Evitando dolores de cabeza al incluir el análisis de vulnerabilidades dentro del checklist de alistamiento o recepción de equipos

Te voy a mostrar el porqué es importante que tengas en cuenta el análisis de vulnerabilidades cuando recibes equipos de terceros para incluir en tu red o cuando pasas equipos a producción, llámense estaciones de trabajo, equipos de networking o servidores. 

Uno de los aspectos comunes, es recibir equipos de terceros y ponerlos directamente en producción sin realizar el respectivo análisis de vulnerabilidades, esto se da cuando tenemos contratados servicios de outsourcing con equipos incluidos o cuando contratamos servicios sin importar la infraestructura que ponga el tercero. 

En algunos casos se puede presentar que los equipos puestos no tengan la seguridad mínima, siendo equipos obsoletos, o con falta de mantenimiento, por ello, cuando reciba equipos, debes exigir que se encuentren actualizados y que se les haya realizado las pruebas de seguridad para verificar la ausencia de vulnerabilidades. 

"Si contratas servicios de terceros, incluye siempre dentro de los contratos que la entrega de software, desarrollos, equipos e infraestructura se encuentren libres de vulnerabilidades, ten en cuenta que esto también aplica para el arrendamiento de equipos."

Todo equipo que se conecta a la red de la organización, está propenso a tener vulnerabilidades, por ello, el incluir el análisis de vulnerabilidades dentro del checklist de alistamiento o paso a producción, puede ahorrarte dolores de cabeza innecesarios, veamos algunos escenarios de riesgo: 

  • Portátil asignado a personal VIP el cual viaja constantemente y suele conectarse a distintas redes, puede estar en riesgo si no tiene el equipo actualizado y el software de protección adecuado.
  • Asignación de estaciones de trabajo a usuario final sin aplicación de parches, ejemplo: wanna cry, (si, aún al día de hoy esto pasa)
  • Puesta en producción de equipos con sistema operativa obsoleto, ejemplo: Windows 2008 Server, Windows 2012 server, windows 7, contienen vulnerabilidades que ya no parcha el fabricante. 
  • Equipos de infraestructura como switches obsoletos, firewalls, UTM, access point, estos equipos también tiene vulnerabilidades y son lo que menos se chequean.

Recuerda que todo análisis de vulnerabilidades debe realizarse con credenciales administrativas incluyendo los análisis que se les hacen a los equipos de networking. 

En próximos artículos hablaremos acerca de la aplicación de plantillas de seguridad, por el momento,  incluye esto dentro del checklist y tu seguridad mejorará notablemente. 


Ahora son 18 los controles de ciberseguridad del CIS en su versión 8

Este mes fue liberada la versión 8 de los controles de ciberseguridad sugeridos por CIS (Center for Internet Security), los cuales en su versión anterior 7.1 eran 20 controles, ahora son solo 18 controles. 

El texto del documento es un paso de un proceso para diseñar, implementar, medir, informar y gestionar la seguridad de la empresa y se adapta completamente a cualquier marco que esté usando la organización. 

Cada uno de los controles conserva la siguiente estructura:

  • Resumen. Una breve descripción de la intención del Control y su utilidad como acción defensiva
  • ¿Por qué es crítico este Control? Una descripción de la importancia de este control para bloquear, mitigar o identificar ataques, y una explicación de cómo los atacantes explotan activamente la ausencia de este control
  • Procedimientos y herramientas. Una descripción más técnica de los procesos y tecnologías que permiten la implementación y automatización de este Control
  • Descripciones de salvaguarda. Un cuadro con las acciones específicas que las empresas deben realizar para aplicar el Control

En esta nueva versión, los controles se apoyan en tres grupos llamados IG1, IG2 e IG3 y cada uno contiene al anterior, es decir, IG1 está contenido dentro de IG2 y todos están contenidos en IG3. El primero de ellos corresponde al los controles básicos que deberán tener las empresas en lo que se refiere a ciber higiene. 

Adicionalmente, cada control tiene un número de salvaguardas las cuales estarán dentro de cada uno de los grupos de IG1, IG2 o IG3 y su aplicación dependerá del grado de adopción de la ciberseguridad dentro de la organización. 

Aquí está un ejemplo de las salvaguardas del control número 1:



Este documento está recién salido del horno y aún no se encuentra traducido a otros idiomas por lo que su consulta deberá hacerse en su idioma original, ingles. 

En mi concepto es un documento muy bien elaborado, fácil de entender y aplicar, adicionalmente, apoya los marcos de seguridad implementados sin entrar en controversia. 

Puedes consultar los documentos completos en el siguiente link: 

https://www.cisecurity.org/controls/v8/





Tres aspectos que debes cuidar cuando desarrollo de software debes abordar.

Aparte del diseño, código, lenguaje de programación, modelo de desarrollo, ciclo de vida y otros menesteres, estas son las tres cosas que debes tener en cuenta cuando desarrollas software y debes tener en cuenta la parte de seguridad. 

Al día de hoy, se hace completamente necesario que desarrolles software de forma segura y que entregues el aplicativo libre de vulnerabilidades, para esto debes tener en cuenta estos aspectos antes de entregar el producto final:

Análisis de vulnerabilidades en código fuente

Este es una de las cosas que debes tener en cuenta casi que desde el inicio del proyecto, los desarrolladores deben tener acceso a este servicio para ir probando su código a medida que avanzan en el desarrollo. Al finalizar la entrega del producto, deberás estregar el resultado final del análisis del código fuente para garantizar la seguridad del aplicativo.

Pruebas de carga y estrés 

Saber cuál es el punto de quiebre del aplicativo es sumamente importante, ya que con ello podrás tomar las acciones necesarias para evitar una no disponibilidad del servicio. Con las tecnologías actuales, el aprovisionamiento de nuevos nodos al vuelo es muy fácil de implementar para evitar del deterioro en la prestación de un servicio.

Pruebas de pentest

Debes evaluar el aplicativo en búsqueda de vulnerabilidades en el aplicativo en operación, algunas de ellas solo son posibles evaluarlas cuando el software es desplegado. 

Ten en cuenta que acá nos referimos solamente a lo que le concierne al aplicativo web, pero, es igualmente importante que evalúes la plataforma sobre la cual está alojada el servicio, ya que puedes tener un excelente aplicativo con todos los aspectos bien cuidados, montado sobre una plataforma descuidada lo cual dará como resultado un escenario catastrófico.

Existen muchos servicios adicionales que puedes tener en cuenta para proteger tu aplicativo, los cuales varían de acuerdo a tus necesidades y presupuesto, algunos de ellos son balanceadores de carga, dockers, WAF, honey pots, identificadores de tráfico válido, protectores de ataques DDOS entre otros. 

Si eres desarrollador, te recomiendo entregar el producto final con el resultado de las tres pruebas que te recomendé, esto será un plus para tu cliente y te diferenciara de tu competencia, y si eres el cliente, deberás incluir dentro de tus contratos el que se te entreguen los resultados de estas pruebas cuando recibas el aplicativo. Si no conoces del tema, te recomiendo una auditoría por un tercero.

Incluye siempre el componente de seguridad en todo desarrollo, con esto, estarás un poco más seguro. 


 



Conoce que es el múltiple factor de autenticación y porqué es importante para proteger tus datos.

En este post veremos lo que es la autenticación y los diferentes métodos que existen para autenticar una persona los cuales al combinar por lo menos dos de ellos nos dará lo que se conoce como múltiple factor de autenticación.

De todas las definiciones halladas en una búsqueda en Internet, me quedo con la siguiente: 

Autenticación: es el acto o proceso de confirmar que algo (o alguien) es quien dice ser.

Diariamente usamos la autenticación para tener acceso a los diferentes recursos que usamos, desde nuestro móvil, el acceso a un cajero electrónico mediante una tarjeta y un PIN, hasta el acceso a nuestro buzón de correo electrónico.  

Actualmente existen cuatro métodos para autenticar a una persona:

  • Algo que sé: generalmente se refiere a las contraseñas de acceso a un sistema.
  • Algo que tengo: un token (como los que entregan las entidades financieras), un móvil para recibir un mensaje de texto o un móvil con una aplicación que genera un código de autenticación.  
  • Algo que soy: un dispositivo biométrico, reconocimiento facial, lectores de huella, iris, palma de la mano, entro otros. 
  • Algo que hago: algo que digo, como camino, un gesto, una seña, como firmo (firma digital).

La combinación de por lo menos dos métodos se le conoce como múltiple factor de autenticación y está en el diario vivir, como en el ejemplo del cajero, utilización algo que tenemos y algo que sabemos. 

En la mayoría de las organizaciones solo utilizan un método de autenticación, algo que sabemos, la combinación de usuario y contraseña, por ello es fácil para un perpetrador intentar adivinar nuestras credenciales de acceso.

Para proteger tus datos, te recomiendo agregar un segundo factor de autenticación, la mayoría de los proveedores como Microsoft o Google los ofrecen sin costo adicional. A nivel empresarial, están a la mano opciones como Cisco DUO, OneLogin o LastPass entre otras.

El múltiple factor de autenticación pone mayor seguridad a tus datos, a los perpetradores les será más difícil acceder a ellos. 


Los diez mandamientos para gestionar cuentas de usuarios en las organizaciones

En este post te mostraré las diez principales recomendaciones que debes tener en cuenta para administrar las cuentas de los usuarios teniendo en cuenta la ciberseguridad. 

  1. Cada usuario deberá tener su propia cuenta. Esto te permitirá supervisar las actividades de cada cuenta. El uso de la cuenta de administrador por varias personas, dificulta la trazabilidad de la cuenta y la responsabilidad por el uso de la misma. 
  2. Deshabilitar las cuentas por defecto como “Administrador”, “Administrator”, “admin”, “root”. Estas son las cuentas más atacadas por los delincuentes, te recomiendo habilitar cuentas con los mismos privilegios y suspender el uso de estas cuentas. 
  3. Monitorear los controles de acceso y el comportamiento de los usuarios con permisos administrativos. Es una buena práctica el mantener monitoreados los usuarios que tienen privilegios elevados en búsqueda de posible fallas de seguridad.
  4. Utilizar contraseñas robustas y complejas (más de 14 caracteres alfanuméricos y símbolos). El que las contraseñas sean de más de catorce (14) caracteres se debe a un proceso de cifrado que sirve para evadir técnicas de hackeo, simplemente, la contraseña debe ser larga para mayor seguridad.
  5. Configurar la vida máxima y expiración de las contraseñas (al menos cada 2 meses). Por seguridad, toda contraseña debe ser cambiada por lo menos cada dos meses, al comienzo esta labor es tediosa, pero con el tiempo se hace rutinaria y fácil de ejecutar. 
  6. Bloquear las cuentas de los usuarios luego de cierta cantidad de inicios de sesión fallidos (Ejemplo: cinco intentos). Esto protege las cuentas de los usuarios de un ataque de diccionario o fuerza bruta, es decir, que alguien trate de adivinar la contraseña. 
  7. Agregar métodos de autenticación adicionales (MFA) siempre que sea posible. Una contraseña más un token son una muy buena opción para autenticar cuentas de usuarios. Siempre que pueda y si la tecnología lo permite, use múltiple factor de autenticación. 
  8. Almacenar las contraseñas de forma segura mediante gestores de contraseñas. La memoria puede fallar, sobre todo cuando se manejan múltiples cuentas y las contraseñas deben ser complejas, para esto, ayúdate de software que permita gestionar contraseñas de forma fácil y segura. 
  9. No reutilizar las mismas contraseñas para varios servicios. El que te lleguen a comprometer una contraseña solo afectará al servicio con el cual está conectada, cámbiale al menos un carácter a la contraseña para que se le dificulte al delincuente el ingresar a los demás servicios.  
  10. Asigna el menor privilegio posible.  Si el usuario no requiere privilegios administrativos pues no debes darlos, y si no requiere acceso a todo el contenido de un file server pues no lo des. Los accesos siempre deberán ser autorizados y monitoreados.  

Bonus: Dependiendo de tu organización, puedes agregar más recomendaciones como por ejemplo:

  • Bloquear usuarios después de 7 días de inactividad.
  • Revisar periódicamente las cuentas administrativas.
  • Todo acceso concedido fuera de lo normal deberá tener una fecha de caducidad.
  • Toda cuenta de usuario regular deberá tener una fecha de expiración.

Si sigues estas recomendaciones vas a tener mayor seguridad en cuanto al control de las cuentas de los usuarios se refiere. Como siempre, depende de ti el ajustar las recomendaciones a las necesidades de tu organización.