Tim White, Director de Gestión de productos, Cumplimiento de políticas en Qualys , analiza cómo la expansión de los programas de vulnerabilidad y gestión de riesgos puede eliminar las configuraciones erróneas de seguridad. Muchos no se dan cuenta de que las configuraciones erróneas pueden explotarse tan fácilmente como una pieza vulnerable de software para resultar en un compromiso.
Aquí hay una transcripción del podcast para su conveniencia.
Hola, mi nombre es Tim White con Qualys. Soy el Director de Gestión de productos para productos de conformidad. Y hoy voy a hablar sobre la ampliación de sus programas de vulnerabilidad y administración de riesgos para eliminar las configuraciones erróneas de seguridad.
Muchas organizaciones concentran mucha energía en la mitigación de la vulnerabilidad; parches y esos son aspectos extremadamente importantes de la seguridad de la información. Sin embargo, muchas veces las configuraciones erróneas son una fuente de vulnerabilidad o, a menudo, se pasan por alto. Software mal clasificado, configuraciones incorrectas, como parte de los requisitos de vulnerabilidad y gestión de riesgos. Y por una buena razón, existe la expectativa de que todas las organizaciones implementen una buena protección de datos y la diligencia debida para evitar infracciones.
Como hemos visto con mucha actividad reciente durante el año pasado, las configuraciones erróneas pueden explotarse tan fácilmente como una pieza vulnerable de software para producir un compromiso, y combinar un enfoque mixto de exploits de vulnerabilidad y explotaciones de configuración como en casos como Petya. donde vimos el uso de privilegios de cuenta elevados para obtener acceso a otros sistemas, puede ser una fuente importante de exposición al riesgo para las organizaciones.
También vemos tendencias regulares que aumentan los requisitos prescriptivos, para ampliar el aliento de los requisitos para cubrir secciones del entorno que pueden no necesariamente tocar datos regulados, y la razón por la que vemos es que la superficie de ataque es tan grande en las organizaciones de hoy que el hecho de no implementar los controles de seguridad adecuados en esas secciones en el entorno aumenta el riesgo para las partes del entorno reguladas o protegidas.
Esperamos ver, con la adopción de la preparación de GDPR y la ampliación de los requisitos regionales de los que he hablado en mis podcasts anteriores , que esos continuarán impulsando más requisitos en un ámbito más amplio de la organización. Especialmente con la adopción de nuevas tecnologías, los procesos de DevSecOps , por ejemplo, así como la migración de la tecnología a la nube, y vemos actualizaciones más frecuentes al código, más automatización, y con eso existe la posibilidad de una mala configuración en la deriva de la configuración.
La evaluación de la configuración es un requisito importante para las organizaciones que desean reducir su exposición al riesgo. Y lo hemos visto una y otra vez en una variedad de diferentes estudios desde el DBIR hasta el grupo de cumplimiento de políticas de TI, y eso significa que la configuración incorrecta es una de las principales fuentes de exposición que permanece en las 5 áreas principales que comúnmente se explotan.
Algunas configuraciones erróneas comunes que las organizaciones pueden considerar son cosas como la falta de implementación de UAC o derechos excesivos. El ejemplo de Petya, muchas organizaciones utilizan a los usuarios autenticados en sus grupos locales de administración en sus computadoras portátiles para que puedan instalar el software y eliminar el software, y arreglar las cosas cuando están en el camino. Y aunque eso hace que la vida sea conveniente, también les brinda a esos usuarios acceso a máquinas pares y cualquier cosa a la que tenga acceso un usuario si su sistema se ve comprometido y el atacante tendrá acceso a él.
Por lo tanto, es un uso de derechos excesivos, la imposibilidad de garantizar el acceso a los archivos críticos, el bloqueo de acceso a los registros, las reglas del firewall. Y también, como sabrá, por supuesto, las cuentas predeterminadas y las contraseñas débiles siguen siendo áreas críticas de mala configuración en las que debemos centrarnos.
Evaluaciones periódicas: muchas organizaciones pensarán que usan una imagen dorada, ese sistema no requiere una nueva evaluación. Porque dejó la TI en un estado seguro. O si está obteniendo los derechos de administrador de sus usuarios, ciertamente no puede confiar en el hecho de que no va a cambiar. Incluso si tiene controles bastante estrictos en la cuenta, aún podría haber derivaciones de configuración con cientos de configuraciones de seguridad en entornos de TI extremadamente dinámicos y complejos. La verificación puntual de esos sistemas simplemente no escala. Todos los tipos de esta aproximación diferente terminarán por la deriva de la configuración, por lo que evaluarlos con mayor frecuencia es realmente crítico. Avanzando hacia la evaluación de configuración continua, el cumplimiento continuo es clave para evitar que este tipo de problemas se conviertan en una exposición de riesgo significativa para su organización. El viejo adagio «un punto en el tiempo ahorra nueve», sin duda se aplica cuando estamos mirando la evaluación de la configuración.
Hoy definitivamente hay mucho que debe hacer, la automatización de la evaluación de la configuración es la clave para poder obtener un alcance de sus configuraciones erróneas. No tiene que remediar todas las configuraciones erróneas. Comience con algo como el punto de referencia CIS, comience un perfil de nivel 1 o incluso un subconjunto del perfil de nivel 1. Docus sobre controles que van a tener un gran impacto en la reducción de riesgos. Hay cosas como configuración de cuenta débil, requisitos de contraseña y antigüedad mínima de la contraseña, cosas básicas que puede descuidar en su entorno de escritorio o en entornos de servidor no críticos.
Concéntrese primero en corregir esos problemas, implementando los controles adecuados y cualquiera que sea su sistema de administración de usuarios, asegúrese de estar utilizando los controles apropiados en Active Directory para forzar la configuración del escritorio. Implemente buenas prácticas de seguridad como mínimo privilegio, no otorgue a sus usuarios derechos de administrador o al menos active el UAC para que al menos tengan que interactuar con el sistema antes de que sus privilegios administrativos estén apalancados. Y luego mire la evaluación de configuración como una metodología para validar si esas configuraciones funcionan en el entorno.
Qualys proporciona una evaluación de la configuración de seguridad que proporciona un complemento liviano que puede usar fácilmente para examinar su vulnerabilidad en el programa de administración de riesgos, para incluir la evaluación de la configuración con una cobertura extremadamente amplia de muchos sistemas operativos. Un conjunto importante de controles está preconfigurado para que coincida con los puntos de referencia CIS, que se pueden utilizar para escanear o recopilar datos en tiempo real a través del agente de Qualys, para automatizar su programa de evaluación de la configuración de seguridad continua.
Gracias por escucharnos hoy y esperamos volver a hablar con usted en otro podcast en el futuro.
Fuente: Helpnetsecurity.com
