Seguridad + certificación: apuntalar sus defensas
Endurecimiento
Conteúdo
Por una serie de razones que no son pertinentes al tema de la certificación Security +, los sistemas no proceden de sus fabricantes en un estado completamente endurecido. Corresponde a la organización que utiliza los sistemas para llevar a cabo todos los procedimientos de endurecimiento que sean apropiados para su entorno.
El endurecimiento adecuado de un sistema se reduce a cinco principios:
- Mantenga los parches de seguridad y correcciones de curso. Prácticamente todos los proveedores hardware y software de vez en cuando libera los parches de seguridad. Es esencial que todas las organizaciones de utilizar el producto instalar el parche de seguridad tan pronto como sea posible a fin de evitar incidentes de seguridad.
- Deshabilitar o eliminar componentes innecesarios. Si un componente de software en un sistema no se utiliza, es probable que sea innecesario. Cada componente innecesario en un sistema bien debe estar desactivado o, mejor aún, eliminado por completo. Cuando se elimina un componente de software de un sistema, entonces cualquier vulnerabilidad descubierta en ese componente no puede suponer un riesgo para el sistema. Si el componente defectuoso no se está ejecutando o no está presente, entonces no puede ser utilizado para irrumpir en un sistema.
- Desactivar configuraciones de acceso por defecto. Sistemas y dispositivos de red pueden tener cuentas y / o contraseñas por defecto que, si no es modificada, proporcionan fácil acceso de un intruso. Las cuentas de invitado deben ser inhabilitadas o contraseñas por defecto removed- deben ser transformados, cuentas sin contraseñas deben ser inhabilitadas o contraseñas asignadas.
- Apriete los controles de acceso. Con demasiada frecuencia, los permisos de acceso a recursos tales como programas o archivos son demasiado laxos. En un esfuerzo por conseguir un nuevo servicio en funcionamiento, los administradores de sistemas cambian con frecuencia los controles de acceso a "abiertos" y luego, en su prisa por terminar el proyecto, la negligencia para apretar el acceso. Más tarde, el acceso "de par en par" puede ser explotado por un intruso que pueden robar o dañar información.
- Encienda el registro de auditoría. Muchos sistemas operativos y aplicaciones, mientras que contienen una función de registro de eventos / acceso / auditoría, con frecuencia se envían con el registro apagados o discapacitados. Mediante el uso de registro de eventos, puede ser posible volver a rastrear algunas de las medidas adoptadas por un intruso.
Estos principios universales se aplican en casi todas las situaciones en relación con los ordenadores y dispositivos de red. Si los ingenieros de sistemas y redes son diligentes y seguir estos principios, entonces se puede prevenir la mayoría de los posibles incidentes de seguridad.
Fallas de seguridad y parches
Los ordenadores y dispositivos de red tienen en su núcleo una o más programas de software que controlan su funcionamiento. Están escribiendo, instalados y administrados por seres humanos imperfectos, a veces los ordenadores y dispositivos de red contienen defectos que permiten un comportamiento inesperado. De vez en cuando este inesperado comportamiento resulta en que alguien sea capaz de controlar o alterar el sistema. Esto se conoce generalmente como una falla de seguridad.
Otras disfunciones en consecuencia el software en el sistema simplemente no se ejecuta como se esperaba. Si bien no puede tomar la forma de defectos de seguridad, pueden ser irritantes, no obstante.
Las compañías que fabrican y sistemas de apoyo tienen las personas cuyo trabajo es crear actualizaciones de software. Dependiendo de la razón para la creación de la actualización, puede tomar muchas formas:
- Lanzamiento Servicio. También conocido como una actualización de versión o service pack, relés de servicio por lo general contienen muchas correcciones, e incluso cuentan con mejoras o actualizaciones. Relés de servicio se producen generalmente de una a tres o cuatro veces al año.
- Patch. También conocido como una revisión, un parche está diseñado para cambiar un problema específico. Si bien los cambios en un parche se incluyen normalmente en una versión de servicio, en general, un parche se produce porque hay una urgencia elevado. Normalmente, un proveedor produce un parche porque considera que sus clientes deben instalarlo inmediatamente en lugar de esperar a la próxima versión de servicio para abordar la cuestión.
Deshabilitar servicios innecesarios
Una aplicación o servicio no utilizado pero el funcionamiento pueden aumentar el riesgo a un sistema. Tomemos, por ejemplo, el servicio FTP. FTP es la seguridad fiable y adecuada cuando se configura correctamente.
Supongamos, por ejemplo, que un grave defecto fue descubierto en FTP. Digamos, si usted ha proporcionado un cierto patrón en el campo de contraseña, usted sería capaz de controlar el sistema. Esto pondría en peligro la integridad del sistema. Sin embargo, si FTP no fue utilizado en un sistema dado, entonces debería ser deshabilitado o eliminado. Esto eliminaría la amenaza causada por la falla de FTP, FTP, porque si no se está ejecutando en el sistema, entonces no puede ser explotado con el fin de poner en peligro el sistema.
Acceso predeterminado Desactivar
Con el fin de facilitar su configuración inicial o utilizar, muchos sistemas se envían al cliente con una cuenta de invitado, y tal vez una contraseña por defecto en una o varias cuentas administrativas. Si estas cuentas no se cambian o discapacitados, a continuación, un intruso que conoce las contraseñas por defecto de fábrica o de otros métodos de acceso podría ser capaz de controlar un sistema.
Es imperativo, entonces, para llevar a cabo alguna o todas de las siguientes:
- Deshabilitar o eliminar cuentas de invitado.
- Cambie las contraseñas por defecto en las cuentas.
- Asegúrese de que todas las cuentas tienen contraseñas.
Cuentas y contraseñas son la primera línea de un sistema de defensa, por lo que es importante no hacerlo también fácil para un intruso para comprometer su sistema.
Apriete los controles de acceso
El acceso a todo lo relacionado con las computadoras y las redes debe ser restringido sólo a aquellos individuos que tienen una razón de negocios de buena fe para acceder a ellos. Tenga en cuenta los siguientes consejos:
- Resista la tentación de cambiar los permisos de acceso a la "abierta" (que permite el acceso a todo el mundo).
- Adoptar el principio de "negó menos que explícitamente permitido". En otras palabras, el permiso de acceso por defecto a un recurso debe ser "denegada". Entonces, permitir explícitamente el acceso a grupos o individuos específicos según sea necesario. Esto funciona mejor que "permita a menos negó explícitamente", que permite a los nuevos usuarios a acceder a un recurso de otra forma cerrada (a menos que el administrador es el 100 por ciento diligente y siempre añade cada nuevo usuario a la lista de todos los recursos gestionados "negado").
- Adoptar el principio de "los usuarios sólo tienen el menor número de privilegios necesarios para que puedan desempeñar su trabajo." Esto se conoce como el principio de "privilegio menos."
Encienda el registro de auditoría
Registro de auditoría es una característica presente en la mayoría de sistemas operativos, bases de datos y aplicaciones más grandes, donde la mayoría (si no todas) las operaciones administrativas de usuario y se registran de forma independiente. Esto proporciona una pista de auditoría que se puede utilizar para reconstruir la rutina o eventos inusuales.
Auditoría de registro como mínimo debe contener los siguientes elementos que describen una transacción o evento:
- Quien realizado la transacción. Este es generalmente el identificador de usuario asociado a la transacción.
- Cuando Se llevó a cabo la transacción.
- Qué estaba contenida en la transacción. Dependiendo de la naturaleza de la transacción, ésta puede contener "viejos" y "nuevos" valores, o una descripción de la transacción.
- Dónde Se llevó a cabo la transacción. Esta será generalmente una ID de terminal o una dirección IP.