[02/10/2019] La mayoría de las empresas no evalúan adecuadamente los riesgos de seguridad informática y terminan con controles mal alineados con sus mayores riesgos. Muchos profesionales de la seguridad lo saben, por lo que después de muchas de mis charlas sobre gestión de riesgos, se me preguntará qué controles implementar de la lista de los 20 controles críticos más importantes de SANS.
La mayoría de los profesionales de seguridad informática más serios que conozco esperan con interés cada una de las actualizaciones de SANS Top 20 y el póster que viene con ellas. Contiene muy buenos consejos de defensa de seguridad informática, pero como con cualquier lista de acciones, es imposible hacer más que unas cuantas cosas a la vez. Lo que sigue es un consejo sobre qué controles hacer primero, pero primero permítanme proporcionarles un poco de historia en la lista de SANS.
Ahora son los controles CIS
SANS entregó la lista Top 20 al Centro de Seguridad de Internet (CIS) hace años, y ahora se llama CIS Critical Security Controls. El CIS es otra organización de seguridad informática altamente respetada y sin fines de lucro que ha existido durante décadas. Probablemente son más conocidos por publicar sus recomendaciones y puntos de referencia sobre seguridad de las mejores prácticas de sus sistemas operativos. Si desea obtener las recomendaciones de una entidad independiente y no gubernamental para proteger Microsoft Windows, vaya al CIS.
Los Controles de Seguridad Crítica CIS.
La lista SANS comienza con Tony Sager
Que el CIS haya recogido la lista de los 20 mejores de SANS no es una gran sorpresa, si se conoce su historia. La lista comenzó con Tony Sager, vicepresidente principal y evangelista jefe del CIS. Tony es probablemente más famoso por su serie de conferencias Fog of More, donde argumenta que la sobrecarga de información es uno de los principales problemas contra una mejor seguridad informática.
Tony es un tipo inteligente y considerado que pasó 34 años trabajando para mejorar la seguridad informática en la Agencia Nacional de Seguridad (NSA). La mayoría de la gente solo piensa en la NSA como espías y espías, pero también tienen la tarea de proteger a Estados Unidos ayudándonos a construir e implementar mejores defensas. Para ese último objetivo, Tony era una de las personas principales. Dirigió uno de los primeros "equipos azules" dentro de la NSA, y finalmente se convirtió en el líder principal de los programas de Análisis de Vulnerabilidad y Operaciones de la NSA.
"Probablemente soy una de las pocas personas de la NSA que puede decir que pasó toda su carrera en el lado de la defensa de la agencia", señala Sager. "Tengo que ver cómo los sistemas fallaron más que nadie. Pude ver lo que funcionaba y lo que no funcionaba en la protección de las computadoras, tanto desde el punto de vista de lo que un país hacía para entrar en otro país, como de cómo lo hacían, como se les detenía".
Sager señala que la lista original vino de él y de otras personas que un día se quedaron atascadas en una habitación y trataron de hacer una lista pequeña. "No queríamos una lista que pudiera resolver todos los problemas del mundo". Querían elegir un puñado de elementos que cada uno pudiera acordar que serían sus principales recomendaciones para cualquiera que quisiera defender sus computadoras y redes. Al final de un día, salieron con una lista corta, que eventualmente se convirtió en diez controles. Lo hicieron revisar por pares y Sager finalmente envió su lista al Pentágono "como un gesto amistoso", como él dijo.
Se sorprendió al ver que su lista despegaba y ganaba credibilidad. Allen Paller de SANS, a quien Tony conocía debido a la estrecha colaboración de SANS con el gobierno, llamó y preguntó si SANS podía tomar la lista, enseñarla y promoverla. Tony estaba emocionado. Con el paso de los años, la lista de los Top 10 se convirtió en la de los Top 20. Se convirtió en la lista que los profesionales serios de la seguridad informática usarían para ayudar a proteger sus entornos.
Eventualmente, SANS y Tony pensaron que lo correcto para una guía que se había convertido en una guía de seguridad global de facto, era entregarla a una organización sin fines de lucro. Así que, pasó de la NSA al Pentágono a SANS a CIS. Así que, después de décadas, la lista de Tony está en una organización en la que Tony está involucrado para mantenerla a salvo.
Esta es una breve historia de los 20 Controles Principales, ahora de vuelta a los que debería implementar primero.
Los cinco mejores controles del CIS Top 20
Todos los controles CIS Top 20 deben ser implementados. No hay ninguno que no deba ser considerado e implementado tan pronto como sea posible. Realmente son el mínimo de lo que todo programa de seguridad informática debería tener. Dicho esto, tienes que empezar por algún lado.
Esta es mi lista de los cinco primeros:
- Implementar un programa de sensibilización y capacitación en seguridad
- Gestión continua de vulnerabilidades
- Uso controlado de privilegios administrativos
- Mantenimiento, seguimiento y análisis de los registros de auditoría
- Respuesta y gestión de incidentes
Implementar un programa de sensibilización y capacitación en seguridad: Hasta el 90% de todas las brechas de datos maliciosos ocurren debido al phishing y a la ingeniería social, de acuerdo con el Informe de investigaciones de brechas de datos de Verizon 2019. Eso por sí solo hace que este primer control sea muy sencillo. Al igual que muchos tipos de ataques, puede combatir utilizando una combinación de controles técnicos (por ejemplo, firewalls, anti-malware, anti-spam, anti-phishing, filtrado de contenido) y capacitación.
Independientemente de los controles técnicos que utilice, algunos de los mensajes de phishing llegarán al usuario final. Por eso es importante que enseñe a todos los usuarios cómo reconocer el maltrato, y qué hacer una vez que lo vean. La forma en que lleve a cabo la capacitación de concienciación sobre seguridad depende de usted, pero la educación debe realizarse varias veces al año, probablemente más de una vez al trimestre. Los entrenamientos con menos frecuencia no ayudan mucho a reducir el riesgo.
Gestión continua de vulnerabilidades: El software no parcheado está implicado en entre el 20% y el 40% de todas las brechas de datos exitosas, lo que lo convierte en la segunda razón más frecuente por la que las organizaciones son violadas con éxito. La gestión de vulnerabilidades debería ser su prioridad número dos. Esto significa no solo analizar su entorno en busca de vulnerabilidades y parches faltantes, sino también automatizar la mayor parte posible de esos parches.
¿Qué necesita ser parcheado? Bueno, de las 16.555 vulnerabilidades separadas anunciadas el año pasado, menos del 2% se utilizaron para comprometer a una organización. Casi todos ellos tenían código de explotación que estaba en estado salvaje, el mejor predictor de si una vulnerabilidad de software se utilizará para atacar a una organización. Si no hay ningún exploit en la lista del dominio público, dele menos criticidad.
En segundo lugar, todos sabemos que las vulnerabilidades más atacadas del lado del cliente son los navegadores y los complementos del navegador, seguidos de los agujeros del sistema operativo. En el lado del servidor, las vulnerabilidades están relacionadas principalmente con el software del servidor web, las bases de datos y la gestión del servidor. Sí, se pueden atacar otros tipos de software, pero estas categorías son, con mucho, las más atacadas. Comience por aplicar parches agresivos a este tipo de programas de software y el riesgo de seguridad de su computadora disminuirá drásticamente.
Uso controlado de privilegios administrativos: Minimizar el número de cuentas de administración y usar alta seguridad para proteger las cuentas de administración es una buena idea. La mayor parte de la maldad que intenta irrumpir en su entorno buscará cuentas elevadas como su primer objetivo después de la explotación inicial, para que puedan hacer el máximo daño. Cada cuenta de administrador que no tiene y que no usa regularmente es un obstáculo para un atacante.
- Minimizar el número de miembros de cualquier grupo elevado.
- Requerir que todas las cuentas elevadas usen autenticación multifactorial para iniciar sesión.
- Exigir la verificación de credenciales elevadas.
- Limitar el tiempo de pago.
- Registrar por favor cualquier uso y pago de este tipo.
¿Desea detener los peores abusos maliciosos de sus equipos y de la red? Evitar que el malo se convierta en administrador y root.
Mantenimiento, seguimiento y análisis de los registros de auditoría: El informe de investigaciones de violación de datos de Verizon concluye que la mayoría de los registros de seguridad contienen evidencia de allanamientos maliciosos, y que el daño resultante podría haberse minimizado si las organizaciones hubieran analizado sus registros. Lo entiendo. Recolectar y analizar los registros no es fácil. Requiere recolectar cientos de millones de eventos, la mayoría de los cuales no indican malicia, y encontrar las agujas críticas en un pajar.
Es por eso que necesita un sistema de registro de eventos de primera clase que agregue y analice sus registros por usted. Un buen sistema de gestión de eventos de información de seguridad (SIEM, por sus siglas en inglés) debería hacer todo el trabajo duro por usted. Todo lo que necesita hacer es responder a los eventos sospechosos indicados, y modificar y entrenar el sistema para minimizar los falsos positivos y los falsos negativos.
Respuesta y gestión de incidentes: No importa lo que hagas, la maldad pasará por sus defensas. No hay una defensa perfecta, así que planee fracasar lo mejor que pueda. Esto significa desarrollar personas, herramientas y procesos eficaces de respuesta a incidentes. Cuanto mejor y más rápida sea la investigación y la reparación de los incidentes, menor será el daño que la gravedad pueda causar a su entorno.
Hay muchos otros fuertes contendientes para los cinco controles principales que deberías estar implementando (como los controles del correo electrónico y del navegador), pero éstos son los que yo pondría en la parte superior de la lista de cualquiera. Unos pocos controles no ayudan realmente tanto como mucha gente piensa, como el control de acceso a la red y la política de contraseñas. Cada minuto que la gente gasta en esos dos controles es tiempo que no se dedica a las cuestiones más importantes.
Un último comentario: Las causas de explotación más comunes (ingeniería social y software no parcheado) han sido los tipos de ataques más comunes desde que se inventaron las computadoras. Las cosas que tenemos que hacer para luchar contra ellos tampoco han cambiado mucho. Solo tenemos que centrarnos en ellos y mitigarlos en beneficio de las minorías.
Roger A. Grimes, CSO (EE.UU.)
Columnista en seguridad desde el 2005, Roger Grimes posee más de 40 certificaciones informáticas y es autor de diez libros sobre seguridad informática.