron la seguridad de sus productos, y los administradores de TI adoptaron nuevas tecnologías y prácticas de seguridad.
Aun así, las mejoras de seguridad no han hecho que el endurecimiento sea menos práctico o útil. "Sigue siendo una de las maneras menos costosas y más eficaces de protegerse o prevenir las infecciones o cortes", señala Chris Rafter, vicepresidente de servicios de consultoría en Logicalis Group, un integrador de sistemas en Bloomfield Hills, Michigan.
Peter Makohon, gerente senior y director de privacidad en la oficina de Nueva York de la empresa de servicios profesionales Deloitte & Touche, agrega que el endurecimiento vuelve a ponerse de moda a medida que más empresas enfrentan la presión de parchar cada posible agujero de seguridad que podría ser explotado como un camino hacia un sistema corporativo. El cumplimiento normativo es otro factor que está inspirando a muchas empresas, en particular a las industrias altamente reguladas, para que echen otro vistazo al endurecimiento.
Casi cualquier empresa puede beneficiarse del endurecimiento, indica Rafter. "Los sistemas operativos y aplicaciones son definitivamente mucho más seguros que hace mucho tiempo, pero todavía es lógico desactivar los servicios innecesarios y, básicamente, activar y usar solo lo que realmente necesita", afirma. "Además, no requiere de un gran esfuerzo".
La mayoría de los vendedores hace mucho tiempo dejaron de poner objeciones a los clientes que endurecían sus productos. Muchos -incluyendo Microsoft- alientan activamente esta práctica. "El reforzamiento de un sistema operativo es un paso clave en la protección de un sistema de intrusión", señala Chase Carpenter, director en la unidad de Microsoft Windows Server.
Carpenter dice que los esfuerzos de endurecimiento de la empresa han cubierto tradicionalmente los sistemas operativos del cliente y del servidor, pero con ataques cada vez más dirigidos hacia la capa de aplicación, el objetivo del endurecimiento se está desplazando a las aplicaciones. Microsoft considera que sus productos Security Compliance Manager y Security Baseline son herramientas de endurecimiento.
¿Manual o automático?
Aunque la mayoría de las organizaciones de usuarios optan por manejar el trabajo de endurecimiento por sí mismos -asignándole la tarea al personal de TI o a consultores externos- algunas han optado por usar software comercial que está diseñado para automatizar el proceso. Por ejemplo, CellTrust, un desarrollador de aplicaciones móviles en Scottsdale, Arizona, ha endurecido sus servidores y dispositivos de red basados en Linux con un producto llamado Security Blanket de Raytheon Trusted Computer Solutions, con sede en Herndon, Virginia.
Vahid Sedghi, vicepresidente de servicios técnicos de CellTrust, señala que la decisión de ir con un producto de endurecimiento se redujo a la conveniencia y el deseo de no sacar al personal de TI de sus responsabilidades básicas. "Fue elegir entre hacer que nuestra gente de Linux vaya por ahí de forma manual viendo qué se ha aplicado y qué no en nuestro entorno, o dejar que esta herramienta haga el trabajo de una manera más automatizada", explica. Sedghi agrega que un proceso que involucró horas de escritura y aplicación de secuencias de comandos de Linux, ahora toma menos de 60 minutos.
Sedghi considera que el endurecimiento proporciona una capa adicional de protección valiosa. "Desde una perspectiva empresarial, reduce el riesgo de inactividad", observa.
El endurecimiento complementa otras medidas de seguridad de su negocio, añade Sedghi, señalando que "obviamente, tenemos nuestras diferentes herramientas de escaneo de vulnerabilidades y de seguridad". Las herramientas estándar de seguridad todavía son importantes, señala, ya que desempeñan tareas que el endurecimiento no realiza."Protegen, controlan y analizan nuestra red y servidores", comenta. "El endurecimiento solo cierra la brecha".
Para hacerlo bien
Saber exactamente lo que hay que mantener o eliminar entre varios sistemas operativos o herramientas y características de aplicaciones, es el mayor desafío al que se enfrentan los usuarios que están realizando proyectos de endurecimiento por primera vez. Las entidades que decidan hacer el trabajo en casa tienen que comprometerse a un proceso de recopilación de información sobre las mejores prácticas, indica Makohon.
Señala que los proveedores de sistemas operativos y de aplicaciones, así como las organizaciones de código abierto, por lo general están dispuestos a ofrecer alguna orientación a las empresas que se están embarcando en proyectos de endurecimiento. Los foros de la web orientados al software y a la seguridad también son buenas fuentes de información práctica sobre el endurecimiento.
Hay muchos recursos, tanto en los sectores público y privado, que ayudan a definir la línea base de los valores de configuración de seguridad, comenta Makohon. También ofrecen información acerca de cómo deben ser ciertos ajustes de configuración, el orden en que deben hacerse, y cómo debe ser el estado resultante de la operación.
Phillips señala que el aprendizaje de cómo reforzar la seguridad de Windows en las computadoras de escritorio Dell OptiPlex que Forté vende a los operadores de sala de emergencia no fue particularmente difícil. "Casi todo lo que hicimos lo encontramos en la web", comenta. "Hubieron algunas cosas que encontramos a través del ensayo y error, como cuando no estábamos seguros de cómo algo iba a funcionar, o cuando las instrucciones [que se encuentran en la web] no eran muy buenas, pero la mayoría de cosas las puede encontrar mas o menos por usted mismo".
Los veteranos de este proceso recomendamos colaborar estrechamente con el mantenimiento de la aplicación o el equipo de desarrollo de aplicaciones desde el principio, para asegurarse de que no apague algo que es esencial ahora o que será necesario en un sistema que tiene previsto construir más adelante.
Makohon también aconseja a las empresas a que consulten con su desarrollador de software para asegurarse de que están utilizando la versión más actualizada del producto que tienen previsto endurecer."No tiene sentido hacer frente a las tareas de endurecimiento que el vendedor puede ya haber abordado", comenta.
Rafter dice que el endurecimiento exitoso requiere un enfoque holístico que toma en consideración la seguridad general del sistema, rendimiento, facilidad de uso y otros factores clave. "Es importante realizar un inventario de activos muy completo y asegurarse de que ha cubierto todos los puntos de entrada o lugares en los que el malware podría ser ejecutado", dice.
Mientras Phillips piensa en el endurecimiento como un medio "infalible" de asegurar los sistemas, añade que la técnica no debe utilizarse como excusa para escatimar o ignorar las medidas de seguridad tradicionales."La configuración de seguridad debe ser vista como un 'extra', no como un 'en lugar de'", señala.
No se olvide del entrenamiento y las pruebas
La formación es a menudo descuidada, pero debe ser una parte clave del proceso de endurecimiento. ¿Por qué? Dado que los usuarios pueden trabajar muy duro para eludir las garantías que crea el endurecimiento que parecen inconvenientes; necesitan comprender por qué las garantías están ahí.
"Todavía hay que entrenar a sus usuarios en las prácticas de seguridad diarias -lo que debe hacer y no hacer- porque no importa lo que haya hecho para bloquear [el sistema operativo o aplicación], dentro de unos meses habrá algo por ahí que puede pasarse por alto. Es un blanco móvil", señala Phillips. Agrega que una cierta cantidad de endurecimiento es inevitable con el tiempo.
Phillips recuerda un agujero de seguridad que surgió con la llegada de las memorias USB. "Habíamos hecho todo este endurecimiento, y luego descubrimos que solo tenía que tener una unidad USB, conectarla al puerto USB, y aparecería una ventana preguntando, '¿Desea ejecutar esto?
Conceptos básicos del endurecimiento
Chase Carpenter, director de la unidad de Microsoft Windows Server, señala que una estrategia de endurecimiento debe centrarse en las siguientes tácticas:
La reducción de la superficie de ataque
* Quite las herramientas y características que no son esenciales.
* Deshabilite los servicios y protocolos innecesarios.
* Eliminar o asegurar los recursos compartidos de archivos.
Restringir el acceso a los usuarios
* Limite el número de cuentas de usuario.
* Establezca derechos de acceso en curva.
Protéjase contra ataques conocidos y teóricos
* Configure opciones de seguridad comunes.
* Aplique los parches y actualizaciones necesarias.
* Utilice cifrado, siempre que sea posible, para proteger los datos críticos.
Use herramientas disponibles para detectar ataques
* Configure el sistema para que registre accesos de usuarios apropiados e inapropiados.
* Configure el sistema para que sea difícil o imposible que los atacantes cubran sus huellas.
El descubrimiento avisó de un rápido trabajo de reparación para modificar la configuración de los permisos del sistema operativo. "Creemos que nuestra solución de endurecimiento era mucho más elegante que tomar una pistola de pegamento caliente y llenar todos los puertos USB", señala Phillips.
El último paso en el endurecimiento es la prueba. "Cada vez que se hacen los cambios de configuración de seguridad, pueden tener un impacto en la capacidad de gestión, facilidad de uso o la compatibilidad de aplicaciones", comenta Carpenter.
Makohon está de acuerdo. "Es importante probar las configuraciones de la plataforma no solo desde el punto de vista de la funcionalidad, sino también desde un punto de vista de rendimiento y disponibilidad después de que hayan sido endurecidas", indica.
Todas las pruebas deben ser realizadas bajo condiciones del mundo real. "Si los sistemas se han endurecido en un entorno de prueba, ¿pueden tener un fácil acceso y manejo?", se pregunta Makohon. "Una cosa es si aún pueden realizar su función principal, salvo que todavía pueda obtener la información requerida con el fin de ver cómo se está realizando, para ver qué tipos de registros se están escribiendo, o que [sistema] está disponible para ayudar a rastrear la presencia de un intruso malicioso o un ciberdelincuente?
Phillips aconseja a los administradores que hagan un buen trabajo y que se aseguren de que las características han sido removidas, no que solo estén inactivas. Hay una gran diferencia entre la eliminación de una función o comando y simplemente bloquearlo. "Si hay algo que simplemente no existe, los usuarios tienen menos probabilidades de sentirse frustrados, en lugar de ver una opción visible que no va a funcionar", añade Phillips. También existe la posibilidad de que un atacante pueda aprovechar una característica latente.
Sin embargo, Phillips advierte a los gerentes que están haciendo un esfuerzo máximo de protección, a que no endurezcan su software hasta el extremo de perjudicar su funcionalidad. "Quiere que las cosas tengan restricciones, pero las herramientas necesitan dar apoyo y ser flexibles para lograr los objetivos del negocio", señala. "Esto es algo en lo que veo que TI falla una y otra vez".
Makohon coincide. "Recuerde -afirma- que el objetivo es endurecer las cosas, no hacer que las cosas más difíciles de usar".
John Edwards, Computerworld (US)