Redes

Introduccin: Los controles crticos para la efectiva Ciber Defensa
Para proteger contra los ataques cibernticos, las organizaciones deben defender vigorosamente sus redes y sistemas de una variedad de amenazas internas y externas. Ellos tambin deben estar preparados para detectar y frustrar las actividades de ataque de seguimiento en perjudiciales dentro de una red que ya ha sido comprometido. Dos principios rectores son: "La prevencin es lo ideal, pero la deteccin es una necesidad" y "ofensa informa de defensa."
El objetivo de los controles crticos

El objetivo de los controles crticos es la de proteger los activos crticos, la infraestructura y la informacin mediante el fortalecimiento de la postura defensiva de su organizacin a travs de Proteccin automatizada y continua y el seguimiento de su sensible infraestructura de tecnologa de la informacin para reducir los compromisos, reducir al mnimo la necesidad de que los esfuerzos de recuperacin, y reducir los costos asociados .
Por qu los controles funcionan tan bien: Metodologa y Colaboradores

La fuerza de los controles crticos es que reflejan el conocimiento combinado de los ataques reales y defensas eficaces de expertos en las muchas organizaciones que tienen conocimiento exclusivo y profundo sobre las amenazas actuales. Estos expertos provienen de mltiples agencias del Departamento de Defensa de EE.UU., Laboratorios Nuclear del Departamento de Energa de EE.UU., el Estado de Alerta Equipo EE.UU. Informtica del Departamento de Seguridad Nacional, Centro del Reino Unido para la Proteccin de las infraestructuras crticas, el FBI EE.UU. y otras agencias del orden pblico, las Seales de Defensa de Australia Direccin y el gobierno y los probadores de penetracin civiles y administradores de incidentes. Los mejores expertos de todas estas organizaciones unieron su amplio conocimiento de primera mano de los ataques cibernticos actuales y desarrollaron una lista de consenso de las mejores tcnicas de defensa para detenerlos. Esto ha garantizado que los controles crticos son el conjunto ms eficaz y especfica de las medidas tcnicas disponibles para detectar, prevenir y mitigar los daos de los ms comunes y perjudiciales de esos ataques. Adems, el Consorcio para la Ciberseguridad Accin (CCA) se cre en 2012 para garantizar que las versiones actualizadas de los controles crticos incorporan la 1 informacin sobre la amenaza ms relevante y para compartir las lecciones aprendidas por las organizaciones ejecutoras ellos. La lista de las agencias gubernamentales y organizaciones privadas de en todo el mundo que participan en el CCA se ha expandido de manera significativa, y cada miembro se ha comprometido a compartir informacin sobre los ltimos ataques y las causas profundas de esos ataques. Por lo tanto, los controles son a la vez un documento vivo actualizada peridicamente con base en el cambio de las amenazas, as como un slido programa, prioridad para la toma de las defensas fundamentales de seguridad informtica, un proceso bien entendido, replicable, medible, escalable, confiable, automatizable y continua. Los controles se ocupan de mltiples tipos de atacantes informticos, incluidos los empleados maliciosos internos y contratistas, agentes externos individuales independientes, los grupos del crimen organizado, terroristas y actores del Estado-nacin, as como mezclas de estos diferentes amenazas. Los controles no se limitan a bloquear el compromiso inicial de los sistemas, sino tambin la deteccin de direccin de mquinas ya comprometidos-y prevenir o interrumpir las acciones de seguimiento atacantes. Las defensas identificados a travs de estos controles se ocupan de la reduccin de la superficie de ataque inicial por el endurecimiento de seguridad, la identificacin de las mquinas comprometidas para enfrentar las amenazas a largo plazo dentro de la red de una organizacin, e interrumpiendo-mando y control de los atacantes de cdigo malicioso implantado.
Sobre la base de las lecciones aprendidas en el desarrollo de normas de seguridad ciberntica

Los controles crticos abarcan y amplifican los esfuerzos durante la ltima dcada para desarrollar estndares de seguridad, incluido el Programa de Automatizacin de Contenido de Seguridad (SCAP), patrocinado por el Instituto Nacional de Estndares y Tecnologa (NIST) y los hitos del Plan Associated manejable de red y tareas de seguridad de red desarrollados por la Agencia de Seguridad Nacional (NSA).En particular, el trabajo de la NSA permiti priorizar los controles en funcin de si se dirigen a las condiciones operativas de ser dirigida y explotada de forma activa, a combatir un gran nmero de ataques, ataques de bloque al principio del ciclo de compromiso, y tratar con un alto impacto esperado de una explotacin exitosa. Los controles se centran en la automatizacin para proporcionar la eficiencia de costes, resultados medibles, escalabilidad y fiabilidad. Los cinco principios fundamentales de un sistema de defensa ciberntica eficaces como se refleja en los controles crticos son: Ofensa informa defensa: Usar el conocimiento de los ataques reales que han puesto en peligro los sistemas para proporcionar la base para construir, defensas eficaces y concretas. Incluya slo los controles que se pueden mostrar para detener los ataques del mundo real conocidos. Priorizacin: Invertir en primer lugar en los controles que proporcionarn la mayor reduccin del riesgo y la proteccin contra los agentes de amenazas ms peligrosas, y que pueden ponerse en prctica viable en el entorno informtico. Mtrica: Establecer sistemas de medicin comunes para proporcionar un lenguaje comn para los ejecutivos, especialistas en TI, auditores y funcionarios de seguridad para medir la eficacia de las medidas de seguridad dentro de una organizacin para que los ajustes necesarios se pueden identificar e implementar rpidamente. Monitoreo continuo: Llevar a cabo un seguimiento continuo para probar y validar la eficacia de las medidas de seguridad actuales. Automatizacin: Automatizar las defensas de manera que las organizaciones pueden obtener mediciones confiables, escalables y continuas de su adhesin a los controles y mtricas relacionadas.
Beneficio no anticipada
Cientos de organizaciones de las agencias nacionales de seguridad ciberntica a las medianas empresas han adoptado los controles crticos como su norma de 2 la diligencia debida, y algunos estn reportando beneficios ms all de la mejora de la seguridad. Con tantas organizaciones que piden los mismos controles, los compradores reportan que ms vendedores son compitiendo agresivamente por ofrecer precios ms bajos, sobre todo cuando los organismos gubernamentales se unen para comprar en volumen.
Cmo las organizaciones estn aplicando los controles
Decenas de los primeros usuarios de los controles crticos han compartido sus experiencias y las lecciones aprendidas con el Consorcio para la Seguridad Ciberntica Accin (CCA). Ha surgido un patrn de pasos comunes a muchas organizaciones que han logrado avances sustanciales en la reduccin del riesgo utilizando los controles crticos: Paso 1. Realizar evaluacin de las carencias inicial - la determinacin de lo que se ha implementado y donde sigue habiendo lagunas para cada control y subcontrol.
Paso 2. Desarrollar un plan de trabajo de implementacin - la seleccin de los controles especficos (y sub-controles) que se ejecutarn en cada fase, y la programacin de las fases basadas en consideraciones de riesgo empresarial. Paso 3. Implementar la Primera Fase de los controles - la identificacin de las herramientas existentes que pueden ser reutilizados o ms utilizaron en su totalidad, las nuevas herramientas para la adquisicin, los procesos para ser mejorados, y las habilidades que se desarrollarn a travs de la formacin. Paso 4. Integrar los controles en las operaciones - se centra en el seguimiento y la mitigacin continua y tejiendo nuevos procesos en las operaciones de adquisicin y de gestin de los sistemas estndar. Paso 5. Informe y gestionar los avances en contra de la Hoja de Ruta de Implementacin desarrollado en el Paso 2. A continuacin, repita los pasos 3-5 en la siguiente fase de la Hoja de Ruta. La CCA est elaborando caso se detalla estudia que pondr a disposicin para ayudar a las organizaciones a implementar cada uno de estos pasos.
Estructura del documento Controles Crticos

La presentacin de cada crticos de control en este documento incluye: La prueba de que los bloques de control conocidos ataques y una explicacin de cmo los atacantes explotan activamente la ausencia de este control. Listado de las acciones especficas que las organizaciones estn tomando para implementar, automatizar y medir la efectividad de este control. Los sub-controles se agrupan en cuatro categoras:
- Ganancias rpidas que proporcionan la reduccin del riesgo slida y sin grandes cambios en los procedimientos, arquitectnicas o tcnicas a un entorno, o que proporcionar dicha reduccin del riesgo sustancial e inmediato de los ataques muy comunes que la mayora de los organismos de seguridad-consciente 3 priorizan estos controles clave. - Visibilidad y atribucin medidas para mejorar el proceso, la arquitectura y las capacidades tcnicas de las organizaciones para monitorear sus redes y sistemas informticos para detectar intentos de ataque, localizar los puntos de entrada, identificar mquinas ya comprometidos-, interrumpan actividades atacantes infiltrados ', y obtener informacin sobre las fuentes de un ataque. - Mejora de la configuracin de seguridad de la informacin y la higiene para reducir el nmero y la magnitud de las vulnerabilidades de seguridad y mejorar las operaciones de los sistemas informticos en red, con un enfoque en la proteccin contra las prcticas de seguridad pobres por los administradores de sistemas y usuarios finales que podran dar a un atacante una ventaja . - subcontroles avanzados que utilizan las nuevas tecnologas que proporcionan la mxima seguridad, pero son ms difciles de implementar o ms caro que las soluciones de seguridad de consumo general.
NIST Special Publication 800-53 Asociado controles y tareas de seguridad de red NSA correspondientes a cada Crticos de Control. Procedimientos y herramientas que permiten la implementacin y automatizacin. Mtricas y pruebas para evaluar el estado de aplicacin y eficacia. Diagramas de ejemplo de relacin de entidades que muestran los componentes de la aplicacin.
Descripcin de los Controles

Crticos de Control 1: Inventario de Dispositivos autorizados y no autorizados Crticos de Control 2: Inventario de Software autorizados y no autorizados Crticos de Control 3: configuraciones seguras para Hardware y Software en dispositivos mviles, ordenadores porttiles, estaciones de trabajo y Servidores Crticos de Control 4: Evaluacin de la vulnerabilidad continua y Remediacin Crticos de Control 5: Defensas de malware Crticos de Control 6: Aplicacin de Software de Seguridad Crticos de Control 7: Control de dispositivos inalmbricos Crticos de Control 8: Capacidad de Recuperacin de Datos Crticos de Control 9: Habilidades de Seguridad Evaluacin y formacin adecuadas para colmar las deficiencias de Crticos de Control 10: configuraciones seguras para los dispositivos de red, tales como firewalls, routers y switches Crticos de Control 11: Limitacin y Control de los puertos de red, protocolos y servicios El uso controlado de privilegios administrativos: Crticos de Control 12 Crticos de Control 13: Lmites de Defensa Crticos de Control 14: Mantenimiento, Monitoreo y Anlisis de Registros de auditora Control de 15 Critical: Acceso controlado Basado en la necesidad de conocer Crticos de Control 16: Monitoreo y Control de Cuenta Crticos de Control 17: Prevencin de Prdida de Datos Crticos de Control 18: Respuesta de la Administracin de Incidentes y Crticos de Control 19: Secure Network Engineering Crticos de Control 20: Pruebas de Penetracin y Ejercicios Team Red
Resumen y Plan de Accin

Este documento ha sido desarrollado a travs de la colaboracin de un conjunto diverso de expertos en seguridad. Si bien no hay tal cosa como una proteccin absoluta, la correcta aplicacin de los controles de seguridad indicadas en este documento se asegurar de que una organizacin se est protegiendo contra los ataques ms importantes. A medida que cambian los ataques, los controles adicionales o herramientas estn disponibles, o el estado de los avances de la prctica de seguridad comn, en este documento se seguir actualizando para reflejar lo que es visto por los autores que colaboran como los controles de seguridad ms importantes para la defensa contra los ataques cibernticos.
Plan de accin
Teniendo en cuenta que estos controles crticos seguimiento tan de cerca las amenazas y los ataques actuales, se recomienda que los CIO y CISO consideran varias medidas inmediatas para garantizar la eficacia de sus programas de seguridad:
1. 2. 3. 4. 5.
Llevar a cabo una evaluacin de las deficiencias de comparar actual postura de seguridad de la organizacin a las recomendaciones detalladas de los controles crticos Implementar el "First Five" y otros de "ganancia rpida" Controles Crticos para abordar las deficiencias identificadas por la evaluacin en los prximos uno o dos trimestres Asignar personal de seguridad para analizar y comprender cmo los controles crticos ms all de los triunfos rpidos se puede implementar en el entorno de la organizacin Elaborar planes detallados para poner en prctica la "visibilidad y atribucin" y "configuracin endurecido y la informacin mejora de la higiene de seguridad" controles crticos durante el prximo ao Planificar para el despliegue de los "controles avanzados" en el largo plazo.
Notas
1
La CCA est liderado por Tony Sager, el recientemente jubilado director de operaciones de la Agency s de Seguridad Nacio nal EE.UU. (NSA) Informacin Direccin de Aseguramiento que anteriormente dirigi el anlisis de vulnerabilidad y del Grupo de Operaciones de la NSA. 2 Segn ha informado el Consorcio para la Ciberseguridad Accin. 3 Five "victorias rpidas" delineados en los controles crticos 2, 3 y 4 (con un repetido en control 12) se destacan como el "First Five". Se estn llevando a cabo por primera vez por las organizaciones ms consciente de la seguridad y cualificados, ya que son el medio ms eficaz an se encuentran para detener la ola de ataques dirigidos que estn haciendo el mayor dao a muchas organizaciones. La cubierta de "Los Primeros Cinco" (1) de software listas blancas, (2) configuraciones estndar seguras, (3) de instalacin de parches de seguridad de aplicaciones en 48 horas, (4) de instalacin de parches de seguridad del sistema en 48 horas, y (5) que garantizan privilegios administrativos son No est activo durante la navegacin por la web o el manejo de correo electrnico. La mayora de las organizaciones a supervisar la cobertura y la eficacia de estos sub-controles a travs de supervisin continua y Mitigacin como se indica en crticos de control 4.
Apndice A: Correspondencia entre los controles crticos y el Instituto Nacional de Estndares y Tecnologa de la publicacin especial 800-53, Revisin 3, Prioridad 1 Artculos
Esta asignacin se refiere a los controles crticos que figuran en este documento para el Instituto Nacional de Estndares y Tecnologa (NIST) Publicacin Especial 800-53 Revisin 3. Por favor, tenga en cuenta que los controles del NIST pueden imponer requisitos adicionales ms all de los indicados expresamente en este documento.
Control
Referencias
Crticos de Control 1: Inventario de Dispositivos autorizados y no autorizados
CM-8 (A, C, D, 2, 3, 4), PM-5, PM-6
Crticos de Control 2: Inventario de Software autorizados y no autorizados
CM-1, CM-2 (2, 4, 5), CM-3, CM-5 (2, 7), CM-7 (1, 2), CM-8 (1, 2, 3, 4, 6 ), CM9, PM-6, SA-6, SA-7
Crticos de Control 3: configuraciones seguras para Hardware y Software
CM-1, CM-2 (1, 2), CM-3 (b, c, d, e, 2, 3), CM-5 (2), CM-6 (1, 2, 4), CM- 7 (1), SA-1 (a), SA-4 (5), SI-7 (3), PM-6
Crticos de Control 4: Evaluacin de la vulnerabilidad continua y Remediacin
RA-3 (A, B, C, D), la AR-5 (A, B, 1, 2, 5, 6)
Crticos de Control 5: Defensas de malware
SC-18, SC-26, IS-3 (A, B, 1, 2, 5, 6)
Crticos de Control 6: Aplicacin de Software de Seguridad
CM-7, AR-5 (A, 1), SA-3, SA-4 (3), SA-8, SI-3, SI-10
Crticos de Control 7: Control de dispositivos inalmbricos
CA-17, CA-18 (1, 2, 3, 4), SC-9 (1), SC-24, IS-4 (14, 15)
Crticos de Control 8: Capacidad de Recuperacin de Datos
CP-9 (A, B, D, 1, 3), CP-10 (6)
Crticos de Control 9: Habilidades de Seguridad Evaluacin y formacin adecuadas para colmar las deficiencias de
AT-1, (1), AT-3 (1) de AT-2
Crticos de Control 10: configuraciones seguras para los dispositivos de red, tales como firewalls, routers y switches
CA-4 (7, 10, 11, 16), CM-1, CM-2 (1), CM-3 (2), CM-5 (1, 2, 5), CM-6 (4), CM -7 (1, 3), IA-2 (1, 6), IA-5, IA-8, RA-5, SC-7 (2, 4, 5, 6, 8, 11, 13, 14, 18 ), SC-9
Crticos de Control 11: Limitacin y Control de los puertos de red, protocolos y servicios
CM-6 (A, B, D, 2, 3), CM-7 (1), SC-7 (4, 5, 11, 12)
El uso controlado de privilegios administrativos: Crticos de Control 12
AC-6 (2, 5), la CA-17 (3), la CA-19, AU-2 (4)
Crticos de Control 13: Lmites de Defensa
CA-17 (1), CA-20, CA-3, IA-2 (1, 2), IA-8, RA-5, SC-7 (1, 2, 3, 8, 10, 11, 14) , SC18, IS-4 (c, 1, 4, 5, 11), PM-7
Crticos de Control 14: Mantenimiento, Monitoreo y Anlisis de Registros de auditora de la seguridad
AC-17 (1), AC-19, AU-2 (4), AU-3 (1,2), la UA-4, UA-5, AU-6 (a, 1, 5), la UA-8, AU-9 (1, 2), AU-12 (2), SI-4 (8)
Control de 15 Critical: Acceso controlado Basado en la necesidad de conocer
AC-1, AC-2 (b, c), AC-3 (4), AC-4, AC-6, MP-3, RA-2 (a)
Crticos de Control 16: Monitoreo y Control de Cuenta
CA-2 (e, f, g, h, j, 2, 3, 4, 5), AC-3
Crticos de Control 17: Prevencin de Prdida de Datos
AC-4, MP-2 (2), MP-4 (1), SC-7 (6, 10), SC-9, SC-13, SC-28 (1), SI-4 (4, 11) , PM7
Crticos de Control 18: Capacidad de Respuesta a Incidentes
IR-1, IR-2 (1), IR-4, 5-IR, IR-6 (a), IR-8
Crticos de Control 19: Secure Network Engineering
IR-4 (2), SA-8, SC-7 (1, 13), SC-20, SC-21, SC-22, PM-7,
Crticos de Control 20: Pruebas de Penetracin y Ejercicios Team Red
CA-2 (1, 2), CA-7 (1, 2), RA-3, RA-5 (4, 9), SA-12 (7)
Apndice B: Tipos de Ataque

Como se describe en la introduccin, numerosos colaboradores que se encargan de responder a los ataques reales o la realizacin de ejercicios en equipo rojo estaban involucrados en la creacin de este documento. Por tanto, los controles crticos resultantes se basan en el conocimiento de primera mano de los ataques del mundo real y las defensas correspondientes.
Resumen de ataque
Ms directamente relacionados con el Control
Los atacantes escanean continuamente por nuevos sistemas, sin proteccin, incluyendo prueba o sistemas experimentales, y explotan este tipo de sistemas para obtener el control de ellos.
Los atacantes distribuir contenidos hostiles en los sitios web con acceso a Internet (y, a veces interno) que aprovechan el software de cliente sin parchear y fijado en forma incorrecta que se ejecuta en los equipos vctimas.
2, 3
Los atacantes escanean continuamente para el software vulnerable y se aprovechan de ella para obtener el control de los equipos de destino.
2, 4
Los atacantes utilizan actualmente mquinas infectadas o en peligro de identificar y explotar otras mquinas vulnerables a travs de una red interna.
2, 10
Los atacantes aprovechan las configuraciones predeterminadas dbiles de los sistemas que estn ms orientados a la facilidad de uso de la seguridad.
3, 10
Los atacantes explotar nuevas vulnerabilidades en los sistemas que carecen de parches crticos en las organizaciones que no saben que son vulnerables porque carecen de los estudios de vulnerabilidad continuas y remediacin efectiva.
4, 5
Los atacantes comprometen organizaciones destino que no ejerciten sus defensas para determinar y mejorar continuamente su eficacia.
4, 5, 11, 20
Los atacantes utilizan cdigos maliciosos para obtener y mantener el control de las mquinas de destino, la captura de los datos sensibles, y luego se extendi a otros sistemas, a veces empuando cdigo que desactiva o esquiva herramientas antivirus basados en firmas.
5, 15, 17
Los atacantes escanean para los servicios de acceso remoto a los sistemas de destino que a menudo son innecesarios para las actividades comerciales, pero proporcionan una va de ataque y el compromiso de la organizacin.
5, 10, 11
Los atacantes aprovechan el software de aplicacin dbil, particularmente en aplicaciones web, a travs de vectores de ataque, como la inyeccin SQL, cross-site scripting y herramientas similares.
6, 20
Los atacantes aprovechan los puntos de acceso inalmbricos para poder entrar en la red interna de una organizacin de destino, y explotar los sistemas inalmbricos de los clientes para robar informacin sensible.
Los atacantes explotan a los usuarios y administradores de sistemas a travs de estafas de ingeniera social que trabajan debido a la falta de habilidades y conciencia de seguridad.
9, 12, 16
Los atacantes explotan y se infiltran a travs de los dispositivos de red cuya configuracin de seguridad se ha debilitado con el tiempo mediante la concesin, para las necesidades del negocio a corto plazo especficos, excepciones temporales que supuestamente nunca se quitan.
10, 13
Los atacantes engaan a un usuario con una cuenta de nivel de administrador en la apertura de un estilo de phishing e-mail con un archivo adjunto o el surf al contenido del atacante en un sitio web, permitiendo que el cdigo
9, 12
malicioso del atacante o explotar para ejecutar en el equipo de la vctima con privilegios de administrador completos .
Los atacantes explotan sistemas de lmites en las redes DMZ con acceso a Internet, y despus de pivote para tener acceso ms profundo en redes internas.
13, 19
Los atacantes aprovechan las arquitecturas de red mal diseados mediante la localizacin de las conexiones que no sean necesarios o no protegidos, filtrado dbil, o una falta de separacin de los sistemas importantes y eventos de negocios.
13, 19
Los atacantes operan sin ser detectados durante largos perodos de tiempo en los sistemas en peligro debido a la falta de registro y de registro de revisin.
14
Los atacantes obtienen acceso a documentos sensibles en una organizacin que no identifica adecuadamente y proteger la informacin confidencial o la separan de la informacin no sensible.
15, 17
Los atacantes comprometer las cuentas de usuario inactivas dejados por trabajadores temporales, contratistas y ex empleados, incluyendo las cuentas dejadas por los propios atacantes que son ex-empleados.
16
Los atacantes se intensifican sus privilegios en los equipos vctimas mediante el lanzamiento de adivinacin de contraseas, descifrado de contraseas o exploits de escalada de privilegios para ganar el control del administrador
12, 16
de sistemas, que luego se utiliza para propagarse a otros equipos de las vctimas a travs de una empresa.
Los atacantes obtienen acceso a los sistemas internos de la empresa y se renen y exfiltrate informacin sensible sin ser detectados por la organizacin vctima.
17
Los atacantes pongan en peligro los sistemas y alterar los datos importantes, lo que podra poner en peligro la eficacia de la organizacin a travs de la informacin contaminada.
15, 17
Los atacantes operan sin descubrir en las organizaciones sin capacidades eficaces de respuesta a incidentes, y cuando se descubren los atacantes, las organizaciones a menudo no pueden contener adecuadamente el ataque, erradicar la presencia del atacante, o recuperar a un estado de produccin segura.
18
Crticos de Control 1: Inventario de Dispositivos autorizados y no autorizados

20 Controles de seguridad crtica | Directricessiguiente control Los procesos y las herramientas que se utilizan para realizar un seguimiento / control / evitar / acceso a la red correcta por los dispositivos (ordenadores, componentes de red, impresoras, cualquier cosa con direcciones IP) basado en un inventario de los activos de los cuales los dispositivos pueden conectarse a la red.
Cmo atacantes se aprovechan de la ausencia de este control?

Muchos grupos criminales y los estados-nacin desplegar sistemas que escanean continuamente espacios de direccin de las organizaciones de destino, a la espera de nuevos sistemas y desprotegidos para ser conectados a la red. Los atacantes tambin buscan ordenadores porttiles no estn al da con los parches, ya que no se conectan con frecuencia a la red. Un ataque comn se aprovecha de un nuevo hardware que se instala en la red de una noche y no configurado y parcheado con las actualizaciones de seguridad correspondientes, hasta el da siguiente. Los atacantes desde cualquier parte del mundo pueden encontrar rpidamente y explotar estos sistemas que son accesibles a travs de Internet. Adems, incluso para los sistemas de la red interna, los atacantes que ya han ganado el acceso interno pueden cazar y comprometer los sistemas informticos internos inadecuadamente asegurados adicionales. Algunos atacantes utilizan la ventana de la noche local para instalar puertas traseras en los sistemas antes de que stas se endurezcan. APT (amenazas persistentes avanzadas) se dirigen a los usuarios internos con el objetivo de poner en peligro un sistema en la red privada que puede ser utilizado como un punto de giro para atacar a los sistemas internos. Incluso los sistemas que estn conectados a la red privada, y sin visibilidad a travs de Internet, todava puede ser un objetivo del adversario avanzada. Cualquier sistema, incluso sistemas de prueba que estn conectados por un corto perodo de tiempo, todava se puede utilizar como un punto de relevo para causar dao a una organizacin. Como las nuevas tecnologas sigue saliendo, BYOD (trae tu propio dispositivo) - donde los empleados traen dispositivos personales en el trabajo y su conexin a la red - se est volviendo muy comn. Estos dispositivos ya podran verse comprometidas y ser usado para infectar a los recursos internos.
Cmo implementar, automatizar y medir la efectividad de este control

1.Quick gana: implementar una herramienta automatizada descubrimiento de inventario de activos y utilizarlo para construir un inventario de activos preliminar de los sistemas conectados a la red pblica y privada de una organizacin (s). Ambas herramientas activas que exploran a travs de los rangos de direcciones de red y herramientas pasivas que identifican a los hosts basados en el anlisis de su trfico debe ser empleado. 2.Quick gana: Implementar el protocolo de configuracin dinmica de host (DHCP) el registro del servidor, y utilizar un sistema para mejorar el inventario de activos y ayudar a detectar sistemas desconocidos a travs de esta informacin de DHCP. 3.Quick gana: Asegrese de que todas las adquisiciones de equipos se actualizan automticamente el sistema de inventario como nuevos dispositivos aprobados estn conectados a la red. Un robusto proceso de control de cambio tambin se puede utilizar para validar y aprobar todos los nuevos dispositivos. 4.Visibility/Attribution: Mantener un inventario de los activos de todos los sistemas conectados a la red y los dispositivos de red propios, registrando, al menos, las direcciones de red, nombre (s) de la mquina, el propsito de cada sistema, el propietario de los activos responsables de cada dispositivo, y el departamento asociado con cada dispositivo. El inventario debe incluir todo sistema que tenga una direccin de protocolo Internet (IP) en la red, incluyendo pero no limitado a ordenadores de sobremesa, porttiles, servidores, equipos de red (routers, switches, cortafuegos, etc), impresoras, redes de rea de almacenamiento, de voz Over-IP telfonos, direcciones multitarjeta, direcciones virtuales, etc El inventario de activos creada tambin deben incluir datos sobre si el dispositivo es un dispositivo porttil y / o personal. Los dispositivos tales como telfonos mviles, tabletas, ordenadores porttiles y otros dispositivos electrnicos porttiles que almacenan o datos de proceso deben ser identificados, sin importar si estn unidos a la red de la organizacin. 5.Configuration/Hygiene: Asegrese de que la base de datos de inventario de activos estn debidamente protegidos y una copia se guarda en un lugar seguro.
6.Configuration/Hygiene: Adems de un inventario de hardware, las organizaciones deben elaborar un inventario de los activos de informacin que identifica a su informacin crtica y los mapas de la informacin crtica de los activos de hardware (incluyendo servidores, estaciones de trabajo y ordenadores porttiles) en la que se ubica. Un departamento y persona responsable de cada activo de informacin deben ser identificados, registrados y rastreados. 7.Configuration/Hygiene: Implementar la autenticacin a nivel de red a travs de 802.1x para limitar y controlar qu dispositivos pueden conectarse a la red. El 802.1x debe ponerse en relacin con los datos de inventario para determinar autorizado comparacin con los sistemas no autorizados. 8.Configuration/Hygiene: Implementar el control de acceso a red (NAC) para monitorizar los sistemas autorizados por lo que si se producen ataques, el impacto puede ser remediada por el traslado del sistema que no se confa a una red de rea local virtual que tiene un acceso mnimo. 9.Configuration/Hygiene: Crear redes locales virtuales independientes de la zona (VLAN) para los sistemas de BYOD u otros dispositivos no son de confianza. 10.Advanced: Utilizar certificados de cliente para validar y autenticar los sistemas antes de conectarse a la red privada.
NIST Special Publication 800-53 Asociado, Revisin 3, Prioridad 1 Controles

CM-8 (A, C, D, 2, 3, 4), PM-5, PM-6
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Hito 2: Mapa de la Red Hito 3: Arquitectura de red Network Access Protection / Control (NAP / NAC)
Procedimientos y herramientas para implementar y automatizar este control

Las organizaciones deben primero establecer los propietarios informacin / activos, decidir y documentar que las organizaciones y los individuos son responsables de cada componente de un proceso de negocio que incluye la informacin, software y hardware. Algunas organizaciones mantienen inventarios de activos empresariales utilizando productos comerciales a gran escala especficos dedicados a la tarea, o que utilizan soluciones libres para seguir y luego barrer la red peridicamente para nuevos activos conectados a l. En particular, cuando las organizaciones adquieren nuevos sistemas, graban el propietario y las caractersticas de cada nuevo activo, incluyendo su control de acceso a medios de interfaz de red (MAC) y la ubicacin. Este mapeo de los atributos de los activos y la direccin-propietario-a MAC se puede almacenar en un sistema de gestin de base de datos libre o comercial. Luego, con el inventario de activos montados, muchas organizaciones utilizan herramientas para extraer informacin de los activos de red como switches y routers con respecto a las mquinas conectadas a la red. El uso de protocolos de gestin de red de forma segura autenticados y encriptados, las herramientas pueden recuperar direcciones MAC y otra informacin de los dispositivos de red que pueden conciliarse con el inventario de activos de la organizacin de los servidores, estaciones de trabajo, computadoras porttiles y otros dispositivos. Una vez que se confirman las direcciones MAC, los interruptores deben implementar 802.1x y NAC slo para permitir que los sistemas autorizados que estn configurados correctamente para conectarse a la red. Yendo ms lejos, organizaciones efectivas configurar herramientas gratuitas o comerciales de escaneado en red para realizar barridos de red sobre una base regular, el envo de una variedad de diferentes tipos de paquetes para identificar los dispositivos conectados a la red.Ante tal anlisis puede llevarse a cabo, las organizaciones deben comprobar que tienen un ancho de banda adecuado para este tipo de anlisis peridicos de consultar la historia de carga y capacidad de sus redes. En la realizacin de exploraciones de inventario, herramientas de exploracin podran enviar paquetes ping tradicionales (ICMP Echo Request) en
busca de las respuestas de ping para identificar un sistema en una direccin IP determinada. Debido a que algunos sistemas bloquean los paquetes de ping entrantes, adems de pings tradicionales, los escneres pueden tambin identificar los dispositivos de la red que utilizan el protocolo de control de transmisin (TCP) sincronizar (SYN) o reconocer (ACK) paquetes. Una vez que se han identificado las direcciones IP de los dispositivos de la red, algunos escneres de huellas dactilares proporcionan caractersticas robustas para determinar el tipo de sistema operativo de la mquina descubierto. Adems de herramientas de exploracin de activos que barren la red, otras herramientas de identificacin de activos escuchan pasivamente en interfaces de red en busca de dispositivos para anunciar su presencia mediante el envo de trfico. Tales herramientas pasivas se pueden conectar para cambiar puertos span en lugares crticos de la red para ver todos los datos que fluyen a travs de tales interruptores, la maximizacin de la posibilidad de los sistemas que se comunican a travs de los interruptores de identificacin. Los dispositivos inalmbricos y computadoras porttiles (con cable) pueden unirse a una red peridicamente y luego desaparecen, haciendo que el inventario de los sistemas disponibles en la actualidad churn significativamente. Del mismo modo, las mquinas virtuales pueden ser difciles de rastrear en los inventarios de activos cuando se cierran o se detuvieron. Adems, los equipos remotos que acceden a la red utilizando la tecnologa de red privada virtual (VPN) pueden aparecer en la red durante un tiempo, y luego se desconecta de ella. Ya sea fsico o virtual, cada equipo con una direccin IP debe ser incluido en el inventario de activos de una organizacin.
Control 1 Metric:
El sistema debe ser capaz de identificar los nuevos dispositivos no autorizados que estn conectados a la red dentro de las 24 horas, y de alertar o el envo de una notificacin por correo electrnico a una lista del personal administrativo de la empresa. El sistema debe aislar automticamente el sistema no autorizado de la red dentro de la hora de la alerta inicial y enviar una alerta o notificacin por correo electrnico de seguimiento cuando se consigue el aislamiento. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado del sistema hasta que el sistema no autorizada ha sido retirado de la red. La base de datos de inventario de activos y sistema de alerta que deben ser capaces de identificar la ubicacin, departamento, y otros detalles de dnde autorizados y no autorizados dispositivos estn conectados a la red. Mientras que las 24 horas y una hora plazos representan la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta y el aislamiento. Con herramientas automatizadas, notificacin sobre un activo no autorizado conectado a la red se puede enviar a los dos minutos y el aislamiento conseguidos dentro de los cinco minutos.
Control de 1 Prueba:
Para evaluar la aplicacin de control 1 en forma peridica, el equipo de evaluacin se conectar sistemas de prueba endurecidos a por lo menos 10 puntos de la red, incluyendo una seleccin de subredes asociadas a las zonas desmilitarizadas (DMZ), estaciones de trabajo y servidores. Dos de los sistemas deben ser incluidos en la base de datos de inventario de activos, mientras que los otros sistemas no lo son. El equipo de evaluacin debe entonces verificar que los sistemas generan una notificacin de alerta o de correo electrnico con respecto a los sistemas nuevos que se conectan dentro de 24 horas de las mquinas de prueba est conectado a la red. El equipo de evaluacin debe verificar que el sistema proporciona informacin sobre la ubicacin de todas las mquinas de prueba conectados a la red. Para esas mquinas de prueba incluidos en el inventario de activos, el equipo tambin debe verificar que el sistema proporciona informacin sobre el propietario de los activos.
El equipo de evaluacin debe entonces verificar que los sistemas de prueba se aslan automticamente de la red de produccin dentro de la hora de la notificacin inicial y que se ha producido un correo electrnico o una alerta que indica el aislamiento. El equipo debe entonces verificar que los sistemas de prueba conectados estn aislados de los sistemas de produccin, tratando de hacer ping y utilizar otros protocolos para acceder a los sistemas de la red de produccin y verificar que la conectividad no est permitido.
Control del sistema 1 Entidad Diagrama de relaciones:

Las organizaciones se encuentran que al diagramar las entidades necesarias para cumplir plenamente los objetivos definidos en este control, ser ms fcil identificar cmo ponerlas en prctica, probar los controles, e identificar dnde pueden producirse posibles fallos en el sistema.
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los dispositivos de hardware en la red de la organizacin. Estos sistemas deben ser capaces de identificar si los
nuevos sistemas se introducen en el medio ambiente que no se han autorizado por personal de la empresa. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Escner Dispositivo activo explora los sistemas de red Paso 2: scanner dispositivo pasivo capta la informacin del sistema Paso 3: Activa los informes del escner a la base de datos del inventario Paso 4: Pasivo informes del escner a la base de datos del inventario Paso 5: base de datos de inventario en lnea almacenada Paso 6: base de datos de inventario se inicia el sistema de alerta Paso 7: Sistema de alerta notifica a los defensores de la seguridad Paso 8: Los defensores de seguridad del monitor y la base de datos del inventario segura Paso 9: Los defensores de la actualizacin de seguridad de base de datos del inventario segura Paso 10: control de acceso de red monitoriza continuamente la red Paso 11: verificaciones de control de acceso a la red y proporciona actualizaciones de la base de datos de inventario de activos.
Crticos de Control 2: Inventario de Software autorizados y no autorizados

20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y herramientas organizaciones utilizan para realizar un seguimiento / control / evitar / instalacin y ejecucin de software en equipos basados en un inventario de activos de software aprobado correcta.

Atacantes informticos desplegar sistemas que los espacios de direcciones de exploracin continua de las organizaciones de destino en busca de versiones vulnerables de software que se pueden explotar de forma remota. Algunos atacantes tambin distribuyen pginas hostiles web, archivos de documentos, archivos multimedia y otros contenidos a travs de sus propias pginas web o sitios de otro modo fidedignos de terceros. Cuando las vctimas inocentes acceder a este contenido con un navegador vulnerable o en otro programa del lado del cliente, los atacantes pongan en peligro sus mquinas, a menudo la instalacin de programas de puerta trasera y los robots que dan al atacante el control a largo plazo del sistema. Algunos atacantes sofisticados pueden utilizar ataques de da cero, que se aprovechan de las vulnerabilidades previamente desconocidas para los que no hay parche an no ha sido publicado por el proveedor de
software. Sin el conocimiento o control del software implementado en una organizacin adecuada, los defensores no pueden proteger adecuadamente sus activos. Sin la capacidad de inventario y de control que se instalan y se pueden ejecutar en sus equipos programas, las empresas hacen de sus sistemas ms vulnerables. Tales mquinas mal controlada tienen ms probabilidades de ser software que se ejecuta que es innecesario para fines comerciales, la introduccin de posibles fallos de seguridad, o correr el malware introducido por un atacante equipo despus de un sistema se vea comprometida. Una vez que una sola mquina se ha explotado, los atacantes a menudo lo utilizan como un punto de parada para la recogida de la informacin sensible desde el sistema comprometido y de otros sistemas conectados a la misma.Adems, las mquinas comprometidas se utilizan como punto de partida para el movimiento a lo largo de la red y las redes asociadas. De esta forma, los atacantes pueden convertir rpidamente en uno mquina comprometida en muchos. Las organizaciones que no cuentan con inventarios de software completas son incapaces de encontrar sistemas que ejecutan software vulnerable o maliciosa para mitigar los problemas o erradicar a los atacantes.

1. Ganancias rpidas (First Five - # 1): aplicacin Implementar tecnologa de listas blancas que permite a los sistemas que ejecutan software slo si est incluido en la lista blanca y evita la ejecucin de todo el software en el sistema. La lista blanca puede ser muy extenso (de que se disponga de los vendedores de lista blanca comerciales), por lo que los usuarios no desconcertar al utilizar el software comn. O bien, para algunos sistemas de propsito especial (que requiere slo un pequeo nmero de programas para lograr la funcionalidad del negocio es necesario), la lista blanca puede ser muy estrecha. Cuando la proteccin de los sistemas con software personalizado que se pueden considerar segn difcil de lista blanca, utilice el punto 8 a continuacin (aislando el software a medida en un sistema operativo virtual que no retenga las infecciones.). 2. Ganancias rpidas: Elaborar una lista de software autorizado que se requiere en la empresa para cada tipo de sistema, incluyendo servidores, estaciones de trabajo y ordenadores porttiles de diversos tipos y usos. Esta lista debe ser supervisada por la integridad del archivo herramientas de comprobacin para validar que el software autorizado no se ha modificado. 3. Ganancias rpidas: Realice el escaneo regular de software no autorizado y generar alertas cuando se descubre en un sistema. Un proceso de control de cambios estricto tambin debe aplicarse para controlar cualquier cambio o instalacin de software para todos los sistemas de la red. 4. Visibilidad / Reconocimiento: Implementar herramientas de inventario de software en toda la organizacin, con cada uno de los tipos de sistemas operativos en uso, incluyendo servidores, estaciones de trabajo y ordenadores porttiles. El sistema de inventario de software debe realizar un seguimiento de la versin del sistema operativo subyacente, as como las aplicaciones instaladas en l. Adems, la herramienta debe registrar no slo el tipo de software instalado en cada sistema, sino tambin su nmero de versin y el nivel de revisin.El inventario de software debe estar vinculada a los servicios de inteligencia de informes vulnerabilidad / amenaza para fijar software vulnerable de forma proactiva. 5. Visibilidad / Reconocimiento: Los sistemas de inventario de software deben estar vinculados en el inventario de activos de hardware, por lo que todos los dispositivos y el software asociado se realiza un seguimiento desde una nica ubicacin. 6. Configuracin / Higiene: La herramienta de inventario de software tambin debe supervisar para el software no autorizado instalado en cada mquina. Este software no autorizado tambin incluye el software de administracin del sistema legtimo instalado en sistemas inadecuados donde no hay necesidad de la empresa para que, incluso si es la lista blanca. Tipos de archivos peligrosos (por ejemplo, exe, zip, msi, etc) deben ser estrechamente monitoreados y / o comandos.
4
7. Configuracin / Higiene: el inventario de software y aplicaciones listas blancas tambin deben desplegarse en todos los dispositivos mviles que se utilizan en toda la organizacin. 8. Avanzado: Las mquinas virtuales y / o sistemas de aire con huecos deben ser utilizados para aislar y ejecutar aplicaciones que se requieren pero en base a un mayor riesgo y que no se debe instalar en un entorno de red. 9. Avanzado: configure las estaciones de trabajo con entornos operativos no persistentes, virtualizados que pueden rpida y fcilmente restaurados a una instantnea de confianza sobre una base peridica. 10. Avanzado: Implementar software que slo ofrece etiquetas de identificacin de software firmados. Una etiqueta de identificacin del software es un archivo XML que se instala junto con el software e identifica de forma nica el software, proporcionando datos para el inventario de software y gestin de activos.

CM-1, CM-2 (2, 4, 5), CM-3, CM-5 (2, 7), CM-7 (1, 2), CM-8 (1, 2, 3, 4, 6 ), CM-9, PM-6, SA-6, SA-7
Hito 7: Gestin de Lnea de Base Restricciones de contenido ejecutables

Lista blanca se puede implementar utilizando blanco comercial Listado de Herramientas o instrumentos de ejecucin de aplicaciones que vienen con suites de antivirus y con Windows. Herramientas de software y los activos de inventario comerciales son ampliamente disponibles y en uso en muchas empresas hoy en da. Lo mejor de estas herramientas proporcionan un control de inventario de cientos de aplicaciones comunes que se utilizan en las empresas, tirando de la informacin sobre el nivel de parches de cada programa instalado para asegurarse de que es la ltima versin y el aprovechamiento de los nombres de aplicaciones estandarizadas, tales como las que se encuentran en la plataforma comn especificacin enumeracin. Caractersticas que implementan las listas blancas de los programas que se pueden ejecutar se incluyen en muchas modernas suites de seguridad de punto final. Por otra parte, las soluciones comerciales estn atando juntos cada vez ms anti-virus, anti-spyware, firewall personal y los sistemas basados en host de deteccin de intrusiones (IDS) y los sistemas de prevencin de intrusiones (IPS), junto con la solicitud de inclusin en blanco y negro. En particular, la mayora de las soluciones de seguridad de punto final pueden ver la ubicacin nombre, sistema de archivos y / o hash criptogrfica de un determinado ejecutable para determinar si la solicitud se debe permitir que se ejecutan en la mquina protegida. La forma ms eficaz de estas herramientas ofrecen listas de blancos personalizado basado en la ruta ejecutable, hachs, o expresiones regulares. Algunos incluso incluyen una funcin de lista gris que permite a los administradores definir reglas para la ejecucin de programas especficos slo por determinados usuarios y en determinados momentos del da.
Control 2 Metric:
El sistema debe ser capaz de identificar el software no autorizado, ya sea mediante la deteccin de un intento de instalarlo o ejecutarlo, notificar al personal administrativo de la empresa dentro de las 24 horas a travs de un aviso o por correo electrnico. Los sistemas deben bloquear la instalacin, evitar la ejecucin, o poner en cuarentena el software no autorizado en una hora adicional, alertando o enviar correo electrnico cuando se produce esta accin. Cada 24 horas
despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado del sistema hasta que el sistema no autorizada ha sido retirado de la red. Mientras que las 24 horas y una hora plazos representan la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta y el aislamiento.
Para evaluar la aplicacin del Control 2 en forma peridica, el equipo de evaluacin debe mover un programa de pruebas de software benigno que no est incluido en la lista de software autorizado para 10 sistemas de la red. Dos de los sistemas deben ser incluidos en la base de datos de inventario de activos, mientras que los otros sistemas no necesitan ser incluidos. El equipo de evaluacin debe entonces verificar que los sistemas generan una notificacin de alerta o de correo electrnico sobre el nuevo software en 24 horas. El equipo tambin debe verificar que la alerta o el correo electrnico que se recibe en una hora adicional que indica que el software ha sido bloqueado o puesto en cuarentena. El equipo de evaluacin debe verificar que el sistema proporciona informacin sobre la ubicacin de cada mquina con este nuevo software de prueba, incluida la informacin sobre el propietario de los activos. El equipo de evaluacin debe entonces verificar que el software se bloquea al intentar ejecutarlo y verificar que el software no se puede ejecutar.
Sistema de Control de la Entidad 2 Diagrama de relaciones:

Un sistema de control es un dispositivo o conjunto de dispositivos para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando el software instalado en los sistemas de red de la organizacin. Estos sistemas deben ser capaces de identificar si el nuevo software se introduce en el medio ambiente que no ha sido autorizada por el personal de la empresa. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Escner Dispositivo activo Paso 2: Activo informes del escner a la base de datos del inventario Paso 3: base de datos de inventario se compara con el valor inicial del inventario Paso 4: base de datos de Inventario iniciados del sistema de alerta Paso 5: Alerta sistema notifica los defensores de la seguridad Paso 6: Los defensores de seguridad del monitor y la base de datos del inventario segura Paso 7: Base de datos de inventario de software de seguridad defensores actualizacin
Paso 8: Herramienta Blanco listado supervisa continuamente todos los sistemas de la red Paso 9: cheques listas blancas y hace cambios a la base de datos de inventario de software. Notas
4
La "primera de cinco" triunfos rpidos son los que estn siendo implementados por primera vez por las organizaciones ms consciente de la seguridad y cualificados, ya que son el medio ms eficaz an se encuentran para detener la ola de ataques dirigidos que estn haciendo el mayor dao a muchas organizaciones.
Crticos de Control 3: configuraciones seguras para Hardware y Software en dispositivos mviles, ordenadores porttiles, estaciones de trabajo y Servidores
20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y herramientas organizaciones utilizan para realizar un seguimiento / control / evitar / debilidades de seguridad correctas en la configuracin del hardware y el software de los dispositivos mviles, ordenadores porttiles, estaciones de trabajo y servidores basados en una gestin de la configuracin formal y cambiar el proceso de control.

Tanto en el Internet y las redes internas que los atacantes ya han comprometido, programas de ataque automatizado ordenador constantemente buscar las redes de destino que buscan sistemas que se han configurado con el software vulnerable instalados de la manera en que fue entregado a los fabricantes y distribuidores, con lo que de inmediato vulnerables a la explotacin. Las configuraciones predeterminadas son a menudo dirigidas a la facilidad de despliegue y la facilidad de uso y no de seguridad, dejando a los servicios externos que son explotables en su estado predeterminado. Adems, los parches no siempre se aplican de manera oportuna y actualizaciones de software a menudo introducen debilidades desconocidas en una pieza de software que es vulnerable a los ataques de da cero. Los atacantes intentan explotar tanto los servicios de la red accesible y el software de cliente de exploracin utilizando estas tcnicas. Las defensas contra estos exploits automatizadas incluyen componentes contratantes informticos y de red con las configuraciones seguras ya implantadas, la implementacin de estos sistemas endurecidos preconfigurados, la actualizacin de estas configuraciones de forma regular, y hacer su seguimiento en un sistema de gestin de la configuracin.

1. Ganancias rpidas (cinco primeros - # 2): Establecer y garantizar el uso de configuraciones seguras estndar de los sistemas operativos. Imgenes estandarizadas deben representar versiones endurecidas del sistema operativo subyacente y las aplicaciones instaladas en el sistema, tales como los publicados por el proveedor para situaciones de alta seguridad y los liberados por la Agencia de Defensa de la NSA de Sistemas de Informacin (DISA), y el Centro de Internet Seguridad (CIS). Este endurecimiento incluira tpicamente eliminacin de cuentas innecesarias, la desactivacin o eliminacin de servicios innecesarios, y la configuracin de las pilas no ejecutables y montones. Este endurecimiento tambin implica, entre otras medidas, la aplicacin de parches, el cierre de los puertos de red abiertos y no utilizados, la implementacin de sistemas de deteccin de intrusos y / o sistemas de prevencin de intrusiones, y erigir firewalls basados en host. Correr nico estndar, configuraciones seguras le permitir instalar todos los parches de seguridad nuevos dentro de las 24-48 horas. Estas imgenes deben ser validados y actualizan de forma regular para actualizar su configuracin de seguridad a la luz de recientes vulnerabilidades y vectores de ataque. 2. Ganancias rpidas (First Five - # 3 y # 4): Implementar herramientas de parches automatizados y procesos que garanticen los parches de seguridad estn instalados dentro de las 48 horas de su liberacin, tanto para aplicaciones como para el software del sistema operativo. Cuando los sistemas obsoletos ya no se pueden asignar, actualizar a la ltima versin del software de aplicacin. Quite el software obsoleto, ms viejo, y sin uso del sistema. 3. Ganancias rpidas (cinco primeros - # 5): limitar los privilegios administrativos para muy pocos usuarios que tienen tanto los conocimientos necesarios para administrar el sistema operativo y un negocio necesitan modificar la configuracin del sistema operativo subyacente. Esto ayudar a prevenir la instalacin de software no autorizado y otros abusos de los privilegios de administrador. 4. Ganancias rpidas: Siga la gestin de configuracin estricta, la construccin de una imagen de seguridad que se utiliza para construir todos los nuevos sistemas que se implementan en la empresa. Cualquier sistema existente que se convierte en peligro debe ser re-fotografiada con la construccin segura. Las actualizaciones regulares a esta imagen se deben integrar en los procesos de gestin del cambio de la organizacin. Las imgenes deben ser creadas para estaciones de trabajo, servidores y otros tipos de sistemas utilizados por la organizacin. 5. Ganancias rpidas: Guarde las imgenes maestras en los servidores configurados de forma segura, con herramientas de comprobacin de la integridad y la gestin del cambio para asegurar que slo son posibles las modificaciones autorizadas a las imgenes. Alternativamente, estas imgenes maestras se pueden almacenar en mquinas fuera de lnea, aire gapped-de la red de produccin, con las imgenes copiadas a travs de los medios de comunicacin seguras para moverlos entre los servidores de almacenamiento de imgenes y la red de produccin. Las imgenes deben ser probados en el sitio de recuperacin de desastres caliente o tibia, si est disponible. 6. Visibilidad / Atribucin: Cualquier desviacin de la construccin estndar o cambios a la compilacin estndar deben ser aprobados por una junta de control de cambios y documentados en un sistema de gestin del cambio. 7. Visibilidad / Reconocimiento: Negociar contratos para comprar sistemas configurados de forma segura fuera de la caja utilizando imgenes estandarizadas, las cuales deben ser concebidos para evitar el software ajeno que aumentara su superficie de ataque y la susceptibilidad a las vulnerabilidades. 8. Visibilidad / Atribucin: Utilizar aplicaciones listas blancas para controlar y gestionar los cambios de configuracin en el software que se ejecuta en el sistema. 9. Configuracin / Higiene: Hacen todos la administracin remota de servidores, estaciones de trabajo, dispositivos de red y equipos similares a travs de canales seguros. Los protocolos como Telnet, VNC, RDP, u otros que no apoyan activamente cifrado de alta seguridad slo se deben usar si se realizan a travs de un canal cifrado secundario, como SSL o IPSEC.
5
10. Configuracin / Higiene: Utilizar la integridad del archivo herramientas de comprobacin, por lo menos una vez por semana para asegurarse de que los archivos crticos del sistema (incluyendo sistema sensible y ejecutables de aplicaciones, bibliotecas y configuraciones) no han sido alterados. Todas las modificaciones de este tipo de archivos deben ser reportadas automticamente al personal de seguridad. El sistema de informacin debe tener la capacidad de dar cuenta de los cambios de rutina y los esperados, destacando las alteraciones inusuales o inesperados. 11. Configuracin / Higiene: Implementar y poner a prueba un sistema de monitoreo de configuracin automtica que mide todos los elementos de configuracin segura que pueden ser medidos a travs de pruebas a distancia, el uso de caractersticas como las que se incluye con las herramientas compatibles con Content Security Automation Protocol (SCAP) para reunir informacin sobre la vulnerabilidad de configuracin. Estas pruebas automatizadas deben analizar tanto los cambios de hardware y software, los cambios de configuracin de la red, y cualesquiera otras modificaciones que afectan a la seguridad del sistema. 12. Configuracin / Higiene: Implementar herramientas de gestin de configuracin del sistema, como los objetos de Active Directory de directiva de grupo para los sistemas Microsoft Windows o de marionetas para los sistemas Unix que harn cumplir de forma automtica y redistribuir los valores de configuracin de los sistemas, a intervalos regulares. 13. Avanzado: Adoptar una infraestructura de gestin de procesos y formal de control de la configuracin de los dispositivos mviles. El proceso debe incluir la limpieza segura remoto de dispositivos perdidos o robados, la aprobacin de las aplicaciones corporativas, y la negacin de las aplicaciones no autorizadas. Si el dispositivo es propiedad de la organizacin, un completo limpie deben realizarse. Si se trata de un sistema de BYOD, un selectivo de barrido debe realizarse, la eliminacin de informacin de la organizacin.

CM-1, CM-2 (1, 2), CM-3 (b, c, d, e, 2, 3), CM-5 (2), CM-6 (1, 2, 4), CM- 7 (1), SA-1 (a), SA-4 (5), SI-7 (3), PM-6
Hito 7: Gestin de Lnea de Base Gestin de la Configuracin y Cambio

Las organizaciones pueden implementar este control mediante el desarrollo de una serie de imgenes y servidores de almacenamiento seguros para la celebracin de estas imgenes estndar. Herramientas de gestin de configuracin comerciales y / o libres se pueden emplear para medir la configuracin del sistema operativo y las aplicaciones de las mquinas administradas a buscar las desviaciones de las configuraciones de imagen estndar utilizados por la organizacin. Algunas de las herramientas de gestin de configuracin requieren que un agente puede instalar en cada sistema administrado, mientras que otros registran remotamente en cada equipo gestionado utilizando credenciales de administrador. Cualquiera de estos enfoques o una combinacin de los dos enfoques pueden proporcionar la informacin necesaria para este control.
Control 3 Metric:
El sistema debe ser capaz de identificar cualquier cambio a una imagen oficial endurecida que puede incluir modificaciones a los archivos de claves, los servicios, los puertos, los archivos de configuracin o de cualquier software instalado en el sistema. Las modificaciones incluyen la supresin, cambios o adiciones de un
nuevo software a cualquier parte de los sistemas operativos, servicios o aplicaciones que se ejecutan en el sistema. La configuracin de cada sistema debe ser contrastada con la base de datos de imagen mster oficial para verificar cualquier cambio para asegurar configuraciones que podran afectar la seguridad. Cualquiera de estos cambios en un sistema informtico debe ser detectado dentro de las 24 horas y notificacin realizados por alertar o el envo de mensajes de correo electrnico a una lista del personal administrativo de la empresa. Los sistemas deben bloquear la instalacin, evitar la ejecucin, o poner en cuarentena el software no autorizado en una hora adicional, alertando o enviar correo electrnico cuando se produce esta accin. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado del sistema hasta que el sistema no autorizada ha sido retirado de la red o remedi. Mientras que las 24 horas y una hora plazos representan la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta y el aislamiento.
Para evaluar la aplicacin del control 3 de forma peridica, un equipo de evaluacin debe moverse un sistema de prueba benigna que no contiene la imagen endurecido oficial, pero eso no contener servicios adicionales, puertos y cambios en los archivos de configuracin, en la red. Esto se debe realizar en 10 segmentos al azar diferentes que utilizan los sistemas reales o virtuales. El equipo de evaluacin debe entonces verificar que los sistemas generan una alerta en relacin con los cambios en el software en 24 horas. Es importante que el equipo de evaluacin verifica que se han detectado todos los cambios no autorizados. El equipo tambin debe verificar que la alerta o el correo electrnico que se recibe en una hora adicional que indica que el software ha sido bloqueado o puesto en cuarentena. El equipo de evaluacin debe verificar que el sistema proporciona informacin sobre la ubicacin de cada mquina con los cambios no autorizados, incluyendo informacin sobre el propietario de los activos. El equipo de evaluacin debe entonces verificar que el software se bloquea al intentar ejecutarlo y verificar que no se le permite correr.Adems de estas pruebas, dos pruebas adicionales deben ser realizadas: 1. La integridad del archivo herramientas de comprobacin se debe ejecutar en una base regular. Cualquier cambio en el sistema operativo crtico, servicios y archivos de configuracin deben ser revisados sobre una base horaria. Cualquier cambio debe ser bloqueado y siguen el proceso de notificacin anterior. 2. Herramientas de exploracin del sistema que comprueban la versin del software, los niveles de parches, y los archivos de configuracin se deben ejecutar en una base diaria. Cualquier cambio debe ser bloqueado y siguen el proceso de notificacin por correo electrnico anterior.
Control del Sistema 3 Entidad Diagrama de relaciones:

Las organizaciones se encuentran que al diagramar las entidades necesarias para cumplir plenamente los objetivos definidos en este control, ser ms fcil identificar cmo ponerlas en prctica, probar los controles, e identificar dnde pueden producirse posibles fallos en el sistema. Al igual que con cualquier configuracin, todos los cambios deben ser aprobados y administrados por un proceso de control de cambios.
Crticos de Control 4: Evaluacin de la vulnerabilidad continua y Remediacin

20 Controles de seguridad crtica | Directrices control anteriorsiguiente control
Los procesos y las herramientas que se utilizan para detectar / prevenir / corregir vulnerabilidades de seguridad en las configuraciones de los dispositivos que se enumeran y aprobados en la base de datos de inventario de activos.

Poco despus se descubren nuevas vulnerabilidades y reportados por los investigadores de seguridad o vendedores, los atacantes ingeniero cdigo de explotacin y luego lanzar el cdigo contra objetivos de inters. Los retrasos significativos en la bsqueda o la fijacin de software con vulnerabilidades peligrosas ofrece una amplia oportunidad para los atacantes persistentes para romper, ganar control sobre las mquinas vulnerables, como al acceder a los datos confidenciales que contienen. Las organizaciones que no exploran en busca de vulnerabilidades y proactiva abordan defectos descubiertos se enfrentan a una probabilidad significativa de que sus sistemas informticos comprometidas. Las vulnerabilidades tambin deben estar vinculados a la inteligencia de amenazas y estar debidamente priorizados. Como anlisis de vulnerabilidad se vuelven ms comunes, los atacantes les estn utilizando como punto de explotacin. Es importante controlar cuidadosamente los anlisis de vulnerabilidades autenticadas y la cuenta de administrador asociado. Los atacantes tomar el control de una mquina con privilegios locales, y esperar a que un escaneo autenticado que se produzca contra la mquina. Cuando el escner inicia sesin con privilegios de administrador de dominio, el atacante ya sea coge la seal de que ha iniciado sesin en la herramienta de escaneo, o huele la respuesta al desafo y grietas de TI. De cualquier manera, el atacante puede girar en cualquier otro lugar en la organizacin como administrador de dominio.

1. Ganancias rpidas (Soporta el "First Five"): Run automatizados herramientas de escaneo de vulnerabilidades contra de todos los sistemas en la red sobre una base semanal o ms frecuente y entregan listas priorizadas de las vulnerabilidades ms crticas a cada administrador del sistema responsable, junto con decenas de riesgo que comparan la eficacia de los administradores de sistemas y departamentos en la reduccin de riesgos. Utilice un escner de vulnerabilidades SCAPvalidado que busca ambas vulnerabilidades basadas en cdigo (tales como los descritos por Common Vulnerabilities and Exposures entradas) y las vulnerabilidades basadas en configuracin (como se enumeran por la enumeracin de proyectos Configuracin comn). Cuando sea posible, el anlisis de vulnerabilidades de tener lugar sobre una base diaria usando una herramienta de escaneo de vulnerabilidad-para arriba-hasta la fecha.Cualquier vulnerabilidad determinada debe ser remediado en tiempo y forma, con las vulnerabilidades crticas fijos dentro de las 48 horas. 2. Triunfos rpidos: registros de eventos se correlacionan con la informacin de los anlisis de vulnerabilidad para cumplir dos objetivos.En primer lugar, el personal debe verificar que se registra la actividad de las propias herramientas habituales de anlisis de vulnerabilidades. En segundo lugar, el personal debe ser capaz de correlacionar eventos de deteccin de ataques con anteriores resultados de anlisis de vulnerabilidades para determinar si el dado explotar fue usado contra un objetivo conocido por ser vulnerable. 3. Ganancias rpidas: Use una cuenta especial para anlisis de vulnerabilidad autenticados. La cuenta de la exploracin no debe ser utilizado para otras actividades administrativas y atado a mquinas especficas a determinadas direcciones IP. Asegrese de que slo los empleados autorizados tienen acceso a la interfaz de usuario de administracin de vulnerabilidad y que los roles se aplican a cada usuario.
6
4. Ganancias rpidas: suscribirse a los servicios de inteligencia de vulnerabilidad a fin de mantenerse al tanto de los riesgos emergentes, y el uso de la informacin obtenida de esta suscripcin para actualizar las actividades de anlisis de vulnerabilidades de la organizacin, por lo menos una vez al mes. Alternativamente, asegrese de que las herramientas de anlisis de vulnerabilidades que utiliza se actualizan regularmente con todas las vulnerabilidades de seguridad importantes pertinentes. 5. Visibilidad / Reconocimiento: Implementar herramientas de gestin de parches automatizados y herramientas de actualizacin de software para el sistema operativo y software / aplicaciones en todos los sistemas para los que este tipo de herramientas disponibles y consideradas seguras. Los parches deben ser aplicados a todos los sistemas, incluso los sistemas que se encuentran adecuadamente con huecos de aire. 6. Visibilidad / Atribucin: Controle cuidadosamente los registros asociados con cualquier actividad de anlisis y las cuentas de administrador asociado para garantizar que todas las actividades de exploracin y de acceso asociado a travs de la cuenta privilegiada se limita a los plazos de las exploraciones legtimos. 7. Configuracin / Higiene: Adems de la realizacin de anlisis de vulnerabilidades no autenticado, asegrese de que todos los anlisis de vulnerabilidades se lleva a cabo en un modo autenticado ya sea con agentes que se ejecutan localmente en cada sistema final para analizar la configuracin de seguridad o con escneres remotos que se dan permisos de administrador en el sistema se est probando . 8. Configuracin / Higiene: Comparar los resultados de los anlisis de vulnerabilidad-back-to-back para verificar que las vulnerabilidades se trataron ya sea mediante parches, la implementacin de un control de compensacin, o de la documentacin y la aceptacin de un riesgo razonable de negocios. Tal aceptacin de los riesgos de negocio para las vulnerabilidades existentes debe ser revisado peridicamente para determinar si los controles de compensacin nuevos o parches posteriores pueden abordar las vulnerabilidades que fueron aceptadas con anterioridad, o si las condiciones han cambiado, lo que aumenta el riesgo. 9. Configuracin / Higiene: herramientas de escaneo de vulnerabilidades Tune para comparar los servicios que estn escuchando en cada equipo con una lista de servicios autorizados. Las herramientas deben ajustarse adems para identificar cambios en el tiempo en los sistemas, tanto para los servicios autorizados y no autorizados. 10. Configuracin / Higiene: Mida el retraso en parchear vulnerabilidades nuevas y asegrese de que el retraso es igual o inferior a los valores de referencia establecidos por la organizacin. Contramedidas alternativos se debe considerar si los parches no estn disponibles. 11. Configuracin / Higiene: Evaluar los parches crticos en un entorno de prueba antes de empujar en produccin de sistemas de la empresa. Si dichos parches rompen aplicaciones crticas de negocio en las mquinas de prueba, la organizacin debe elaborar otros controles atenuantes que bloquean la explotacin en sistemas donde el parche no se puede implementar, debido a su impacto en la funcionalidad del negocio. 12. Configuracin / Higiene: Atender las vulnerabilidades ms perjudiciales primero. Dar prioridad a los activos vulnerables en base a ambos los riesgos del negocio y tcnicas especficos de la organizacin. Un ranking de vulnerabilidad o corporativa a nivel de toda la industria puede ser insuficiente para dar prioridad a que los activos especficos para abordar en primer lugar. Una ejecucin por fases se puede utilizar para minimizar el impacto en la organizacin.

RA-3 (A, B, C, D), la AR-5 (A, B, 1, 2, 5, 6)
Hito 6: Administracin de revisiones

Un gran nmero de herramientas de anlisis de vulnerabilidades estn disponibles para evaluar la configuracin de seguridad de los sistemas. Algunas empresas han encontrado tambin servicios comerciales se utilizan aparatos de escaneo gestionados de forma remota para ser eficaz. Para ayudar a estandarizar las definiciones de las vulnerabilidades descubiertas en los diferentes departamentos de una organizacin o incluso a travs de organizaciones, es preferible utilizar herramientas de escaneo de vulnerabilidades que miden los fallos de seguridad y asignarlos a las vulnerabilidades y problemas categorizados utilizando uno o ms de los siguientes vulnerabilidad reconocida por la industria , la configuracin y esquemas y lenguajes de clasificacin plataforma: CVE, CCE, OVAL, CPE, CVSS, y / o XCCDF. Herramientas avanzadas de anlisis de vulnerabilidades se pueden configurar con las credenciales de usuario para iniciar sesin en los sistemas escaneados y realizar anlisis ms exhaustivos que se puede lograr sin credenciales de inicio de sesin. La frecuencia de las actividades de exploracin, sin embargo, debera aumentar a medida que la diversidad de los sistemas de los aumentos de la organizacin para dar cuenta de los diferentes ciclos de parches de cada proveedor. Adems de las herramientas de anlisis que comprueban las vulnerabilidades y errores de configuracin a travs de la red, varias herramientas gratuitas y comerciales pueden evaluar los ajustes y configuraciones de los equipos locales en los que se instalan de seguridad. Estas herramientas pueden proporcionar una idea de grano fino en cambios no autorizados en la configuracin o la introduccin inadvertida de las debilidades de seguridad de los administradores. Las organizaciones eficaces vinculan sus escneres de vulnerabilidad con los sistemas de ticketing de problemas que controlan automticamente y se reportan avances en la solucin de problemas, y que hacen que las vulnerabilidades crticas mitigados visible a los niveles ms altos de la administracin para asegurar que los problemas se resuelven. Las herramientas ms eficaces de anlisis de vulnerabilidades se comparan los resultados de la exploracin actual con anlisis anteriores para determinar cmo las vulnerabilidades en el medio ambiente han cambiado con el tiempo. El personal de seguridad utilizan estas funciones para realizar trending vulnerabilidad de mes a mes. Como vulnerabilidades relacionadas con los sistemas sin parches son descubiertos por las herramientas de escaneo, el personal de seguridad deben determinar y documentar la cantidad de tiempo que transcurre entre la publicacin de un parche para el sistema y la ocurrencia del anlisis de vulnerabilidades. Si esta ventana de tiempo es superior a los puntos de referencia de la organizacin para la implementacin del nivel de criticidad del parche dado, el personal de seguridad deben tener en cuenta la demora y determinar si una desviacin fue formalmente documentado para el sistema y su parche. Si no es as, el equipo de seguridad debera trabajar con la administracin para mejorar el proceso de actualizacin. Adems, algunas herramientas de parches automatizados no pueden detectar o instalar ciertos parches debido a un error por parte del proveedor o administrador. Debido a esto, todos los cheques de parches deben conciliar los parches del sistema con una lista de parches de cada proveedor ha anunciado en su pgina web.
Control 4 Metric:
Todas las mquinas identificadas por el sistema de inventario de activos asociados a crticos de control 1 se deben escanear en busca de vulnerabilidades. Adems, si el escner de vulnerabilidad identifica los dispositivos no incluidos en el inventario de activos, debe alertar o enviar un correo electrnico al personal administrativo de la empresa dentro de las 24 horas. El sistema debe ser capaz de alertar al personal administrativo o de correo electrnico de la empresa dentro de una hora de anlisis de vulnerabilidades automatizados semanales o diarios completarse. Si una exploracin no se puede completar con
xito, el sistema debe alertar o enviar un correo electrnico al personal administrativo dentro de la hora que indica que el anlisis no se ha completado correctamente. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado de las exploraciones no completadas, hasta que se reanude la exploracin normal. Las herramientas automatizadas de gestin de parches deben alertar o enviar un correo electrnico al personal administrativo dentro de las 24 horas de la instalacin correcta de los nuevos parches. Mientras que las 24 horas y una hora plazos representan la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deberan esforzarse por alerta an ms rpida, con notificacin sobre un activo no autorizado conectado a la red o un anlisis de vulnerabilidades incompleta enviado a los dos minutos.
Control 4 de la prueba:
Para evaluar la aplicacin de control 4 en forma peridica, el equipo evaluador debe verificar que el escaneo herramientas han completado con xito sus exploraciones semanales o diarios de los 30 ciclos anteriores de la exploracin mediante la revisin de las alertas y los informes archivados para asegurarse de que se complet la exploracin. Si un anlisis no se pudo completar en ese perodo de tiempo, el equipo de evaluacin debe verificar que se gener una alerta o e-mail indicando que la exploracin no termin.
Control del sistema de relaciones de entidad 4 Diagrama:

Un sistema de control es un dispositivo o conjunto de dispositivos para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, los escneres de vulnerabilidad, sistema de gestin, sistemas de gestin de parches, y lneas de base de configuracin, todos trabajan juntos para abordar la gestin de la vulnerabilidad de la organizacin y la estrategia de remediacin.La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Servicio de inteligencia de vulnerabilidad provee insumos para escner de vulnerabilidades Paso 2: Los scanners de vulnerabilidades examinar sistemas de produccin Paso 3: Informe de scanners de vulnerabilidades detecta vulnerabilidades de un sistema de gestin de vulnerabilidad (VMS) Paso 4: El VMS compara los sistemas de produccin de las lneas de base de configuracin Paso 5: El VMS enva informacin al registro del sistema de correlacin de gestin Paso 6: El VMS produce informes de gestin Paso 7: Un sistema de gestin de parches aplica actualizaciones de software para los sistemas de produccin. Notas
6
Un sistema de control es un dispositivo o conjunto de dispositivos para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los dispositivos, el software y las entidades que se utilizan para gestionar y aplicar las opciones de configuracin coherentes para estaciones de trabajo, porttiles y servidores de la red. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Asegurado imgenes de sistemas aplicados a los sistemas informticos Paso 2: Asegurado imgenes del sistema almacenadas en forma segura Paso 3: Sistema de Gestin de la configuracin valida e imgenes del sistema cheques Paso 4: sistema de aplicacin de la poltica de configuracin explora activamente los sistemas de produccin de errores de configuracin o desviaciones de las lneas de base Paso 5: Los sistemas de evaluacin de integridad de archivos binarios monitorean crticos del sistema y los conjuntos de datos Paso 6: Blanco herramienta lista supervisa configuraciones y software de sistemas Paso 7: Escner de configuracin SCAP valida las configuraciones Paso 8: Sistema de evaluacin de la integridad del archivo enva desviaciones de sistema de alerta Paso 9: Herramienta Blanco listado enva desviaciones al sistema de alertas Paso 10: configuracin del escner SCAP enva desviaciones al sistema de alertas Paso 11 y 12: Informes de gestin de estado de configuracin de documentos. Notas
5
Crticos de Control 5: Defensas de malware

20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y las herramientas que se utilizan para detectar / prevenir / instalacin y ejecucin de software malicioso en todos los dispositivos correctos.

El software malicioso es un aspecto integral y peligrosa de las amenazas de Internet, dirigido a los usuarios finales y las organizaciones a travs de la navegacin web, archivos adjuntos de correo electrnico, dispositivos mviles, la nube, y otros vectores. El cdigo malicioso puede alterar los contenidos del sistema, la captura de los datos sensibles, y se extendi a otros sistemas. Malware actuales pretende evitar basada en firmas y deteccin de comportamiento, y puede
desactivar las herramientas anti-virus que se ejecutan en el sistema de destino. Anti-virus y anti-spyware, denominados colectivamente como herramientas antimalware, ayudar a combatir estas amenazas, tratando de detectar el malware y bloquear su ejecucin.

1. Ganancias rpidas: Emplear las herramientas automatizadas para monitorear continuamente las estaciones de trabajo, servidores y dispositivos mviles para el activo, hasta al da la proteccin anti-malware con funcionalidad antivirus, anti-spyware, cortafuegos personales y IPS basados en host. Todos los eventos de deteccin de malware se deben enviar a las herramientas de administracin de anti-malware de la empresa y los servidores de registro de eventos. La solucin de seguridad de punto final debe incluir la proteccin de da cero, como la red heurstica de comportamiento. 2. Ganancias rpidas: Emplear el software anti-malware y las caractersticas de actualizacin automtica de la firma o han administradores empujar manualmente cambios a todas las mquinas en una base diaria. Despus de aplicar una actualizacin, los sistemas automatizados deben verificar que cada sistema ha recibido la actualizacin de firmas. 3. Ganancias rpidas: Configurar los ordenadores porttiles, estaciones de trabajo y servidores para que ellos no contento de ejecucin automtica de tokens USB (es decir, "thumb drives"), discos duros USB, CDs / DVDs, dispositivos Firewire, dispositivos de fijacin tecnologa avanzada serie externo, montado recursos compartidos de red, u otros medios extrables. Si no se necesitan los dispositivos para uso empresarial, deben ser desactivados. 4. Ganancias rpidas: Configurar los sistemas para que realicen un anlisis anti-malware automtico de medios extrables cuando se inserta. 5. Ganancias rpidas: Escanear y bloquear todos los archivos adjuntos de correo electrnico que entran en el correo electrnico de puerta de enlace de la organizacin si contienen cdigo malicioso o los tipos de archivos que no sean necesarios para el negocio de la organizacin. Este anlisis debe ser hecho antes de que el correo electrnico se coloca en la bandeja de entrada del usuario. Esto incluye el correo electrnico filtrado de contenidos y filtrado de contenido web. 6. Ganancias rpidas: Aplicar el anlisis antivirus en el gateway Web Proxy. El filtrado de contenido para los tipos de archivos se debe aplicar en el permetro. 7. Ganancias rpidas: Implementar caractersticas y juegos de herramientas, tales como Data Execution Prevention (DEP) y Enhanced Experience Toolkit Mitigacin (EMET), productos que proporcionan sandboxing (por ejemplo, los navegadores se ejecutan en una mquina virtual), y otras tcnicas que evitan la explotacin de malware. 8. Ganancias rpidas: Limitar el uso de dispositivos externos para aquellos que tienen una necesidad de negocio. Monitor para el uso y el intento de uso de los dispositivos externos. 9. Visibilidad / Atribucin: Bloquear el acceso a sistemas externos de correo electrnico, servicios de mensajera instantnea, y otras herramientas de medios sociales. 10. Visibilidad / Reconocimiento: Asegrese de que las herramientas automatizadas de control utilizan la deteccin de anomalas basado en el comportamiento para complementar y mejorar la deteccin basada en firmas tradicionales. 11. Visibilidad / Atribucin: Utilizar herramientas antimalware basados en la red para analizar todo el trfico entrante y filtrar el contenido malicioso antes de que llegue al punto final. 12. Avanzado: Realizar un monitoreo continuo sobre todo el trfico entrante y saliente. Cualquier grandes transferencias de datos o trfico no autorizado debern ser marcados y, de ser validado como malicioso, el ordenador se deben mover a una VLAN aislada.
13. Avanzado: Implementar un proceso de respuesta a incidentes que permite la organizacin de soporte de TI para suministrar el equipo de seguridad con muestras de malware ejecutndose sin ser detectado en los sistemas corporativos. Las muestras deben ser proporcionados a la empresa de seguridad para la creacin de la firma "fuera de banda" y se despliegan a la empresa por los administradores del sistema. 14. Avanzado: Utilizar herramientas de anlisis de flujo basados en la red para analizar el trfico entrante y saliente en busca de anomalas, indicadores de malware, y los sistemas comprometidos. 15. Avanzado: Implementar las "tecnologas basadas en la reputacin" en todos los dispositivos de punto final para cubrir la brecha de las tecnologas basadas en firmas. 16. Avanzado: Habilitar sistema de nombres de dominio (DNS) el registro de consultas para detectar operaciones de bsqueda el nombre de host de dominios C2 maliciosos conocidos. 17. Avanzado: Aplicar la tecnologa de proxy para todas las comunicaciones entre la red interna e Internet.

SC-18, SC-26, IS-3 (A, B, 1, 2, 5, 6)
Detectores de Virus y Host Sistemas de Prevencin de Intrusos (HIPS) Electronic Device Personal de Gestin (PED) Network Access Protection / Control (NAP / NAC) Security Gateways, proxies y firewalls Monitoreo de Seguridad de Red

Basndose en la poltica y la accin del usuario para mantener las herramientas anti-malware al da ha sido ampliamente desacreditado, ya que muchos usuarios no han demostrado ser capaces de manejar sistemticamente esta tarea. Para asegurarse de firmas antivirus estn actualizados, las organizaciones utilizan la automatizacin. Utilizan la incorporada en funciones administrativas de la empresa suites de seguridad de punto final para verificar que el anti-virus, anti-spyware, y IDS basados en host funciones estn activas en cada sistema administrado. Corren evaluaciones automatizadas diaria y revisar los resultados para encontrar y mitigar los sistemas que se han desactivado este tipo de protecciones, as como los sistemas que no cuentan con las ltimas definiciones de malware. Algunas empresas implementan honeypot y Tarpit herramientas gratuitas o comerciales para identificar atacantes en su entorno. El personal de seguridad deben controlar continuamente honeypots y tarpits para determinar si el trfico se dirige a ellos y las cuentas de acceso se intentan. Cuando identifican este tipo de eventos, este personal debe reunir la direccin de la fuente de la que se origina este trfico y otros detalles relacionados con el ataque para la investigacin de seguimiento.
Control 5 Metric:
El sistema deber identificar cualquier software malicioso que se instala, trat de ser instalado, se ejecuta, o tratado de ser ejecutado en un sistema informtico dentro de una hora, alertas o el envo de una notificacin por correo electrnico a una lista de personal de la empresa a travs de su anti-malware centralizado consola o sistema de registro de eventos. Los sistemas deben bloquear la instalacin, evitar la ejecucin, o poner en cuarentena el software malicioso dentro de una hora, alertas o enviar correo electrnico cuando se produce esta accin. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado de los cdigos maliciosos, hasta el momento en que la amenaza ha sido completamente mitigado en ese sistema. Si bien el plazo de una hora representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse para la deteccin ms rpida y aislamiento malware.
Para evaluar la aplicacin de control 5 en forma peridica, el equipo de evaluacin debe mover un programa de pruebas de software benigno que parece ser el malware (como un archivo EICAR o herramientas de hackers benignos), pero que no est incluido en la lista oficial de software autorizado , a 10 sistemas en la red a travs de un recurso compartido de red. La seleccin de estos sistemas debe ser tan al azar como sea posible e incluir una muestra representativa de los sistemas y las ubicaciones de la organizacin. El equipo de evaluacin debe entonces verificar que los sistemas generan una notificacin de alerta o e-mail en cuanto el malware benigna en una hora. El equipo tambin debe verificar que la alerta o correo electrnico indicando que el software ha sido bloqueado o puesto en cuarentena que se recibe en una hora. El equipo de evaluacin debe verificar que el sistema proporciona informacin sobre la ubicacin de cada mquina con este nuevo archivo de prueba, incluida la informacin sobre el propietario de los activos. El equipo debe entonces verificar que el archivo est bloqueado por intentar ejecutar o abrirlo y comprobar que no est permitido el acceso. Una vez que esta prueba se ha realizado la transferencia de los archivos a los sistemas de organizacin a travs de medios extrables, la misma prueba debe repetirse, pero esta vez de transferir el malware benigna de 10 sistemas a travs de correo electrnico en lugar. La organizacin tiene que esperar los mismos resultados de notificacin como se ha sealado con la prueba de medios extrables.
Sistema de control de 5 Entidad Diagrama de relaciones:

Un sistema de control es un dispositivo o conjunto de dispositivos para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los sistemas anti-malware y vectores de amenazas tales como los medios extrables. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Los sistemas de anti-malware analizan los sistemas de produccin y medios extrables Paso 2: Se analiza medios extrables cuando se conectan a los sistemas de produccin Paso 3: Los dispositivos de proxy de correo electrnico / web y de red analizar todo el trfico entrante y saliente Paso 4: Los monitores de control de acceso de red de todos los sistemas conectados a la red Paso 5: Los sistemas de monitoreo de intrusiones / network realizar un seguimiento continuo en busca de signos de malware.
Crticos de Control 6: Aplicacin de Software de Seguridad

20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y herramientas organizaciones utilizan para detectar / evitar / debilidades de seguridad correctas en el desarrollo y adquisicin de aplicaciones de software.

Los ataques contra vulnerabilidades en otras aplicaciones de software basado en la web y han sido una prioridad para las organizaciones criminales en los ltimos aos. El software de aplicacin que no comprueba correctamente el tamao de la entrada del usuario, no para sanear la entrada del usuario mediante el filtrado de secuencias de caracteres que no sean necesarios, pero potencialmente maliciosos o no inicializa las variables claras adecuadamente podra ser vulnerable a un compromiso a distancia. Los atacantes pueden inyectar exploits especficos, incluidos los desbordamientos de buffer y ataques de inyeccin SQL, cross-site scripting, cross-site request forgery, y haz click-jacking de cdigo para obtener el control de las mquinas vulnerables. En uno de los ataques, ms de 1 milln de servidores web se explotaron y se convirtieron en los motores de infeccin para los visitantes de esos sitios que utilizan la inyeccin de SQL. Durante el ataque, se usaron sitios web de confianza de los gobiernos estatales y otras organizaciones comprometidas por atacantes para infectar cientos de miles de navegadores que accedieron esos sitios web. Muchas vulnerabilidades ms aplicaciones web y no web se descubren regularmente. Para evitar este tipo de ataques, tanto desarrollados internamente y el software de aplicacin de terceros debe ser cuidadosamente probados para encontrar fallas de seguridad. Para el software de aplicaciones de terceros, las empresas deben verificar que los proveedores han llevado a cabo pruebas de seguridad detallada de sus productos. Para internos aplicaciones desarrolladas, las empresas deben llevar a cabo tales pruebas ellos mismos o contratar a un empresa externa para su realizacin.

1. Ganancias rpidas: Proteger aplicaciones web mediante la implementacin de cortafuegos de aplicacin web (WAFS), que inspeccionen todo el trfico que fluye a la aplicacin web para ataques a aplicaciones web comunes, incluyendo pero no limitado a cross-site scripting, inyeccin SQL, inyeccin de comandos, y los ataques de directorio transversal. Para las aplicaciones que no estn basados en la web, cortafuegos de aplicacin especficos deben ser desplegados si estas herramientas estn disponibles para el tipo de aplicacin. Si se cifra el trfico, el dispositivo debe ya sea sentarse detrs de la encriptacin o ser capaz de descifrar el trfico antes del anlisis. Si ninguna de estas opciones es adecuada, una red firewall de aplicaciones basadas en host que se debe desplegar. 2. Visibilidad / Atribucin: Como mnimo, la comprobacin de errores explcita debe hacerse para todas las entradas. Siempre que se crea una variable en el cdigo fuente, el tamao y el tipo deben determinarse. Cuando la entrada es proporcionada por el usuario que debe ser verificada que no excede el tamao o el tipo de datos de la ubicacin de memoria en la que se almacena o se mueve en el futuro. 3. Aplicaciones web de prueba en la casa-desarrollados y adquiridos por terceros de las debilidades de seguridad comunes que utilizan los escneres de aplicaciones Web remotas automatizadas antes del despliegue, siempre que se hagan cambios a la aplicacin y sobre una base recurrente regulares: Visibilidad / Atribucin. Las organizaciones deben comprender cmo sus aplicaciones se comportan bajo la denegacin de servicio o ataques de agotamiento de recursos. 4. Visibilidad / Reconocimiento: No mostrar mensajes de error del sistema de sanitizacin (salida) los usuarios finales. 5. Visibilidad / Atribucin: Mantener ambientes separados para los sistemas de produccin y de no produccin. Los desarrolladores no deben normalmente tener acceso sin control a los entornos de produccin. 6. Configuracin / Higiene: Test in-house desarrollado y web y otras aplicaciones de software para los errores y la insercin de malware, incluyendo puertas traseras, antes del despliegue utilizando el software automatizado de anlisis de cdigo esttico de codificacin-adquirido de terceros. Si el cdigo fuente no est disponible, estas organizaciones deberan probar el cdigo compilado utilizando herramientas de anlisis esttico binarios. En particular, la validacin de entrada y salida de las rutinas de codificacin de software de aplicacin deben ser cuidadosamente revisados y probados. 7. Configuracin / Higiene: Para las aplicaciones que se basan en una base de datos, lleve a cabo una revisin de la configuracin tanto de la carcasa del sistema operativo de la base de datos y el software de base de datos, comprobacin de la configuracin para asegurarse de que el sistema de base de datos se ha endurecido el uso de plantillas de endurecimiento estndar. Todos los sistemas de la organizacin que son parte de los procesos crticos de negocio tambin debe ser probado. 8. Configuracin / Higiene: Asegrese de que todo el personal de desarrollo de software reciben capacitacin en escribir cdigo seguro para su entorno de desarrollo especfico. 9. Configuracin / Higiene: Desinstalar o quitar de los scripts de ejemplo del sistema, las bibliotecas, los componentes, los compiladores, o cualquier otro cdigo innecesario que no est siendo utilizada por una aplicacin.

CM-7, AR-5 (A, 1), SA-3, SA-4 (3), SA-8, SI-3, SI-10
Hito 3: Arquitectura de red Hito 7: Gestin de Lnea de Base
Security Gateways, proxies y firewalls

Herramientas de prueba de cdigo fuente, herramientas de anlisis de seguridad de aplicaciones web y herramientas de prueba de cdigo objeto han demostrado ser tiles en la obtencin de software de aplicacin, junto con las pruebas manuales penetracin seguridad de las aplicaciones por los probadores que tienen conocimientos de programacin extensa y penetracin aplicacin pericia pruebas. La iniciativa de la enumeracin Debilidad Comn (CWE) es utilizado por muchas de estas herramientas para identificar las debilidades que encuentran. Las organizaciones tambin pueden utilizar CWE para determinar qu tipos de debilidades que estn ms interesados en el tratamiento y la eliminacin. Al evaluar la eficacia de las pruebas de estas debilidades, Ataque Comn Enumeracin Patrn MITRE y clasificacin se pueden usar para organizar y registrar la amplitud de las pruebas para la CWES y permitir a los probadores a pensar como los atacantes en su desarrollo de casos de prueba.
Control de 6 Metric:
El sistema debe ser capaz de detectar y bloquear un ataque de software a nivel de aplicacin, y debe generar una alerta o enviar un correo electrnico al personal administrativo de la empresa dentro de las 24 horas de la deteccin y el bloqueo. Todas las aplicaciones web con acceso a Internet deben ser escaneados de forma semanal o diaria, alertando o enviando un correo electrnico al personal administrativo dentro de las 24 horas de completar un anlisis. Si una exploracin no se puede completar con xito, el sistema debe alertar o enviar un correo electrnico al personal administrativo dentro de la hora que indica que la exploracin no ha tenido xito. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado de las exploraciones no completadas, hasta que se reanude la exploracin normal. Adems, todas las vulnerabilidades de alto riesgo en las aplicaciones web accesibles desde Internet identificados por scanners de vulnerabilidades de aplicaciones web, herramientas de anlisis esttico, y la base de datos de herramientas automatizadas de revisin de configuracin deben ser mitigados (ya sea por la fijacin de la falla o la aplicacin de un control de compensacin) en un plazo de 15 das de descubrimiento de la falla. Mientras que las 24 horas y una hora plazos representan la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deberan esforzarse por alerta an ms rpida, con notificacin sobre un intento de ataque solicitud enviada en dos minutos
Para evaluar la aplicacin de control de 6 en forma mensual, un equipo de evaluacin debe utilizar un escner de vulnerabilidades de aplicaciones web para poner a prueba para cada tipo de defecto identificado en la lista actualizada de los "25 errores de programacin ms peligrosos" por MITRE y el Instituto SANS . El escner debe estar configurado para evaluar todas las aplicaciones web con acceso a Internet de la organizacin para identificar este tipo de errores. El equipo de evaluacin debe verificar que la exploracin se detecta dentro de las 24 horas y que se genera una alerta. Adems del escner de vulnerabilidades de aplicaciones web, el equipo de evaluacin tambin debe ejecutar herramientas de anlisis de cdigo esttico y herramientas de revisin de configuracin de base contra las aplicaciones con acceso a Internet para identificar las fallas de seguridad en una base mensual. El equipo de evaluacin debe verificar que todas las vulnerabilidades de alto riesgo identificados por las herramientas automatizadas de anlisis de vulnerabilidades y herramientas de anlisis de cdigo esttico han sido remediadas o dirigida a travs de un control de compensacin (como un firewall de aplicaciones web) dentro de los 15 das de descubrimiento.
El equipo de evaluacin debe verificar que las herramientas de anlisis de vulnerabilidades de aplicaciones han completado con xito sus exploraciones peridicas de los 30 ciclos anteriores de la exploracin mediante la revisin de las alertas y los informes archivados para asegurarse de que se complet la exploracin. Si una exploracin no se complet con xito, el sistema debe alertar o enviar un correo electrnico al personal administrativo de la empresa que indican lo que pas. Si un anlisis no se pudo completar en ese perodo de tiempo, el equipo de evaluacin debe verificar que se gener una alerta o e-mail indicando que la exploracin no termin.

Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando el proceso de aplicaciones de monitoreo y el uso de herramientas que hacen cumplir un estilo de la seguridad en el desarrollo de aplicaciones.
La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: firewalls de aplicaciones Web protegen las conexiones a aplicaciones web internas Paso 2: Aplicaciones de software conectarse de forma segura a los sistemas de bases de datos Paso 3: anlisis de cdigo y herramientas de escaneo de vulnerabilidades examinar sistemas de aplicacin y sistemas de bases de datos.
Crticos de Control 7: Control de dispositivos inalmbricos

20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y las herramientas que se utilizan para realizar un seguimiento / control / prevenir / corregir el uso de seguridad de las redes inalmbricas de rea local (LAN), puntos de acceso y sistemas inalmbricos de los clientes.

Principales robos de datos han sido iniciados por los atacantes que han obtenido el acceso inalmbrico a las organizaciones desde fuera del edificio fsico, sin pasar por los permetros de seguridad de las organizaciones mediante la conexin inalmbrica a puntos de acceso dentro de la organizacin. Los clientes inalmbricos que acompaan a los funcionarios que viajan estn infectadas de forma regular a travs de la explotacin a distancia durante los viajes en avin o en cibercafs. Tales sistemas de explotacin se utilizan como puertas traseras cuando se vuelven a conectar a la red de una organizacin de destino. Todava otras organizaciones han reportado el descubrimiento de puntos de acceso inalmbricos no autorizados en sus redes, plantado y, a veces oculta para el acceso sin restricciones a la red interna. Debido a que no requieren conexiones fsicas directas, los dispositivos inalmbricos son un vector conveniente para los atacantes para mantener el acceso a largo plazo en un entorno de destino.

1. Ganancias rpidas: Asegrese de que todos los dispositivos inalmbricos conectados a la red coincide con una configuracin aprobada y el perfil de seguridad, con un propietario documentado de la conexin y una necesidad de negocio definido. Las organizaciones deben negar el acceso a los dispositivos inalmbricos que no tienen una configuracin y un perfil tipo. 2. Ganancias rpidas: Asegrese de que todos los puntos de acceso inalmbrico son manejables utilizando herramientas de gestin empresarial. A menudo puntos de acceso diseados para uso en el hogar carecen de tales capacidades de gestin de la empresa, y por lo tanto deben ser evitados en los entornos empresariales. 3. Ganancias rpidas: herramientas de escaneo de vulnerabilidades de red Configurar para detectar puntos de acceso inalmbricos conectados a la red cableada. Dispositivos identificados deben conciliarse con una lista de puntos de acceso inalmbricos autorizados.Los puntos de acceso no autorizado (es decir, rogue) deben ser desactivados.
4. Visibilidad / Atribucin: Utilice los sistemas inalmbricos de deteccin de intrusos (WIDS) para identificar los dispositivos inalmbricos del granuja y detectar intentos de ataque y compromisos exitosos. Adems de WIDS, todo el trfico inalmbrico debe ser supervisada por WIDS ya que el trfico pasa a la red cableada. 5. Visibilidad / Atribucin: Use 802.1x para controlar qu dispositivos pueden conectarse a la red inalmbrica. 6. Visibilidad / Atribucin: Realizar una inspeccin del lugar para determinar qu reas dentro de la organizacin necesitan cobertura.Despus de que los puntos de acceso inalmbricos estn ubicados estratgicamente, la intensidad de la seal debe ser sintonizado para minimizar la fuga a las reas que no necesitan cobertura. 7. Configuracin / Higiene: Cuando se identifique una necesidad de negocio especfica para el acceso inalmbrico, configurar el acceso inalmbrico en los equipos cliente para permitir el acceso slo a las redes inalmbricas autorizadas. 8. Configuracin / Higiene: Para los dispositivos que no tengan un objetivo comercial inalmbrico esencial, deshabilite el acceso inalmbrico en la configuracin del hardware (sistema de entrada / salida bsico o interfaz de firmware extensible), con protecciones de contrasea para disminuir la posibilidad de que el usuario anular dichas configuraciones. 9. Configuracin / Higiene: Asegrese de que todo el trfico inalmbrico aprovecha al menos encriptacin Advanced Encryption Standard (AES) que se utiliza por lo menos con Wi-Fi Protected Access 2 (WPA2) proteccin. 10. Configuracin / Higiene: Asegrese de que las redes inalmbricas utilizan protocolos de autenticacin como el Extensible Authentication Protocol-Transport Layer Security (EAP / TLS), que proporciona una proteccin de credenciales y la autenticacin mutua. 11. Configuracin / Higiene: Asegrese de que los clientes inalmbricos utilizan, credenciales de autenticacin de factores mltiples fuertes para mitigar el riesgo de acceso no autorizado de credenciales comprometidas. 12. Configuracin / Higiene: las capacidades de red Deshabilitar peer-to-peer inalmbricos de los clientes inalmbricos, a menos que dicha funcionalidad responde a una necesidad de negocio documentado. 13. Configuracin / Higiene: Deshabilitar el acceso perifrico inalmbrico de dispositivos (como Bluetooth), a menos que se requiera tal acceso para una necesidad de negocio documentado. 14. Configuracin / Higiene: Nunca permita que los puntos de acceso inalmbrico para conectar directamente a la red privada. Ellos tampoco deben colocarse detrs de un firewall o poner en una VLAN separada, de modo que todo el trfico pueda ser examinado y se filtra. 15. Configuracin / Higiene: Registrar a todos los dispositivos mviles, incluidos los dispositivos de personal, antes de conectarse a la red inalmbrica. Todos los dispositivos registrados deben ser escaneados y siguen la poltica de la empresa para el endurecimiento de acogida y gestin de la configuracin. 16. Avanzado: configure todos los clientes inalmbricos se usan para acceder a redes privadas o manipular datos de la organizacin de tal manera que no pueden ser usados para conectarse a redes inalmbricas pblicas o cualquier otra red ms all de los permitidos expresamente por la organizacin.

CA-17, CA-18 (1, 2, 3, 4), SC-9 (1), SC-24, IS-4 (14, 15)
Seguridad de acceso remoto

Las organizaciones eficaces corren escaneo comercial inalmbrico, deteccin y herramientas de descubrimiento, as como los sistemas de deteccin de intrusin inalmbrica comerciales. Adems, el equipo de seguridad debe capturar peridicamente el trfico inalmbrico desde dentro de las fronteras de una instalacin y el uso de herramientas de anlisis gratuitos y comerciales para determinar si el trfico inalmbrico se transmiti a travs de protocolos de encriptacin ms dbiles o que los mandatos de la organizacin. Cuando se identifican los dispositivos que dependen de la debilidad de la configuracin de seguridad inalmbrica, deben encontrarse dentro del inventario de activos de la organizacin y sea reconfigurado de forma ms segura o negado el acceso a la red de la organizacin. Adems, el equipo de seguridad debe emplear herramientas de administracin remota en la red por cable para tirar de la informacin acerca de las capacidades y los dispositivos conectados a los sistemas gestionados inalmbricos.
El sistema debe ser capaz de identificar los dispositivos o configuraciones inalmbricas no autorizadas cuando estn dentro del alcance de los sistemas de la organizacin o conectados a sus redes. El sistema debe ser capaz de identificar los nuevos dispositivos inalmbricos no autorizados que se asocian o se unen a la red dentro de una hora, alertas o el envo de una notificacin por correo electrnico a una lista del personal de la empresa. El sistema debe aislar automticamente un punto de acceso inalmbrico conectado de la red dentro de una hora y alerta o enviar una notificacin por correo electrnico cuando se consigue el aislamiento. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado del sistema hasta que haya sido retirado de la red. La base de datos de inventario de activos y sistema de alerta deben ser capaces de identificar la ubicacin, departamento, y otros detalles de dnde autorizados y los dispositivos inalmbricos no autorizados estn conectados a la red. Mientras que las 24 horas y una hora plazos representan la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deberan esforzarse por alerta an ms rpido y el aislamiento, con la notificacin de un dispositivos inalmbricos no autorizados enviados a los dos minutos y el aislamiento dentro de los cinco minutos.
Para evaluar la aplicacin del control 7 de forma peridica, el equipo de evaluacin debe configurar 10 clientes inalmbricos no autorizados, pero endurecidos y puntos de acceso inalmbrico a la red de la organizacin y tratar de conectarlos a sus redes inalmbricas.En el caso de los puntos de acceso inalmbricos, estos puntos de acceso no deben estar conectados directamente a la red de confianza de la organizacin. En lugar de ello, simplemente se deben configurar para que acte como una pasarela inalmbrica sin necesidad de conectarse fsicamente a una interfaz de red cableada. En el caso de la exploracin de puntos de acceso inalmbricos de una interfaz con cable, el punto de acceso conectado debe tener la radio inalmbrica deshabilitada para la duracin de la prueba. Estos sistemas deben ser configurados para probar cada uno de los siguientes escenarios: Un cliente inalmbrico con identificador de conjunto de servicio no autorizado configurado en l. Un cliente inalmbrico con el cifrado incorrecto configurado. Un cliente inalmbrico con autenticacin irregular configurado. Un punto de acceso inalmbrico con el cifrado incorrecto configurado. Un punto de acceso inalmbrico con autenticacin irregular configurado.
Un punto de acceso inalmbrico completamente pcaro que use una configuracin no autorizados. Cuando cualquiera de los sistemas mencionados anteriormente-intenta conectarse a la red inalmbrica, una alerta se debe generar y personal de la empresa debe responder a las alertas de aislar el dispositivo detectado o eliminar el dispositivo de la red.
Sistema de control de 7 Entidad Diagrama de relaciones:

Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando la configuracin y la gestin de los dispositivos inalmbricos, IDS inalmbricas / escneres, sistemas de gestin de dispositivos inalmbricos y escneres de vulnerabilidad. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Configuraciones endurecidos aplican a los dispositivos inalmbricos Paso 2: Configuraciones templados sujetos a un sistema de gestin de configuracin Paso 3: Sistema de Gestin de la configuracin gestiona las configuraciones de los dispositivos inalmbricos Paso 4: IDS inalmbrico monitorizar el uso de las comunicaciones inalmbricas Paso 5: Los scanners de vulnerabilidades escanear los dispositivos inalmbricos para posibles vulnerabilidades Paso 6: Los clientes inalmbricos utilizan sistemas de infraestructura inalmbrica de una manera segura.
Crticos de Control 8: Capacidad de Recuperacin de Datos

20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y las herramientas utilizadas para respaldar adecuadamente la informacin crtica con una metodologa probada para la recuperacin oportuna de la misma. Nota: Este control tiene una o ms sub-controles que deben ser validados manualmente.

Cuando los atacantes pongan en peligro las mquinas, a menudo se hacen cambios significativos en las configuraciones y software. A veces, los atacantes tambin hacen alteraciones sutiles de los datos almacenados en las mquinas comprometidas, lo que podra poner en peligro la eficacia de la organizacin con la informacin contaminada. Cuando se descubren los atacantes, que puede ser extremadamente difcil para las organizaciones sin capacidad de recuperacin de datos confiable para eliminar todos los aspectos de la presencia del atacante en la mquina.

1. Ganancias rpidas: Asegrese de que cada sistema se copian automticamente en por lo menos una vez por semana, y con ms frecuencia para los sistemas de almacenamiento de informacin sensible. Para ayudar a asegurar la capacidad de restaurar rpidamente un sistema de copia de seguridad, el sistema operativo, software de aplicacin, y los datos en una mquina debe cada ser incluidos en el procedimiento de copia de seguridad en general. Estos tres
componentes de un sistema no tienen que ser incluidos en el mismo archivo de copia de seguridad o utilizar el mismo software de copia de seguridad. Todas las polticas de copia de seguridad deben cumplir con todos los requisitos reglamentarios u oficiales. 2. Ganancias rpidas: Los datos sobre los medios de copia de seguridad de forma regular mediante la realizacin de un proceso de restauracin de datos para asegurarse de que la copia de seguridad est funcionando correctamente. 3. Triunfos rpidos: Tren personales clave tanto en los procesos de copia de seguridad y restauracin. Para estar preparado en caso de que ocurra un incidente grave, el personal de alternativas tambin deben ser capacitados sobre el proceso de restauracin por si acaso el punto de contacto principal de TI no est disponible. 4. Configuracin / Higiene: Asegrese de que las copias de seguridad se protegen adecuadamente a travs de la seguridad fsica o el cifrado cuando se almacenan, as como cuando se mueven a travs de la red. Esto incluye copias de seguridad remotas y servicios en la nube. 5. Configuracin / Higiene: medios de copia de seguridad de la tienda, tales como discos duros y cintas, en fsicamente seguro, instalaciones cerradas. Fin de la vida til media de respaldo deben ser borrados con seguridad / destruidos.

CP-9 (A, B, D, 1, 3), CP-10 (6)
Estrategia de respaldo

Una vez por trimestre (o cada vez que los nuevos equipos de copia de seguridad se compra), un equipo de pruebas debe evaluar una muestra aleatoria de las copias de seguridad del sistema al tratar de restaurarlos en un entorno de banco de pruebas. Los sistemas restaurados deberan verificarse para asegurar que el sistema operativo, las aplicaciones y los datos de la copia de seguridad estn intactos y funcionales.

Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando la capacidad de una organizacin para restaurar los sistemas en caso de que los datos necesitan ser restaurados a causa de una prdida de datos o incumplimiento de un sistema.Mientras que las copias de seguridad son sin duda una parte importante de este proceso, la capacidad de restaurar los datos es el componente crtico. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: los sistemas de negocio de produccin de copia de seguridad de forma regular a los sistemas de copia de seguridad de la organizacin autorizada Paso 2: Las copias de seguridad creadas se almacenan fuera de lnea en instalaciones de almacenamiento seguras.
Crticos de Control 9: Habilidades de Seguridad Evaluacin y formacin adecuadas para colmar las deficiencias de
20 Controles de seguridad crtica | Directrices control anteriorsiguiente control El proceso y las herramientas para asegurarse de que una organizacin entiende las brechas de habilidades tcnicas a su fuerza de trabajo, incluyendo un plan integrado para llenar los vacos a travs de polticas, la formacin y la sensibilizacin. Nota: Este control tiene una o ms sub-controles que deben ser validados manualmente .

Cinco grupos de gente con frecuencia se encuentran en evaluacin por los atacantes: 1. Los usuarios finales son engaados a travs de estafas de ingeniera social en el que estn engaadas para proporcionar contraseas, abrir ficheros adjuntos infectados, software de carga de sitios no confiables, o visitar sitios web maliciosos. 2. Del sistema y los administradores de red pueden ser engaados de la misma manera como los usuarios normales (y estn dirigidos a menudo a causa de sus privilegios elevados), pero tambin se ponen a prueba cuando el software malicioso est operando en sus sistemas y que pueden o no pueden ver la evidencia de la infeccin y cuando ellos no son conscientes de las vulnerabilidades en el software han implementado permitiendo sistemas bajo su control sean comprometidos. 3. Los operadores de seguridad y analistas se ponen a prueba con nuevos e innovadores ataques introducidos en una base continua.Esto requiere que se actualicen sus defensas, pero a menudo no son conscientes de los nuevos riesgos y las nuevas capacidades y tcnicas disponibles para ellos defensivos. 4. Los programadores son probados por los delincuentes que se encuentran y explotan las vulnerabilidades en el cdigo que escriben y los ingenieros son probados por personas en busca de fallos de seguridad en sus diseos.
5. En menor medida, los propietarios de sistemas se prueban cuando se les pide que inviertan en seguridad ciberntica, pero no son conscientes del efecto devastador de un compromiso y exfiltracin de datos o alteracin tendran en su misin. Una conciencia de seguridad en constante actualizacin y el programa de educacin para todos los usuarios es importante, pero no va a dejar de atacantes decididos. Adversarios ms decididos sern detenidos por la aplicacin efectiva de los otros controles crticos, pero algunos se deslicen a travs de fisuras en el programa de seguridad. Empleados calificados son esenciales para la aplicacin y seguimiento de los controles, para encontrar aquellos atacantes que consiguen a travs de las defensas, y para los sistemas que son mucho ms difciles de explotar en desarrollo. Los puestos de trabajo de seguridad de misin crtica ms importantes para la mayora de las organizaciones, identificados por el Grupo de Trabajo sobre las capacidades cibernticas que establezca el Secretario de Seguridad Nacional de 2012 son los siguientes: (1) el sistema y la red de penetracin probadores, (2) pruebas de penetracin de aplicaciones, (3) monitoreo de eventos de seguridad y analistas, (4) que respondieron incidentes en profundidad, (5) los analistas de inteligencia analistas de amenazas / contador, (6) los ingenieros de evaluacin de riesgos, (7) forenses avanzados analistas, (8) codificadores seguras y revisores de cdigo , (9) los ingenieros de seguridad - las 7 operaciones, y (10) ingenieros de seguridad / arquitectos que construyen la seguridad pulg Estas tareas son tan misin fundamental que las organizaciones que no se ejecutan con eficacia a menudo sufren graves consecuencias, incluyendo el robo de datos crticos, la corrupcin de la informacin confidencial, los grandes interrupciones del sistema, y, cada vez, la destruccin real de los sistemas, para cualquier organizacin con alto valor sistemas y la informacin, el desarrollo de habilidades efectivas en estas 10 reas de trabajo son un paso esencial para garantizar que las personas adecuadas con las habilidades correctas estn en su lugar. La capacitacin tambin est estrechamente vinculada a la poltica y la toma de conciencia. Polticas decirle a la gente qu hacer, formacin les proporciona las habilidades para hacerlo, y la conciencia cambia los comportamientos para que las personas siguen la poltica. La capacitacin debe ser mapeada contra las habilidades necesarias para realizar un trabajo determinado. Si, despus de la capacitacin, los usuarios todava no estn siguiendo la poltica, que la poltica debe ser aumentado con esfuerzos cada vez mayores para que los usuarios conozcan y lo entiendo.

1. Ganancias rpidas: Realizar anlisis de las deficiencias para ver qu empleados necesitan habilidades y comportamientos que los empleados no se adhieren a, el uso de esta informacin para crear una hoja de ruta de la formacin y la sensibilizacin. 2. Ganancias rpidas: Entregar capacitacin para llenar la brecha de habilidades. Si es posible, utilice el personal de mayor jerarqua para impartir la capacitacin. Una segunda opcin es que los profesores fuera proporcionan entrenamiento en el sitio por lo que los ejemplos utilizados sern directamente relevantes. Si usted tiene un pequeo nmero de personas a capacitar, recurrir a conferencias de formacin o capacitacin en lnea para llenar los vacos. 3. Ganancias rpidas: Implementar un programa de concienciacin sobre la seguridad en lnea (1) que se centra slo en los mtodos utilizados comnmente en las intrusiones que se pueden bloquear a travs de la accin individual, (2) se suministra en mdulos cortos en lnea conveniente para los empleados (3) se actualiza con frecuencia (al menos anualmente) para representar a las ltimas tcnicas de ataque, (4) tiene el mandato para la realizacin de todos los empleados por lo menos anualmente, y (5) se controla de manera fiable para la terminacin de los empleados. 4. Visibilidad / Higiene: Validar y mejorar el nivel de conocimiento a travs de pruebas peridicas para ver si los empleados van a hacer clic en un enlace de correo electrnico sospechoso o proporcionar informacin confidencial por telfono sin seguir los procedimientos apropiados para la autenticacin de la persona que llama; formacin especfica debe ser proporcionada a los que ser vctima del ejercicio.
5. Configuracin / Higiene: evaluaciones de habilidades de uso de seguridad para cada una de las habilidades de misin crtica para identificar las carencias de cualificaciones. Utilice prctica, ejemplos del mundo real para medir el dominio. Si usted no tiene este tipo de evaluaciones, utilice uno de los concursos disponibles en lnea que simulan situaciones del mundo real para cada uno de los puestos de trabajo identificados con el fin de medir el dominio habilidades.

AT-1, (1), AT-3 (1) de AT-2
Formacin

La clave para mejorar las competencias es la medicin a travs de evaluaciones que muestran tanto el empleado como el empleador donde el conocimiento es suficiente y donde hay lagunas. Una vez que las lagunas han sido identificados, aquellos empleados que tengan las habilidades y conocimientos necesarios pueden ser llamados a guiar a los empleados que necesitan para mejorar sus habilidades. Adems, la organizacin puede desarrollar planes de formacin para llenar los vacos y mantener la disposicin de los empleados. Notas
7
El Grupo de Trabajo sobre las capacidades cibernticas informe est disponible en http://www.dhs.gov/homeland-security-advisory-council-hsac # 3 .
Crticos de Control 10: configuraciones seguras para los dispositivos de red, tales como firewalls, routers y switches
20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y las herramientas que se utilizan para realizar un seguimiento / control / prevenir / corregir las debilidades de seguridad en las configuraciones de los dispositivos de red, tales como firewalls, routers y switches basados en gestin de la configuracin formal y cambian los procesos de control.

Los atacantes se aprovechan del hecho de que los dispositivos de red pueden volverse menos configurados de forma segura a travs del tiempo como excepciones de demanda de usuarios para las necesidades empresariales especficas y temporales, ya que las excepciones se despliegan, y como esas excepciones no se deshacen cuando las necesidades del negocio ya no es aplicable. Para empeorar las cosas, en algunos casos, el riesgo para la seguridad de la excepcin no es ni analizado adecuadamente ni medida en contra de la necesidad de la empresa asociada y puede cambiar con el tiempo. Los atacantes
buscan agujeros electrnicos en firewalls, routers y switches y las usar para penetrar las defensas. Los atacantes han aprovechado las fallas en estos dispositivos de la red para tener acceso a las redes de destino, redirigir el trfico en una red (para un sistema malicioso enmascarado como un sistema de confianza), y la interseccin y alterar la informacin, mientras que en la transmisin. A travs de estas acciones, el atacante obtiene acceso a los datos sensibles, altera la informacin importante, o incluso utiliza una mquina comprometida para hacerse pasar por otro sistema de confianza en la red.

1. Ganancias rpidas: Compare firewall, router, y la configuracin del interruptor contra configuraciones seguras estndares definidos para cada tipo de dispositivo de red en uso en la organizacin. La configuracin de seguridad de este tipo de dispositivos debe estar documentado, revisado y aprobado por un comit de control de cambios organizacin. Cualquier desviacin de la configuracin o las actualizaciones estndar en la configuracin estndar deben ser documentados y aprobados en un sistema de control de cambios. 2. Ganancias rpidas: En los puntos de interconexin de redes-tales como puertas de acceso a Internet, las conexiones entre organizaciones y segmentos de red internos con diferentes controles de seguridad - aplicar el filtrado de entrada y salida para permitir que slo los puertos y protocolos, con una necesidad de negocio explcito y documentado. El resto de los puertos y protocolos deben ser bloqueados con default-negar reglas por cortafuegos, IPS basados en la red y / o routers. 3. Configuracin / Higiene: Todas las nuevas reglas de configuracin ms all de una configuracin de lnea de base-endurecido que permitir que el trfico fluya a travs de los dispositivos de seguridad de red, tales como firewalls e IPS basados en red, deben estar documentados y registrados en un sistema de gestin de la configuracin, con una razn de negocios especfico para cada cambio, el nombre de una persona especfica responsable de esa necesidad de negocio, y una duracin prevista de la necesidad. 4. Configuracin / Higiene: tecnologas de filtrado de red empleadas entre redes con diferentes niveles de seguridad (firewalls, IPS basados en la red herramientas y routers con listas de controles de acceso) debe implementarse con capacidades para filtrar Protocolo de Internet versin 6 del trfico (IPv6). Sin embargo, si IPv6 no se est utilizando actualmente debe ser desactivado. Debido a que muchos sistemas operativos nave hoy con soporte IPv6 activado, tecnologas de filtrado tienen que tenerlo en cuenta. 5. Configuracin / Higiene: Administrar los dispositivos de red mediante la autenticacin de dos factores y sesiones cifradas. 6. Configuracin / Higiene: Instale la ltima versin estable de las actualizaciones relacionadas con la seguridad dentro de los 30 das posteriores a la actualizacin que se est dado de alta del proveedor del dispositivo. 7. Avanzado: Administrar la infraestructura de red a travs de conexiones de red que estn separados desde el uso comercial de la red, basndose en la VLAN separadas o, preferiblemente, en la conectividad fsica totalmente diferente para las sesiones de gestin de los dispositivos de red.

CA-4 (7, 10, 11, 16), CM-1, CM-2 (1), CM-3 (2), CM-5 (1, 2, 5), CM-6 (4), CM -7 (1, 3), IA-2 (1, 6), IA-5, IA-8, RA-5, SC-7 (2, 4, 5, 6, 8, 11, 13, 14, 18 ), SC-9
Hito 7: Gestin de Lnea de Base Gestin de la Configuracin y Cambio

Algunas organizaciones utilizan herramientas comerciales que evalan el conjunto de reglas de filtrado de dispositivos de red para determinar si son compatibles o en conflicto, proporcionando una prueba de cordura automatizado de filtros de red y la bsqueda de errores en los conjuntos de reglas o listas de controles de acceso (ACL) que pueden permitir no deseado servicios a travs del dispositivo. Estas herramientas deben ejecutarse cada vez que los cambios significativos se hacen para los conjuntos de reglas de firewall, ACL del router, u otras tecnologas de filtrado.
El sistema debe ser capaz de identificar los cambios en los dispositivos de red, incluyendo routers, switches, firewalls e IDS y sistemas de IPS. Estos cambios incluyen modificaciones a los archivos de claves, los servicios, los puertos, los archivos de configuracin o de cualquier software instalado en el dispositivo. Las modificaciones incluyen supresiones, modificaciones o adiciones de un nuevo software a cualquier parte de la configuracin del dispositivo. La configuracin de cada sistema debe ser contrastada con la base de datos de imagen mster oficial para verificar cualquier cambio para asegurar configuraciones que podran afectar la seguridad. Esto incluye tanto el sistema operativo y los archivos de configuracin. Cualquiera de estos cambios en un dispositivo debe ser detectado dentro de las 24 horas y notificacin realizados por alertar o el envo de una notificacin por correo electrnico a una lista del personal de la empresa. Si es posible, los dispositivos deben evitar cambios en el sistema y enviar una alerta que indica que el cambio no se ha realizado correctamente. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar e-mail sobre el estado del sistema hasta que se investiga y / o remediado.
Para evaluar la aplicacin del control 10 de forma peridica, un equipo de evaluacin debe hacer un cambio para cada tipo de dispositivo de red conectado a la red. Como mnimo, los routers, switches y servidores de seguridad tienen que ser probados. Si existen, IPS, IDS, y otros dispositivos de la red deben ser incluidos. Las copias de seguridad se deben realizar antes de hacer cualquier cambio a los dispositivos de red crticos. Es fundamental que los cambios no afectan o debilitan la seguridad del dispositivo. Cambios aceptables incluyen pero no se limitan a hacer un comentario o la adicin de una entrada duplicada en la configuracin. El cambio debe ser realizado dos veces para cada dispositivo crtico. El equipo de evaluacin debe entonces verificar que los sistemas generan una notificacin de alerta o de correo electrnico con respecto a los cambios en el dispositivo en 24 horas. Es importante que el equipo de evaluacin verifica que todos los cambios no autorizados se han detectado y han dado lugar a una notificacin de alerta o e-mail. El equipo de evaluacin debe verificar que el sistema proporciona informacin sobre la ubicacin de cada dispositivo, incluyendo informacin sobre el propietario de los activos. Si bien el plazo de 24 horas representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta y el aislamiento, con la notificacin sobre los cambios de configuracin no autorizados en los dispositivos de red enviados dentro de dos minutos. En su caso, una prueba adicional debe realizarse sobre una base diaria para asegurarse de que otros protocolos como IPv6 correctamente se estn filtrando.

Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los dispositivos de red, dispositivos de red de laboratorio de pruebas, sistemas de configuracin, y dispositivos de gestin de configuracin. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: configuracin de los dispositivos endurecidos aplica a los dispositivos de produccin
Paso 2: configuracin de dispositivos endurecido almacenada en un sistema de gestin de la configuracin segura Paso 3: Sistema de Gestin de red valida las configuraciones de los dispositivos de la red de produccin Paso 4: Sistema de gestin de parches aplica actualizaciones de software probadas para los dispositivos de red de produccin Paso 5: El sistema de autenticacin de dos factores necesarios para el acceso administrativo a los dispositivos de produccin Paso 6: Los sistemas de monitoreo de proxy / firewall / red de analizar todas las conexiones a dispositivos de red de produccin.
Crticos de Control 11: Limitacin y Control de los puertos de red, protocolos y servicios
20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y las herramientas que se utilizan para realizar un seguimiento / control / prevenir / uso correcto de los puertos, protocolos y servicios en los dispositivos conectados en red.

Los atacantes buscan los servicios de red de acceso remoto que son vulnerables a la explotacin. Los ejemplos ms comunes son los servidores mal configurados web, servidores de correo, servicios de archivo e impresin, y el sistema de nombres de dominio servidores (DNS) instalado de forma predeterminada en una variedad de diferentes tipos de dispositivos, a menudo sin una necesidad de negocio para el servicio dado. Muchos paquetes de software se instalan automticamente los servicios y los convierten en el marco de la instalacin del paquete de software principal sin informar a un usuario o administrador que los servicios se han habilitado. Los atacantes escanean para tales cuestiones y tratar de explotar estos servicios, a menudo intentando identificadores de usuario y contraseas por defecto o cdigo de explotacin ampliamente disponibles.

1. Triunfos rpidos: Cualquier servicio que no se necesita debera apagarse durante 30 das y despus de 30 das desinstalado del sistema. 2. Ganancias rpidas: Aplicar firewalls basados en host o herramientas de filtrado de puertos en los sistemas de gama, con una regla de denegacin por omisin que se despliega todo el trfico excepto aquellos servicios y puertos que se hayan permitido explcitamente. 3. Ganancias rpidas: Realice escaneos de puertos automatizados de forma regular en contra de todos los servidores de claves y la comparacin con una base de referencia eficaz conocido. Si se descubre un cambio que no cotiza en la lnea de base aprobada por la organizacin, una alerta se debe generar y revisado. 4. Ganancias rpidas: Mantenga todos los servicios actualizados y desinstalar y eliminar cualquiera de los componentes innecesarios del sistema.
5. Visibilidad / Atribucin: Verifique cualquier servidor que es visible desde Internet o desde una red insegura, y si no se necesite con fines comerciales, moverlo a una VLAN interna y darle una direccin privada. 6. Configuracin / Higiene: Revisin trimestralmente los servicios necesarios para el uso del negocio a travs de la red interna a travs de un grupo de control de cambios. Las unidades de negocio deben rejustify el uso comercial. Servicios que se encienden para proyectos o compromisos limitados deben estar apagados cuando ya no son necesarios y debidamente documentados. 7. Configuracin / Higiene: Operar los servicios crticos en las mquinas host fsicos o lgicos separados, tales como DNS, archivo, correo electrnico, Web y servidores de bases de datos. 8. Avanzado: firewalls Place de aplicaciones en frente de los servidores crticos para verificar y validar el trfico hacia el servidor. Cualquier servicio o el trfico no autorizados deben ser bloqueadas y se genere una alerta.

CM-6 (A, B, D, 2, 3), CM-7 (1), SC-7 (4, 5, 11, 12)
Hito 3: Arquitectura de red Security Gateways, proxies y firewalls

Herramientas de escaneo de puertos se utilizan para determinar qu servicios estn escuchando en la red para una amplia gama de sistemas de destino. Adems de determinar qu puertos estn abiertos, analizadores de puertos eficaces se pueden configurar para identificar la versin del protocolo y la escucha de servicio en cada puerto abierto descubierto. Esta lista de los servicios y sus versiones se comparan contra un inventario de los servicios requeridos por la organizacin para cada servidor y estacin de trabajo en un sistema de gestin de activos. Caractersticas Recientemente aadido en estos analizadores de puertos se utilizan para determinar los cambios en los servicios ofrecidos por las mquinas escaneadas en la red desde el anlisis anterior, lo que ayuda al personal de seguridad a identificar diferencias en el tiempo.
El sistema debe ser capaz de identificar los nuevos puertos de red de escucha no autorizados que estn conectados a la red en 24 horas, o el envo de alertas de notificacin de correo electrnico a una lista del personal de la empresa. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado del sistema hasta el puerto de red de escucha ha sido deshabilitado o ha sido autorizado por la gestin del cambio. La base de datos de lnea de base de servicios del sistema y el sistema de alerta deben ser capaces de identificar la ubicacin, departamento, y otros detalles sobre el sistema en el que los puertos de red autorizadas y no autorizadas estn ejecutando. Si bien el plazo de 24 horas representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta.
De control 11 de la prueba:
Para evaluar la aplicacin de control 11 en forma peridica, el equipo de evaluacin debe instalar los servicios de prueba endurecidos con los oyentes de la red en 10 puntos de la red, incluyendo una seleccin de subredes asociadas con DMZ, estaciones de trabajo y servidores. La seleccin de estos sistemas debe ser tan al azar como sea posible e incluir una muestra representativa de los sistemas y las ubicaciones de la organizacin. El equipo de evaluacin debe entonces verificar que los sistemas generan una notificacin de alerta o e-mail sobre los servicios recin instalados dentro de las 24 horas de los servicios que se estn instalados en la red. El equipo debe verificar que el sistema proporciona detalles de la ubicacin de todos los sistemas en los que se han instalado los servicios de prueba.

Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando cmo los sistemas de exploracin activas reunir informacin sobre los dispositivos de red y evaluar los datos en contra de la base de datos de lnea de base de servicio autorizado. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Activo escner analiza los sistemas de produccin para los puertos no autorizados, protocolos y servicios Paso 2: las lneas de base del sistema peridicamente actualizan con base en los servicios necesarios requeridos / Paso 3: valida escner activo que puertos, protocolos y servicios estn bloqueados o permitidos por el cortafuegos de aplicacin Paso 4: escner activo valida los puertos, protocolos y servicios sean accesibles en los sistemas empresariales protegidos con firewalls basados en host.
20 Controles de seguridad crtica | Directrices
control anteriorsiguiente control
Los procesos y las herramientas que se utilizan para realizar un seguimiento / control / prevenir / corregir el uso, cesin, y la configuracin de privilegios de administrador en los ordenadores, las redes y las aplicaciones.

El mal uso de los privilegios de administracin es un mtodo principal para que los atacantes se extienden dentro de una empresa objetivo. Dos tcnicas atacante muy comunes aprovechan de los privilegios administrativos no controlados. En la primera tcnica de ataque comn, un usuario de estacin de trabajo, se ejecuta como un usuario privilegiado, es engaado para que abra un archivo adjunto de correo electrnico malintencionado, descargar y abrir un archivo de un sitio web malicioso, o simplemente navegar por un sitio web de alojamiento de contenido atacante que puede automticamente explotar los navegadores. El archivo o explotar contiene cdigo ejecutable que se ejecuta en la mquina de la vctima, ya sea de forma automtica o por engaar al usuario para que ejecute el contenido del atacante. Si la cuenta del usuario vctima tiene privilegios administrativos, el atacante puede tomar el control de la mquina de la vctima por completo e instalar keyloggers, sniffers, y software de control remoto para encontrar las contraseas administrativas y otros datos sensibles. Ataques similares se producen con el correo electrnico. Un administrador inadvertidamente abre un correo electrnico que contiene un archivo adjunto infectado y ste se utiliza para obtener un punto de giro dentro de la red que se utiliza para atacar a otros sistemas. La segunda tcnica comn usada por los atacantes es la elevacin de privilegios adivinando o formacin de grietas una contrasea para un usuario de administracin para tener acceso a un equipo de destino. Si los privilegios administrativos son vagamente y ampliamente distribuido, el atacante tiene un tiempo mucho ms fcil hacerse con el control total de los sistemas, porque hay muchas ms cuentas que pueden actuar como vas para el atacante para comprometer privilegios administrativos.

1. Ganancias rpidas (First Five # 5): Minimizar privilegios administrativos y slo usar cuentas administrativas cuando se le pide.Implementar auditoras centradas en el uso de las funciones administrativas privilegiados y monitorear el comportamiento anmalo. 2. Ganancias rpidas: Use las herramientas automatizadas para inventariar todas las cuentas administrativas y validar que cada persona que tenga privilegios administrativos en equipos de escritorio, porttiles y servidores est autorizado por un alto ejecutivo. 3. Ganancias rpidas: Configure todas las contraseas administrativas para ser complejos y contener letras, nmeros y caracteres especiales entremezcladas, sin palabras de diccionario presentes en la contrasea. Las contraseas seguras deben ser de una longitud suficiente para aumentar la dificultad que se necesita para romper la clave. Pase frases que contienen varias palabras del diccionario, junto con caracteres especiales, son aceptables si son de una longitud razonable. 4. Ganancias rpidas: Configure todas las cuentas de nivel administrativo para requerir cambios de contrasea regulares en un intervalo de frecuencia ligada a la complejidad de la contrasea. 5. Ganancias rpidas: Antes de implementar nuevos dispositivos en un entorno de red, cambiar todas las contraseas por defecto para las aplicaciones, sistemas operativos, routers, cortafuegos, puntos de acceso inalmbricos, y otros sistemas de un valor difcil de adivinar. 6. Ganancias rpidas: Asegrese de que todas las cuentas de servicio tienen largas y contraseas difciles de adivinar que se cambian de forma peridica, como se hace para las contraseas de usuario y administrativos tradicionales, en un intervalo de frecuencia de no ms de 90 das. 7. Ganancias rpidas: Tienda contraseas para todos los sistemas en un formato bien hash o cifrado, con formatos ms dbiles eliminados del medio ambiente. Adems, los archivos que contienen las contraseas cifradas o hash necesarios para los sistemas de autenticacin de los usuarios deben ser legibles slo con privilegios de superusuario. 8. Ganancias rpidas: Utilizar listas de control de acceso para asegurarse de que las cuentas administrativas slo se utilizan para actividades de administracin del sistema, y no para leer el correo electrnico, redactar documentos, o navegar por Internet. Navegadores web y clientes de correo electrnico especialmente deben estar configurados para no ejecutar como administrador. 9. Ganancias rpidas: A travs de la poltica y la sensibilizacin de los usuarios, requieren que los administradores establezcan nicos, diferentes contraseas para sus cuentas administrativas y no administrativas. Cada persona que requiere acceso administrativo debe dar su / su propia cuenta separada. Cuentas administrativas nunca se deben compartir. Los usuarios slo deben utilizar el "administrador" de Windows o Unix cuentas "root" en situaciones de emergencia. Cuentas de administracin de dominio deben utilizarse cuando sea necesario para la administracin del sistema en lugar de las cuentas administrativas locales. 10. Ganancias rpidas: Configurar sistemas operativos para que las contraseas no se pueden volver a utilizarse en un plazo determinado, tal como seis meses. 11. Visibilidad / Reconocimiento: Configurar sistemas para emitir una entrada de registro y alerta cuando se agrega una cuenta o la supresin de un grupo de administradores de dominio. 12. Configuracin / Higiene: Utilice la autenticacin de dos factores para el acceso administrativo, incluido el acceso administrativo de dominio. 13. Configuracin / Higiene: Bloquear el acceso a una mquina (ya sea de forma remota o localmente) para las cuentas de administrador.En lugar de ello, los administradores deben ser obligados a acceder a un sistema que utiliza una cuenta de registro completo y no administrativa. Luego, una vez conectado a la mquina sin privilegios de administrador, el administrador debera convertirse privilegios administrativos utilizando herramientas como Sudo en Linux / UNIX,
8
RunAs en Windows, y otras instalaciones similares para otros tipos de sistemas. Los usuarios podran utilizar sus propias cuentas administrativas y de introducir una contrasea cada vez que es diferente que su cuenta de usuario. 14. Configuracin / Higiene: Si los servicios se subcontratan a terceros, incluir un texto en los contratos para garantizar que se protegen adecuadamente y controlar el acceso administrativo. Debe validarse que no estn compartiendo contraseas y tienen la responsabilidad de mantener los administradores responsables de sus actos.

AC-6 (2, 5), la CA-17 (3), la CA-19, AU-2 (4)
Hito 5: El acceso del Usuario Hito 7: Gestin de Lnea de Base

Caractersticas del sistema operativo internas pueden extraer las listas de cuentas con privilegios de superusuario, tanto a nivel local en los sistemas individuales y en controladores de dominio general. Para verificar que los usuarios con cuentas de alto privilegiado no utilizan dichas cuentas para navegar por la red en el da a da y de la lectura del e-mail, el personal de seguridad deben reunir peridicamente una lista de procesos en ejecucin para determinar si alguno de los navegadores o los lectores de correo electrnico se estn ejecutando con altos privilegios. La recogida de informacin se puede con guin, con shell scripts cortos en busca de una docena o ms de los diferentes navegadores, lectores de correo electrnico, y los programas de edicin de documentos que se ejecutan con privilegios elevados en las mquinas. Algunas actividades de administracin del sistema legtimo podr exigir la ejecucin de dichos programas en el corto plazo, pero a largo plazo o el uso frecuente de este tipo de programas con privilegios administrativos podra indicar que un administrador no se ha adherido a este control. Para hacer cumplir la exigencia de contraseas seguras, una funcin de las caractersticas del sistema operativo para la longitud mnima de la contrasea se puede configurar para evitar que los usuarios elegir contraseas cortas. Para hacer cumplir la complejidad de contrasea (que exige contraseas a ser una cadena de caracteres pseudo-aleatorio), la configuracin del sistema operativo incorporados o herramientas de terceros encargados de hacer cumplir la complejidad de contrasea se pueden aplicar.
El sistema debe estar configurado para cumplir con las directivas de contrasea al menos tan severas como las que se describen en los controles anteriores. Adems, el personal de seguridad deben ser notificados a travs de un aviso o por correo electrnico dentro de las 24 horas de la adicin de una cuenta a un grupo de super-usuario, como un administrador de dominio. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado de privilegios de administrador hasta que el cambio no autorizado se ha corregido o autorizado a travs de un proceso de gestin del cambio. Mientras que los marcos de tiempo de 24 horas representan la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta.
Para evaluar la aplicacin del control 12 de forma peridica, un equipo de evaluacin debe verificar que la poltica de contraseas de la organizacin se hace cumplir mediante la creacin de una cuenta de prueba privilegio limitado temporal, de lesionados el 10 sistemas diferentes y luego intentar cambiar la contrasea en la cuenta de un valor que no cumple con la directiva de contraseas de la organizacin. La seleccin de estos sistemas debe ser tan al azar como sea posible e incluir una muestra representativa de los sistemas y las ubicaciones de la organizacin. Despus de la terminacin de la prueba, esta cuenta debe ser eliminado. Por otra parte, el equipo de evaluacin debe agregar una cuenta de prueba con discapacidad temporal a un grupo de super-usuario (como un grupo de administradores de dominio) para verificar que una alerta o correo electrnico se genera dentro de las 24 horas. Despus de esta prueba, la cuenta debe ser eliminado del grupo y desactivado. Por ltimo, en forma peridica, el equipo de evaluacin debe ejecutar una secuencia de comandos que determina qu programas cliente de explorador y correo electrnico se estn ejecutando en una muestra de 10 sistemas de prueba, entre ellos cinco clientes y cinco servidores. Cualquier navegadores o software de cliente de correo que se ejecute con privilegios de administrador de Windows o Linux / Unix UID 0 privilegios deben ser identificados.

Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los componentes de la cuenta de usuario de aprovisionamiento y la autenticacin de usuarios. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Los sistemas de produccin utilizan los sistemas de autenticacin adecuados Paso 2: cuentas de usuario estndar y administrativas empleen sistemas de autenticacin adecuados Paso 3: cuentas de usuario estndar y administrativas manejadas adecuadamente por medio de la pertenencia a grupos Paso 4: El acceso administrativo a los sistemas correctamente conectado a travs de sistemas de gestin de registros Paso 5: sistema de evaluacin Contrasea valida la fuerza de los sistemas de autenticacin. Notas
8
El "cinco primeros" logros rpidos son los que estn siendo implementados por primera vez por las organizaciones ms consciente de la seguridad y cualificados, ya que son el medio ms eficaz an se encuentran para detener la ola de ataques dirigidos que estn haciendo el mayor dao a muchas organizaciones.
control anteriorsiguiente control
Los procesos y las herramientas que se utilizan para detectar / evitar / corregir el flujo de informacin la transferencia de redes de diferentes niveles de confianza con un enfoque en la seguridad de los datos que daan.

Los atacantes se centran en los sistemas que se pueden alcanzar a travs de Internet, incluyendo no slo los sistemas de DMZ, sino tambin estaciones de trabajo y porttiles que tiran de contenidos de Internet a travs de las fronteras de la red explotar. Amenazas tales como grupos de la delincuencia organizada y los Estados-nacin utilizan configuracin y debilidades arquitectnicos que se encuentran en los sistemas perimetrales, dispositivos de red y los equipos cliente de Internet-el acceso para ganar acceso inicial en una organizacin. Luego, con base de operaciones en estas mquinas, los atacantes a menudo pivote para llegar ms profundo dentro de la frontera para robar o cambiar informacin o para concertar una presencia persistente de ataques posteriores contra los hosts internos.Adems, muchos de los ataques se producen entre las redes de socios de negocios, a veces se hace referencia como extranets, como atacantes saltan de la red de una organizacin a otra, aprovechando los sistemas vulnerables en los permetros de extranet. Para controlar el flujo de trfico a travs de las fronteras de la red y el contenido de la polica mediante la bsqueda de los ataques y pruebas de mquinas comprometidas, las defensas de frontera deben ser de varias capas, dependiendo de cortafuegos, proxies, DMZ perimetrales redes y de IPS basados en la red y de IDS. Tambin es fundamental para filtrar el trfico entrante y saliente.
Cabe sealar que las lneas de frontera entre las redes internas y externas estn disminuyendo como resultado del aumento de la interconectividad dentro y entre las organizaciones, as como el rpido aumento en el despliegue de las tecnologas inalmbricas. Estas lneas borrosas veces permiten que los atacantes tener acceso al interior de las redes sin pasar por los sistemas de lmites. Sin embargo, incluso con este desdibujamiento de las fronteras, los despliegues de seguridad eficaces todava se basan en las defensas de frontera configurados cuidadosamente que las redes separadas con diferentes niveles de amenaza, grupos de usuarios, y los niveles de control. Y a pesar de la confusin de las redes internas y externas, las defensas de varias capas eficaces de las redes perimetrales ayudan a reducir el nmero de ataques con xito, lo que permite al personal de seguridad se centran en los atacantes que han ideado mtodos para eludir las restricciones fronterizas.

1. Triunfos rpidos: Denegar las comunicaciones con (o flujo de lmite de datos a) direcciones IP maliciosas conocidas (listas negras), o limitar el acceso slo a sitios de confianza (listas blancas). Las pruebas se llevarn a cabo peridicamente por el envo de paquetes provenientes de direcciones IP de origen bogon (direcciones IP enrutables o de otra manera no utilizados) en la red para verificar que no se transmiten a travs de los permetros de red. Son listas de direcciones bogon a disposicin del pblico en Internet a partir de diversas fuentes, e indican una serie de direcciones IP que no se debe utilizar para el trfico legtimo que atraviesa el Internet. 2. Ganancias rpidas: En redes DMZ, configurar sistemas de monitoreo (que pueden ser integradas en los sensores IDS o desplegarse como una tecnologa separada) para grabar al menos informacin de cabecera del paquete, y cabecera del paquete de preferencia completa y cargas tiles del trfico destinado a, o pasa a travs de la frontera de la red. Este trfico debe ser enviado a un Evento de Seguridad de Gestin de la Informacin configurado correctamente (SEIM) o iniciar el sistema de anlisis para que los eventos se pueden correlacionar de todos los dispositivos de la red. 3. Ganancias rpidas: Para disminuir la posibilidad de mensajes de correo electrnico falsificados, implementar el Sender Policy Framework (SPF) mediante el despliegue de registros SPF en el DNS y permitir la verificacin del lado de recepcin en los servidores de correo. 4. Visibilidad / Reconocimiento: Implementar sensores IDS basados en la red de los sistemas de Internet y DMZ extranet y redes que buscan mecanismos de ataque inusuales y detectan compromiso de estos sistemas. Estos sensores IDS basados en la red pueden detectar ataques a travs de la utilizacin de firmas, anlisis de comportamiento de la red, u otros mecanismos para analizar el trfico. 5. Visibilidad / Atribucin: dispositivos IPS basados en la red se deben implementar para complementar IDS bloqueando conocida firma errnea o el comportamiento de los ataques. Como los ataques se automatizan, mtodos tales como IDS normalmente retrasan la cantidad de tiempo que toma para que alguien reacciona a un ataque. A IPS basado en red configurados correctamente pueden proporcionar la automatizacin para bloquear mal trfico. 6. Visibilidad / Atribucin: Diseo e implementacin de permetros de la red para que todas las web de salida, protocolo de transferencia de archivos (FTP) y el trfico de shell seguro a Internet debe pasar a travs de al menos un proxy en una red DMZ. El proxy debe apoyar la tala sesiones TCP individuales; bloqueo de URLs especficas, nombres de dominio y direcciones IP para implementar una lista de negro, y la aplicacin de listas blancas de sitios permitidos que se puede acceder a travs del proxy, mientras que el bloqueo de todos los otros sitios. Las organizaciones deben forzar el trfico de salida a Internet a travs de un servidor proxy autenticado en el permetro de la empresa. Proxies tambin se pueden utilizar para cifrar todo el trfico que sale de una organizacin. 7. Visibilidad / Reconocimiento: Requieren todo el acceso de inicio de sesin remoto (incluyendo VPN, dial-up, y otras formas de acceso de inicio de sesin que permiten a los sistemas internos) para utilizar la autenticacin de dos factores.
8. Configuracin / Higiene: Todos los dispositivos de registro de forma remota a la red interna deben ser gestionados por la empresa, con el control remoto de su configuracin, los niveles de software instalado, y el parche. 9. Configuracin / Higiene: Peridicamente escanear para conexiones de canal de retorno a la Internet que no utilizan el DMZ, incluidas las conexiones de VPN no autorizados y los host de base dual conectados a la red de la empresa y de otras redes de forma inalmbrica, mdem de acceso telefnico, u otros mecanismos. 10. Configuracin / Higiene: Para limitar el acceso de una informacin privilegiada o de propagacin de malware en una red interna, disear esquemas de segmentacin de red internos para limitar el trfico slo a los servicios necesarios para el uso del negocio a travs de la red interna de la organizacin. 11. Configuracin / Higiene: Desarrollar planes para su despliegue rpido filtros en redes internas para ayudar a detener la propagacin de malware o un intruso. 12. Avanzado: Para reducir al mnimo el impacto de un pivote atacante entre sistemas comprometidos, slo permiten que los sistemas DMZ para comunicarse con los sistemas de la red privada a travs de servidores proxy de aplicacin o cortafuegos de aplicacin-consciente a travs de canales aprobados 13. Avanzado: Para ayudar a identificar los canales secretos exfiltrating datos a travs de un cortafuegos, configure el mecanismos integrados de seguimiento de sesin de servidor de seguridad incluidas en muchos firewalls comerciales para identificar las sesiones TCP que duran un tiempo inusualmente largo para la organizacin y el firewall del dispositivo dado, alertar al personal acerca de la fuente y las direcciones de destino asociados a estas sesiones largas. 14. Avanzado: coleccin Deploy NetFlow y el anlisis de la red DMZ flujos para detectar actividad anmala.

CA-17 (1), CA-20, CA-3, IA-2 (1, 2), IA-8, RA-5, SC-7 (1, 2, 3, 8, 10, 11, 14) , SC-18, IS-4 (c, 1, 4, 5, 11), PM-7
Hito 3: Arquitectura de red Security Gateways, proxies y firewalls Seguridad de acceso remoto Monitoreo de Seguridad de Red

Las defensas de frontera incluyen en esta compilacin de control de Crticos de Control 10. Las nuevas recomendaciones se enfocan en la mejora de la arquitectura y la aplicacin tanto de Internet y puntos de los lmites de la red interna en general. Segmentacin de la red interna es fundamental para este control, porque una vez dentro de una red, muchos intrusos intentan orientar las mquinas ms sensibles. Por lo general, la proteccin de la red interna no est configurado para defenderse de un atacante interno. La creacin de incluso un nivel bsico de seguridad a travs de la segmentacin de la red y la proteccin de cada segmento con un proxy y un firewall reducir en gran medida el acceso de un intruso a las otras partes de la red. Uno de los elementos de este control se puede implementar utilizando IDS y sniffers gratuitas o comerciales para buscar ataques procedentes de fuentes externas dirigidas a DMZ y los sistemas internos, as como los ataques procedentes de los sistemas internos contra la DMZ o Internet. El personal de seguridad debe someterse a prueba peridicamente estos sensores con el lanzamiento de las herramientas de escaneo de vulnerabilidad frente a ellos para verificar que el trfico escner activa una alerta apropiada. Los paquetes capturados de los sensores IDS deben revisarse utilizando un script automatizado todos los das para asegurarse de que los volmenes de registro estn dentro de los parmetros esperados y que los registros tienen el formato correcto y no se han corrompido.
Adems, los analizadores de paquetes se deben desplegar en DMZ para buscar trfico de Protocolo de transferencia de hipertexto (HTTP) que no pasa por los servidores proxy HTTP. Mediante el muestreo de trfico regular, como durante un perodo de tres horas una vez a la semana, el personal de seguridad de la informacin se pueden buscar para el trfico HTTP que no se haya originado por ni destinado a un proxy DMZ, lo que implica que el requisito de que el uso del proxy se omite. Identificar las conexiones de canal de retorno que omiten DMZ aprobados, el personal de seguridad de red pueden establecer un sistema de Internet accesible para su uso como un receptor para probar el acceso de salida. Este sistema est configurado con un analizador de paquetes libre o comercial. Luego, el personal de seguridad puede conectarse un sistema de prueba que enva a varios puntos de la red interna de la organizacin, el envo de trfico fcilmente identificable para el receptor olfateando en Internet. Estos paquetes se pueden generar utilizando herramientas gratuitas o comerciales con una carga til que contiene un archivo personalizado que se utiliza para la prueba. Cuando los paquetes llegan en el sistema receptor, la direccin de origen de los paquetes debe ser verificada contra direcciones DMZ aceptables permitidas para la organizacin. Si se descubren las direcciones de origen que no estn incluidos en la DMZ, registrados legtimos, ms detalle puede ser recogida mediante el uso de una herramienta traceroute para determinar la ruta que toman los paquetes desde el emisor al sistema receptor.
El sistema debe ser capaz de identificar los paquetes no autorizados enviados dentro o fuera de una zona de confianza y asegurarse de que los paquetes se alerta de activacin adecuadamente bloqueados y / o. Cualquier paquete no autorizados deben ser detectados en las 24 horas, con el sistema de generacin de una alerta o e-mail para el personal administrativo de la empresa. Alertas deben enviarse a cada hora a partir de entonces hasta que se vuelve a configurar el dispositivo de lmite. Si bien el plazo de 24 horas representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta.
Para evaluar la aplicacin del control 13 de forma peridica, un equipo de evaluacin debe probar los dispositivos de lmite mediante el envo de paquetes desde fuera de cualquier red de confianza para asegurar que los paquetes slo las personas autorizadas se les permite a travs de la frontera. Todos los dems paquetes se deben eliminar. Adems, los paquetes no autorizados deben ser enviados desde una red de confianza a una red insegura para asegurarse de filtrado de salida est funcionando correctamente. El equipo de evaluacin debe entonces verificar que los sistemas generan una notificacin de alerta o de correo electrnico con respecto a los paquetes no autorizados dentro de 24 horas. Es importante que el equipo de evaluacin compruebe que todos los paquetes no autorizados se han detectado. El equipo de evaluacin tambin debe verificar que la alerta o el correo electrnico que indica que el trfico no autorizado est siendo bloqueado se recibe en una hora. El equipo de evaluacin debe verificar que el sistema proporciona informacin sobre la ubicacin de cada mquina con este nuevo software de prueba, incluida la informacin sobre el propietario de los activos. Tambin es importante que el equipo de evaluacin de pruebas para asegurarse de que el dispositivo no en un estado donde no se transmita el trfico cuando se rompe o se inunda.

Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los dispositivos de frontera de la red y los sistemas de apoyo, tales como servidores de autenticacin, sistemas de autenticacin de dos factores, sistemas de monitorizacin de red y dispositivos de proxy de red. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: configuracin de los dispositivos endurecidos aplica a los dispositivos de produccin Paso 2: sistemas de autenticacin de dos factores necesarios para el acceso administrativo a los dispositivos de produccin Paso 3: los dispositivos de red de produccin envan eventos al sistema de gestin y correlacin de log Paso 4: Sistema de monitorizacin de red analiza el trfico de red Paso 5: Sistema de monitorizacin de red enva eventos al iniciar el sistema de gestin y correlacin Paso 6: salida trfico pasa a travs y es examinado por los dispositivos de proxy de red Paso 7: Sistemas de red analizados en busca de debilidades potenciales.
Crticos de Control 14: Mantenimiento, Monitoreo y Anlisis de Registros de auditora

20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y las herramientas que se utilizan para detectar / evitar / corregir el uso de sistemas y la informacin sobre la base de los registros de auditora de los eventos que se consideran importantes o podran afectar a la seguridad de una organizacin.

Las deficiencias en el registro y anlisis de seguridad permiten a los atacantes para ocultar su ubicacin, el software malicioso utilizado para el control remoto, y las actividades en las mquinas de las vctimas. Incluso si las vctimas saben que sus sistemas han sido comprometidos, sin registros de registro protegidas y completos que son ciegos a los detalles del ataque y para las acciones posteriores tomadas por los atacantes. Sin registros de auditora slidos, un ataque puede pasar desapercibida por tiempo indefinido y los daos particulares hecho puede ser irreversible. A veces los registros de tala son la nica evidencia de un ataque exitoso. Muchas organizaciones mantienen registros de auditora a efectos de cumplimiento, pero los atacantes se basan en el hecho de que estas organizaciones rara vez se ven en los registros de auditora, por lo que no saben que sus sistemas han sido comprometidos. Debido a los procesos de anlisis de registros pobres o inexistentes, los atacantes a veces controlan las mquinas vctimas durante meses o aos sin que nadie en la organizacin objetivo conocer, a pesar de la evidencia de que el ataque haya sido registrada en los archivos de registro no examinados.

1. Ganancias rpidas: Incluya por lo menos dos fuentes de tiempo sincronizados (es decir, Protocolo de Tiempo de Red - NTP) de la que todos los servidores y equipos de red recuperan informacin de tiempo de forma regular para que las marcas de tiempo en los registros son consistentes. 2. Ganancias rpidas: Validar la configuracin del registro de auditora para cada dispositivo de hardware y el software instalado en l, lo que garantiza que los registros incluyen una fecha, fecha y hora, las direcciones de origen, direccin de destino, y varios otros elementos tiles de cada paquete y / o de la transaccin. Los sistemas deben registrar los registros en un formato estndar, tales como entradas de registro del sistema o las contenidas en la iniciativa Expresin Common Event. Si los sistemas no pueden generar registros en un formato estandarizado, iniciar herramientas de normalizacin se pueden implementar para convertir troncos en tal formato. 3. Ganancias rpidas: Asegurarse de que todos los sistemas que almacenan registros tienen suficiente espacio de almacenamiento para los registros generados de forma regular, por lo que los archivos de registro no se llenarn entre los intervalos de rotacin de registro. Los registros deben ser archivados y firmados digitalmente sobre una base peridica. 4. Ganancias rpidas: Desarrollar una poltica de retencin del registro para asegurarse de que los registros se conservarn durante un perodo de tiempo suficiente. Como APT (amenaza persistente avanzada) sigue abriendo sigilosamente en los sistemas, las organizaciones se ven comprometidas por varios meses no se haya detectado. Los registros deben conservarse durante un perodo de tiempo que se tarda una organizacin para detectar un ataque ms largo para que puedan determinar con precisin lo que ocurri. 5. Ganancias rpidas: Muestra un mensaje de registro todos los accesos remotos a una red, ya sea a la zona de distensin o de la red interna (es decir, VPN, acceso telefnico, u otro mecanismo). 6. Ganancias rpidas: Configurar sistemas operativos para registrar eventos de control de acceso asociadas a un usuario intenta acceder a un recurso (por ejemplo, un archivo o directorio) sin los permisos adecuados. Intentos de conexin fallidos tambin deben ser registrados. 7. Ganancias rpidas: contar con personal de seguridad y / o administradores de sistemas realizar informes quincenales que identifican anomalas en los registros. Luego deben revisar de forma activa las anomalas, documentando sus hallazgos. 8. Visibilidad / Reconocimiento: Configurar dispositivos de frontera de la red, incluyendo cortafuegos, IPS basados en red y servidores proxy de entrada y salida, para verbosidad registrar todo el trfico (tanto de permitidos y bloqueados) de llegar al dispositivo. 9. Visibilidad / Reconocimiento: Para todos los servidores, asegrese de que los registros se escriben en escritura slo dispositivos o servidores dedicados de tala que se ejecutan en mquinas separadas de hosts que generan los registros de sucesos, la reduccin de la probabilidad de que un atacante puede manipular los registros almacenados localmente en las mquinas comprometidas. 10. Visibilidad / Atribucin: Implementar una SIM / SEM (gestin de eventos de gestin de incidentes de seguridad / seguridad) o visite herramientas analticas para la agregacin de registro y consolidacin de varias mquinas y para la correlacin de registro y anlisis. Con la herramienta SIM / SEM, los administradores de sistemas y personal de seguridad deben disear los perfiles de los eventos comunes de los sistemas propuestos para que puedan detectar sintona para centrarse en una actividad inusual, evitar falsos positivos, identificar con mayor rapidez las anomalas, y evitar que los analistas abrumadoras con alertas insignificantes. 11. Avanzado: Es importante vigilar cuidadosamente para eventos de creacin de servicios. En los sistemas Windows, muchos atacantes utilizan la funcionalidad psexec de propagarse de un sistema a otro. Creacin de un servicio es un evento inusual y se debe controlar cuidadosamente.

AC-17 (1), AC-19, AU-2 (4), AU-3 (1,2), la UA-4, UA-5, AU-6 (a, 1, 5), la UA-8, AU-9 (1, 2), AU-12 (2), SI-4 (8)
Seguridad de acceso remoto Administracin de registros

Mayora de los sistemas operativos libres y comerciales, servicios de red y tecnologas de firewall ofrecen capacidades de registro. Dicho registro debe ser activado, con los registros enviados a los servidores de registro centralizado. Los cortafuegos, proxies, y los sistemas de acceso remoto (VPN, dial-up, etc) todos deben ser configuradas para el registro detallado, el almacenamiento de toda la informacin disponible para el registro en caso se requiera una investigacin de seguimiento. Por otra parte, los sistemas operativos, especialmente los de los servidores, se deben configurar para crear registros de control de acceso cuando un usuario intenta acceder a los recursos sin los privilegios adecuados. Para evaluar si tal registro est en su lugar, la organizacin debera analizar con regularidad a travs de sus registros y compararlos con el inventario de activos reunidos como parte de crticos de control 1 con el fin de asegurar que cada elemento gestionado activamente conectado a la red est generando peridicamente registros. Programas analticos tales como soluciones SIM / SEM para la revisin de los registros pueden proporcionar valor, pero las capacidades empleadas para analizar los registros de auditora son bastante extensas, incluso incluyendo, de manera importante, a un examen superficial por una persona. Herramientas de correlacin reales pueden realizar registros de auditora mucho ms til para la inspeccin manual posterior. Estas herramientas pueden ser de gran ayuda en la identificacin de los ataques sutiles. Sin embargo, estas herramientas son una panacea ni un reemplazo para el personal de seguridad de la informacin especializado y administradores de sistemas. Incluso con las herramientas de anlisis de registros automatizados, a menudo se requiere la experiencia humana y la intuicin para identificar y comprender los ataques.
El sistema debe ser capaz de registrar todos los eventos a travs de la red. El registro debe ser validado a travs de ambos sistemas y basada en host basados en la red. Cualquier evento debe generar una entrada de registro que incluya una fecha, fecha y hora, la direccin de origen, direccin de destino, y otros detalles sobre el paquete. Cualquier actividad que se realiza en la red debe estar conectado inmediatamente a todos los dispositivos a lo largo de la ruta crtica. Cuando un dispositivo detecta que no es capaz de generar logs (debido a una cada del servidor de registro o cualquier otro problema), debe generar una alerta o e-mail para el personal administrativo de la empresa dentro de las 24 horas. Si bien el plazo de 24 horas representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta.
Para evaluar la aplicacin del control 14 de forma peridica, un equipo de evaluacin debe revisar los registros de seguridad de diversos dispositivos de red, servidores y hosts. Como mnimo los siguientes dispositivos se deben probar: dos routers, dos cortafuegos, dos interruptores, 10 servidores y 10 sistemas de clientes. El equipo de prueba debe utilizar las herramientas de generacin de trfico para enviar paquetes a travs de los sistemas bajo anlisis para verificar que
el trfico se registra. Este anlisis se realiza mediante la creacin, eventos benignos controlados y determinar si la informacin se registra correctamente en los registros de los datos fundamentales, incluida una fecha, fecha y hora, la direccin de origen, direccin de destino, y otros detalles sobre el paquete. El equipo de evaluacin debe verificar que el sistema genera registros de auditora y, si no, una alerta o aviso por correo electrnico con respecto a la explotacin forestal no deben ser enviados en 24 horas. Es importante que el equipo verifique que toda la actividad que se ha detectado.El equipo de evaluacin debe verificar que el sistema proporciona informacin sobre la ubicacin de cada mquina, incluyendo informacin sobre el propietario de los activos.

Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los registros de auditora, el sistema de base de datos de registro central, el sistema de hora del centro, y registrar los analistas. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global.
Paso 1: Los sistemas de produccin generan logs y los envan a un sistema de base de datos de registro de gestin centralizada Paso 2: Sistemas de produccin y registro del sistema de base de datos extrae sincronizar la hora con los sistemas de gestin del tiempo el centro Paso 3: Registros analizados por un sistema de anlisis de registros Paso 4: Entrar analistas examinan los datos generados por el sistema de anlisis de registros.
Control de 15 Critical: Acceso controlado Basado en la necesidad de conocer

20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y las herramientas que se utilizan para realizar un seguimiento / control / prevenir / acceso seguro a la informacin correcta de acuerdo a la determinacin formal de que las personas, los equipos y las aplicaciones tienen la necesidad y el derecho de acceso a la informacin basada en una clasificacin aprobada.

Algunas organizaciones no identifican cuidadosamente y separan sus datos ms sensibles de la informacin menos sensible, a disposicin del pblico en sus redes internas. En muchos entornos, los usuarios internos tienen acceso a todo o la mayor parte de la informacin en la red. Una vez que los atacantes han penetrado en una red de este tipo, se pueden encontrar fcilmente y exfiltrate informacin importante con poca resistencia. En varias infracciones de alto perfil en los ltimos dos aos, los atacantes fueron capaces de obtener acceso a los datos confidenciales almacenados en los mismos servidores con el mismo nivel de acceso en la medida menos importante de datos.

1. Ganancias rpidas: Busque cualquier informacin sensible sobre las VLAN separada con filtrado de firewall adecuado. Toda la comunicacin de la informacin sensible a travs de redes de confianza, menos necesita ser encriptada. 2. Visibilidad / Attributaon: Establecer un sistema de identificacin de los datos / de clasificacin multi-nivel (por ejemplo, un esquema de tres o cuatro niveles con los datos separados en categoras basadas en el impacto de la exposicin de los datos). 3. Visibilidad / Atribucin: Hacer cumplir el registro de auditora detallada para el acceso a los datos que no son pblicas y autenticacin especial para los datos sensibles. 4. Configuracin / Higiene: Segmento de la red en funcin de los niveles de confianza de la informacin almacenada en los servidores.Siempre que la informacin fluye a travs de una red con un nivel de confianza inferior, la informacin debe estar encriptada.
5. Avanzado: Uso de prevencin de prdida de datos basada en host (DLP) para hacer cumplir las ACL, incluso cuando los datos se copian de un servidor. En la mayora de las organizaciones, el acceso a los datos se controla mediante las ACL que se implementan en el servidor. Una vez que los datos se han copiado en un sistema de escritorio, las ACL ya no son forzadas y los usuarios pueden enviar los datos a quien quieran.

AC-1, AC-2 (b, c), AC-3 (4), AC-4, AC-6, MP-3, RA-2 (a)
Hito 3: Arquitectura de red

Es importante que una organizacin comprenda cul es su informacin sensible, donde reside, y que necesita tener acceso a la misma.Para obtener los niveles mximos de sensibilidad, las organizaciones necesitan para armar una lista de los principales tipos de datos y la importancia global de la organizacin. Este anlisis se utiliza para crear un esquema general de clasificacin de datos para la organizacin. En un nivel bsico, un esquema de clasificacin de datos se divide en dos niveles: pblico (no clasificados) y privadas (clasificados). Una vez que la informacin privada se ha identificado, a continuacin, puede subdividirse en base al impacto que tendra para la organizacin si se ve comprometida. Una vez que la sensibilidad de los datos han sido identificados, hay que remontarse a las aplicaciones empresariales y los servidores fsicos que alojan las aplicaciones de los datos. La red luego tiene que ser segmentado para que los sistemas de la misma nivel de sensibilidad estn en la misma red y segmentados a partir de sistemas con diferentes niveles de confianza. Si es posible, los servidores de seguridad necesitan para controlar el acceso a cada segmento. Si los datos estn fluyendo a travs de una red con un nivel de confianza inferior, se debe utilizar el cifrado. Requisitos de trabajo deben ser creados para cada grupo de usuarios para determinar qu tipo de informacin que el grupo necesita acceso a para llevar a cabo sus trabajos. Sobre la base de los requisitos, el acceso slo se debe dar a los segmentos o los servidores que se necesitan para cada funcin de trabajo. Registro detallado debe ser activado para todos los servidores con el fin de controlar el acceso y examinar las situaciones en que alguien est accediendo a los datos que no deberan estar accediendo.
El sistema debe ser capaz de detectar todos los intentos de los usuarios para acceder a los archivos en los sistemas locales o archivos compartidos en la red accesible sin los privilegios adecuados, y debe generar una alerta o e-mail para el personal administrativo dentro de las 24 horas. Si bien el plazo de 24 horas representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta.
Para evaluar la aplicacin de control 15 en forma peridica, el equipo de evaluacin debe crear dos cuentas de prueba, cada uno de 10 sistemas de representacin en la empresa: cinco mquinas servidor y cinco sistemas cliente. Para cada sistema evaluado, una cuenta debe tener privilegios limitados,
mientras que el otro debe tener privilegios necesarios para crear archivos en los sistemas. El equipo de evaluacin debe a continuacin, compruebe que la cuenta sin privilegios no puede acceder a los archivos creados por la otra cuenta en el sistema. El equipo tambin debe verificar que una alerta o correo electrnico se genera sobre la base del acceso fallido intento de un plazo de 24 horas. Al trmino de la prueba, estas cuentas deben ser removidos.

Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, el sistema de clasificacin de datos y el permiso de lnea de base es el modelo de cmo se controla la autenticacin y el acceso de datos. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Un sistema de clasificacin de datos apropiada y permisos de referencia aplicada a los sistemas de datos de produccin Paso 2: El acceso conectado adecuadamente a un sistema de administracin de registros Paso 3: El control adecuado de acceso aplicada a unidades de media / USB porttiles Paso 4: escner activo valida, comprueba el acceso, y los datos de los cheques clasificacin Paso 5: encriptacin basada en host y valida y verifica todas las peticiones de acceso de prevencin de prdida de datos.
Crticos de Control 16: Monitoreo y Control de Cuenta

20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y las herramientas que se utilizan para realizar un seguimiento / control / prevenir / corregir el uso del sistema y de aplicaciones cuentas.

Los atacantes a menudo descubren y explotan las cuentas de usuarios legtimos, pero inactivas para hacerse pasar por usuarios legtimos, con lo que el descubrimiento de la conducta atacante difcil para los observadores de la red. Cuentas de los contratistas y los empleados que han sido despedidos a menudo han sido mal utilizados de esta manera. Cuentas Adems, algunos expertos maliciosos o ex empleados han accedido quedan atrs en un sistema mucho despus del vencimiento del contrato, el mantenimiento de su acceso al sistema informtico de una organizacin y los datos sensibles para fines no autorizados y, a veces maliciosos.

1. Ganancias rpidas: Revise todas las cuentas del sistema y deshabilitar cualquier cuenta que no puede ser asociada a un proceso de negocio y el propietario. 2. Ganancias rpidas: Asegrese de que todas las cuentas tienen una fecha de caducidad asociada a la cuenta. 3. Ganancias rpidas: Asegrese de que los sistemas crean automticamente un informe sobre una base diaria, que incluye una lista de cuentas de cierre patronal, cuentas deshabilitadas, las cuentas con contraseas que superen la duracin mxima de contrasea, y cuentas con contraseas que no caducan. Esta lista debe ser enviada al administrador del sistema asociado de una manera segura. 4. Ganancias rpidas: Establecer y seguir un proceso para revocar el acceso al sistema mediante la desactivacin de cuentas inmediatamente despus de la terminacin de un empleado o contratista. 5. Ganancias rpidas: vigilen peridicamente el uso de todas las cuentas, el registro de forma automtica a los usuarios despus de un perodo normal de inactividad.
6. Triunfos rpidos: uso de la cuenta del monitor para determinar las cuentas inactivas que no han sido utilizados durante un perodo determinado, por ejemplo, de 45 das, notificando al usuario o administrador del usuario de la dormancia. Despus de un perodo ms largo, por ejemplo, de 60 das, la cuenta debe ser desactivada. 7. Triunfos rpidos: Cuando una cuenta inactiva est deshabilitado, los archivos asociados con esa cuenta debe ser encriptada y se mudaron a un servidor de archivos de forma segura para su anlisis por el personal de seguridad o de gestin. 8. Ganancias rpidas: Exigir que todas las cuentas que no es administrador tienen contraseas seguras que contienen letras, nmeros y caracteres especiales, cambiarse por lo menos cada 90 das, tener una edad mnima de un da, y no se les permite usar las 15 contraseas anteriores como un nuevo contrasea. Estos valores se pueden ajustar en base a las necesidades especficas del negocio de la organizacin. 9. Ganancias rpidas: Use y configurar los bloqueos de cuentas de tal manera que despus de un nmero determinado de intentos fallidos de inicio de sesin de la cuenta est bloqueada por un perodo de tiempo estndar. 10. Visibilidad / Reconocimiento: De forma peridica, como trimestral o por lo menos anualmente, requieren que los administradores se ajustan a los empleados activos y contratistas con cada cuenta perteneciente a su personal administrado. Seguridad o los administradores de sistemas deben entonces desactivar cuentas que no estn asignados a los empleados en activo o contratistas. 11. Visibilidad / Atribucin: Supervisar los intentos de acceso a travs de las cuentas desactivadas registro de auditora. 12. Configuracin / Higiene: Perfil tpico uso de la cuenta de cada usuario, determinando el acceso normal de hora del da y la duracin de acceso. Los informes diarios se deben generar, que indican a los usuarios que han iniciado sesin en durante horas inusuales o han excedido su duracin normal de inicio de sesin en un 150 por ciento. Esto incluye el abanderamiento de la utilizacin de las credenciales del usuario desde un equipo distinto equipos en los que el usuario generalmente trabaja.

CA-2 (e, f, g, h, j, 2, 3, 4, 5), AC-3
Hito 5: El acceso del Usuario

Aunque la mayora de los sistemas operativos incluyen capacidades para registrar informacin sobre el uso de la cuenta, estas caractersticas son a veces desactivados por defecto. Aun cuando tales caractersticas estn presentes y activos, a menudo no proporcionan detalles de grano fino sobre el acceso al sistema por defecto. El personal de seguridad pueden configurar los sistemas para registrar informacin ms detallada sobre el acceso a la cuenta, y el uso de secuencias de comandos de cosecha propia o herramientas de anlisis de registros de terceros para analizar esta informacin y el perfil de acceso de los usuarios de los distintos sistemas. Las cuentas tambin deben ser seguidos muy de cerca. Cualquier cuenta que est latente se debe desactivar y, finalmente eliminado del sistema. Todas las cuentas de activos deben remontarse a los usuarios autorizados del sistema, y debe garantizar que sus contraseas son robustas y se cambian con
regularidad. Los usuarios tambin deben ser registrados fuera del sistema despus de un perodo de inactividad para reducir al mnimo la posibilidad de que un atacante utilizando su sistema para extraer informacin de la organizacin.
El sistema debe ser capaz de identificar las cuentas de usuario no autorizados cuando existen en el sistema. Una lista automatizada de cuentas de usuario en el sistema se debe crear cada 24 horas y una alerta o e-mail deber ser enviado al personal administrativo dentro de la hora de finalizacin de una lista que se est creando. Si bien el plazo de una hora representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta.
Para evaluar la aplicacin de control 16 en forma peridica, el equipo evaluador debe verificar que la lista de cuentas de cierre patronal, cuentas deshabilitadas, las cuentas con contraseas que superen la duracin mxima de contrasea, y cuentas con contraseas que no caducan con xito se ha completado sobre una base diaria durante los ltimos 30 das, revisando las alertas y los informes archivados para garantizar que las listas se terminaron. Adems, la comparacin de un valor basal de cuentas permitidas debe ser comparado con las cuentas que estn activas en todos los sistemas. El informe de todas las diferencias debe ser creado sobre la base de esta comparacin.

Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando las cuentas de usuario y la forma en que interactan con los sistemas de datos y los sistemas de gestin de registros. Otro componente clave de estos sistemas son los informes generados por la gestin de cuentas de usuario. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. Tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Las cuentas de usuario se gestionan correctamente en los sistemas de produccin Paso 2: Las cuentas de usuario se asignan permisos adecuados para conjuntos de datos de produccin Paso 3: acceso a la cuenta del usuario se registra al iniciar el sistema de gestin Paso 4: Los sistemas de gestin de registros generan las cuentas de usuario y de acceso a los informes de gestin Paso 5: Cuenta de la informacin de referencia se enva al registro del sistema de gestin Paso 6: La informacin crtica est debidamente protegida y codificada para cada cuenta de usuario.
Crticos de Control 17: Prevencin de Prdida de Datos

20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y las herramientas que se utilizan para realizar un seguimiento / control / prevenir / corregir la transmisin de datos y almacenamiento, basado en el contenido de los datos y la clasificacin correspondiente.

En los ltimos aos, los atacantes han exfiltraron cantidades significativas de datos, a menudo delicados de organizaciones de todos los tamaos y formas. Muchos ataques se produjeron a travs de la red, mientras que otros participan robo fsico de las computadoras porttiles y otros equipos que contienen informacin sensible. Sin embargo, en la mayora de los casos, las vctimas no eran conscientes de que los datos sensibles se marchaban sus sistemas debido a que no estaban monitoreando las salidas de datos. El movimiento de datos a travs de lmites de la red, tanto por va electrnica como fsicamente debe ser cuidadosamente examinada para minimizar su exposicin a los atacantes. La prdida de control sobre los datos protegidos o sensibles por las organizaciones es una grave amenaza para las operaciones de negocios y una amenaza potencial a la seguridad nacional. Si bien algunos datos se filtran o se pierden como consecuencia de robo o espionaje, la gran mayora de estos problemas se derivan de las prcticas poco conocidos de datos, la falta de arquitecturas polticas eficaces, y un error del usuario. La prdida de datos puede incluso ocurrir como resultado de actividades legtimas, tales como e-Discovery durante el litigio, sobre todo cuando las prcticas de retencin de registros son ineficaces o inexistentes. Prevencin de prdida de datos (DLP) se refiere a un enfoque comn que abarque la gente, los procesos y sistemas que identifican, monitorear y proteger datos en uso (por ejemplo, acciones de punto final), los datos en movimiento (por ejemplo, acciones de la red), y los datos en reposo ( por ejemplo, el almacenamiento de datos) a travs de la inspeccin de contenido profundo y con un marco de gestin centralizada. En los ltimos aos, ha habido un cambio notable en la
atencin y la inversin de asegurar la red a los sistemas dentro de la red de sujecin, y para asegurar los datos en s. Controles de DLP se basan en la poltica, e incluyen la clasificacin de los datos sensibles, el descubrimiento de que los datos en toda la empresa, la aplicacin de controles, y la presentacin de informes y auditora para asegurar el cumplimiento de las polticas.

1. Ganancias rpidas: Implementar el software de cifrado de disco duro aprobado a los dispositivos mviles y los sistemas que contienen datos sensibles. 2. Visibilidad / Reconocimiento: implementar una herramienta automatizada de los permetros de red que monitorea cierta informacin sensible (es decir, la informacin de identificacin personal), palabras clave y otras caractersticas del documento para descubrir intentos no autorizados de exfiltrate datos a travs de las fronteras de la red y bloquear las transferencias al tiempo que alertan al personal de seguridad de la informacin . 3. Visibilidad / Atribucin: Realizar anlisis peridicos de las mquinas de servidor que utilizan herramientas automatizadas para determinar si los datos sensibles (es decir, la informacin de identificacin personal, de salud, de tarjetas de crdito, y de informacin clasificada) est presente en el sistema en texto claro. Estas herramientas, que la bsqueda de patrones que indican la presencia de informacin sensible, pueden ayudar a identificar si un proceso de negocio o tcnico est dejando atrs o de otra manera la filtracin de informacin sensible. 4. Configuracin / Higiene: Mover datos entre redes utilizando mecanismos seguros, autenticadas y cifradas. 5. Configuracin / Higiene: Si no hay una necesidad de la empresa para apoyar este tipo de dispositivos, configurar los sistemas para que no se escribir datos en tokens USB o discos duros USB. Si se requieren tales dispositivos, el software empresarial se debe utilizar que pueden configurar los sistemas para permitir que slo los dispositivos USB especficos (basados en el nmero de serie u otra propiedad nica) para tener acceso a, y que se puede cifrar automticamente todos los datos colocados en tales dispositivos. Un inventario de todos los dispositivos autorizados debe ser mantenida. 6. Configuracin / Higiene: las soluciones de DLP basados en la red utilizan para monitorear y controlar el flujo de datos dentro de la red.Cualquier anomala que superan los patrones normales de trfico deben tenerse en cuenta y reciba los cuidados necesarios para hacerles frente. 7. Avanzado: Supervisar todo el trfico de abandonar la organizacin y detectar cualquier uso no autorizado de la encriptacin. Los atacantes a menudo usan un canal cifrado a los dispositivos de seguridad de red de derivacin. Por lo tanto, es esencial que las organizaciones sean capaces de detectar conexiones canallas, terminar la conexin, y reparar el sistema infectado. 8. Avanzado: Bloquear el acceso a transferencia de ficheros conocido y e-mail sitios web exfiltracin. NIST Special Publication 800-53 Asociado, Revisin 3, Prioridad 1 Controles AC-4, MP-2 (2), MP-4 (1), SC-7 (6, 10), SC-9, SC-13, SC-28 (1), SI-4 (4, 11) , PM-7 Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red Electronic Device Personal de Gestin (PED) Data-a-Rest Proteccin Monitoreo de Seguridad de Red

Soluciones DLP comerciales estn disponibles para buscar intentos exfiltracin y detectar otras actividades sospechosas asociadas a una red protegida contener informacin sensible. Las organizaciones que despliegan este tipo de herramientas deben inspeccionar cuidadosamente sus registros y dar seguimiento a cualquier intento de descubrir, incluso los que se bloquean con xito, para transmitir informacin sensible de la organizacin sin autorizacin.
El sistema debe ser capaz de identificar los datos no autorizados abandonar la organizacin, ya sea a travs de transferencias de archivos de red o medios extrables. Dentro de una hora de un evento de la exfiltracin de datos o intento, el personal administrativo de la empresa deben ser alertados por el sistema de control adecuado. Una vez que la alerta se ha generado tambin debe observar el sistema y la ubicacin donde se produjo el hecho o el intento. Si el sistema se encuentra en la base de datos de gestin de activos de la organizacin, el dueo del sistema tambin debe ser incluido en las alertas generadas. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado de los sistemas hasta que la fuente del evento ha sido identificado y el riesgo mitigado. Si bien el plazo de una hora representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta.
Para evaluar la aplicacin de control 17 en forma peridica, el equipo de evaluacin debe intentar mover los conjuntos de datos de prueba que activan los sistemas DLP pero que no contienen datos confidenciales fuera del entorno de computacin de confianza a travs de dos transferencias de archivos de red y medios extrables. Cada una de las siguientes pruebas se deben realizar al menos tres veces: Intente transferir grandes conjuntos de datos a travs de fronteras de red desde un sistema interno. Intente transferir conjuntos de datos de prueba de la informacin de identificacin personal (que los sistemas DLP de activacin pero no contienen datos sensibles) a travs de fronteras de red desde un sistema interno (utilizando varias palabras clave especficas para el negocio). Intento de mantener una conexin de red permanente durante al menos 10 horas a travs de las fronteras de la red entre un sistema interno y externo, a pesar de que pocos datos se pueden intercambiar. Intente mantener una conexin de red entre redes utilizando un nmero de puerto de servicio anmala entre un sistema interno y externo. Inserte un token USB en un sistema de organizacin y tratar de transferir datos ejemplo de prueba para el dispositivo USB. Cada una de estas pruebas se deben realizar a partir de mltiples sistemas, ampliamente distribuidos en la red de la organizacin con el fin de comprobar la eficacia de los sistemas de monitoreo. Una vez que cada uno de estos eventos se ha producido, el tiempo que toma para el personal de la empresa para responder al evento debe ser registrada.

Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando el flujo de informacin dentro y fuera de la organizacin, en un intento de limitar la posible prdida de datos a travs de la red o de las fuentes de medios extrables. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto
para cumplir con el objetivo de negocio definidos en este control. Tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Sistema de cifrado de datos garantiza que los discos duros adecuados se cifran Paso 2: el trfico de red sensible encriptada Paso 3: Conexiones de datos monitorizados en el permetro de la red por los sistemas de monitoreo Paso 4: Se guarda los datos escaneados para identificar donde se almacena la informacin sensible Paso 5: Desconectado medios cifrados.
Crticos de Control 18: Respuesta de la Administracin de Incidentes y

20 Controles de seguridad crtica | Directrices control anteriorsiguiente control . El proceso y las herramientas para asegurarse de que una organizacin tiene un plan debidamente probado con recursos debidamente capacitado para hacer frente a eventos adversos o amenazas de eventos adversos Nota: Este control tiene una o ms sub-controles que deben ser validados manualmente.

Dao considerable se ha hecho a la reputacin de la organizacin y una gran cantidad de informacin se ha perdido en las organizaciones que no tienen planes de respuesta a incidentes plenamente eficaces en el lugar. Sin un plan de respuesta a incidentes, una organizacin no puede descubrir un ataque en el primer lugar, o, si se detecta el ataque, la organizacin no puede seguir los procedimientos adecuados para contener los daos, erradicar la presencia del atacante, y recuperar de forma segura. De este modo, el atacante puede tener un impacto mucho mayor, causando ms dao, infectando a ms sistemas, y posiblemente exfiltrating datos ms sensibles de lo que sera posible fueron un plan de respuesta a incidentes eficaz en su lugar. NIST Special Publication 800-61 contiene directrices detalladas para la creacin y el funcionamiento de un equipo de respuesta a incidentes.

1. Ganancias rpidas: Asegrese de que existen procedimientos de respuesta a incidentes escritos que incluyen una definicin de las funciones del personal para el manejo de incidentes. Los procedimientos deben definir las fases de la gestin de incidentes. 2. Ganancias rpidas: asigne ttulos de trabajo y los deberes para el manejo de incidentes informticos y de red a individuos especficos. 3. Ganancias rpidas: Definir el personal de gestin que apoyen el proceso de gestin de incidentes, actuando en roles de toma de decisiones clave.
4. Ganancias rpidas: Elaborar normas en toda la organizacin para el tiempo requerido para que los administradores de sistemas y otro personal para reportar eventos anmalos al equipo de gestin de incidentes, los mecanismos para dicha presentacin, y el tipo de informacin que debe ser incluida en la notificacin de incidentes. Este informe tambin debe incluir la notificacin al Equipo de Respuesta de Emergencia de la Comunidad proceda, de conformidad con todos los requisitos legales o reglamentarios para la participacin de esa organizacin en incidentes informticos. 5. Ganancias rpidas: Montar y mantener la informacin sobre la informacin de contacto con otros proveedores para ser utilizado para reportar un incidente de seguridad (es decir, mantener una direccin de correo electrnico de security@organization.com o una pgina Web http://organization.com/security ). 6. Ganancias rpidas: Publicar la informacin para todo el personal, incluidos los empleados y contratistas, en cuanto a las anomalas e incidencias informticas de informacin al equipo de gestin de incidentes. Tal informacin debe ser incluida en las actividades de rutina de concienciacin de los empleados. 7. Configuracin / Higiene: Llevar a cabo sesiones de escenarios de incidentes peridica para el personal relacionado con el equipo de gestin de incidentes para asegurar que ellos entienden las amenazas actuales y los riesgos, as como sus responsabilidades en el apoyo al equipo de gestin de incidentes.

IR-1, IR-2 (1), IR-4, 5-IR, IR-6 (a), IR-8
Respuesta a Incidentes y Planes de Recuperacin de Desastres Formacin

Despus de definir los procedimientos detallados de respuesta a incidentes, el equipo de respuesta a incidentes debe participar en el entrenamiento basado en escenarios peridica, a travs de una serie de escenarios de ataque puso a punto a las amenazas y vulnerabilidades que enfrenta la organizacin. Estos escenarios ayudan a asegurar que los miembros del equipo a entender su papel en el equipo de respuesta a incidentes y tambin ayudan a prepararlos para manejar incidentes.

Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando el proceso de gestin de incidentes y cmo las organizaciones estn preparados en caso de que ocurra un incidente. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: polticas y procedimientos de manejo de incidentes educar a los miembros de la fuerza de trabajo en cuanto a sus responsabilidades durante un incidente Paso 2: Algunos miembros del personal designados como administradores de incidentes Paso 3: las polticas y los procedimientos de manejo de incidentes educar a la gestin en cuanto a sus responsabilidades durante un incidente Paso 4: manejadores de incidentes participan en la gestin de incidentes pruebas de escenarios Paso 5: Los manejadores de incidentes reportar incidentes a la gestin Paso 6: La gestin de la organizacin reporta incidentes a la polica fuera y el equipo de respuesta a emergencias informticas apropiadas, si fuera necesario.
Crticos de Control 19: Secure Network Engineering

20 Controles de seguridad crtica | Directrices control anteriorsiguiente control . El proceso y las herramientas utilizadas para crear, actualizar y validar una infraestructura de red que pueda soportar adecuadamente los ataques de amenazas avanzadas Nota: Este control tiene una o ms sub-controles que deben ser validados manualmente.

Muchos controles de este documento son eficaces, pero pueden ser burlados en las redes que estn mal diseados. Sin una arquitectura de red cuidadosamente planificado y ejecutado correctamente, los atacantes pueden pasar por alto los controles de seguridad en ciertos sistemas, articulados a travs de la red para tener acceso a los equipos de destino. Los atacantes frecuentemente mapa redes en busca de conexiones que no sean necesarios entre los sistemas de filtrado, dbil, y la falta de una separacin red. Por lo tanto, un proceso robusto, seguro de la red de ingeniera debe ser empleado como complemento de los controles detallados que se miden en otras secciones de este documento.

1. Ganancias rpidas: Disear la red con un mnimo de una arquitectura de tres niveles (DMZ, middleware, y la red privada). Cualquier sistema puede acceder a travs de Internet debe estar en la zona de distensin, pero los sistemas de DMZ no debe contener informacin confidencial. Cualquier sistema con los datos sensibles debe residir en la red privada y nunca ser accesible directamente desde Internet.Sistemas DMZ deben comunicarse con los sistemas de redes privadas a travs de un proxy de aplicacin que reside en el nivel de middleware. 2. Configuracin / Higiene: Para apoyar la respuesta rpida y evitar el trato de los ataques detectados, disear la arquitectura de red y sus correspondientes sistemas para el rpido despliegue de nuevas listas de control de acceso, reglas, firmas, bloques, blackholes y otras medidas defensivas.
3. Visibilidad / Reconocimiento: Implementar sistemas de nombres de dominio (DNS) de forma jerrquica, estructurada, con todos los equipos cliente de la red interna configurado para enviar peticiones a los servidores DNS de la intranet, no a los servidores DNS ubicados en Internet. Estos servidores DNS internos deben configurarse para reenviar las solicitudes que no pueden resolver a los servidores DNS ubicados en una DMZ protegida. Estos servidores de la DMZ, a su vez, deben ser los nicos servidores DNS autorizados para enviar solicitudes a Internet. 4. Configuracin / Higiene: Segmento de la red de la empresa en mltiples zonas, fiduciarios separados para proporcionar un control ms granular de acceso al sistema y las defensas de frontera intranet adicionales.

IR-4 (2), SA-8, SC-7 (1, 13), SC-20, SC-21, SC-22, PM-7

Para ayudar a asegurar una red coherente y defendible, la arquitectura de cada red debe estar basada en una plantilla que describe la red? S diseo general y los servicios que presta. Las organizaciones deben preparar los diagramas para cada una de sus redes que muestran los componentes de red tales como routers, firewalls y switches, junto con los servidores y grupos de mquinas clientes importantes.

Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos
o sistemas. En este caso, estamos examinando el proceso de ingeniera de red y evaluar los controles que funcionan en conjunto con el fin de crear una arquitectura de red segura y robusta. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: polticas y procedimientos de ingeniera de red determinan cmo funcionan los sistemas de red para incluir el protocolo de configuracin dinmica de host de servidores (DHCP) Paso 2: Los servidores DHCP proporcionan direcciones IP a los sistemas de la red Paso 3: Los dispositivos de red realizan bsquedas de DNS a los servidores DNS internos Paso 4: Los servidores DNS internos realizan bsquedas de DNS a los servidores DNS externos Paso 5: Las polticas y procedimientos de ingeniera de red dictan cmo funciona un sistema de gestin de red central Paso 6: sistemas de gestin de una red centroamericana de configurar dispositivos de red.
control anterior
. El proceso y las herramientas utilizadas para simular ataques contra una red para validar la seguridad general de una organizacin Nota: Este control tiene una o ms sub-controles que deben ser validados manualmente.

Los atacantes penetrar las redes y los sistemas a travs de la ingeniera social y mediante la explotacin de software y hardware vulnerable. Una vez que obtienen el acceso, a menudo penetran profundamente en los sistemas de destino y, en general ampliar el nmero de mquinas sobre las que tienen el control. La mayora de las organizaciones no ejercen sus defensas, por lo que no estn seguros de sus capacidades y sin preparacin para identificar y responder a los ataques. Las pruebas de penetracin consiste en imitar las acciones de los atacantes informticos para identificar las vulnerabilidades en una organizacin de destino, y su explotacin para determinar el tipo de acceso de un atacante puede obtener. Pruebas de penetracin suelen proporcionar un anlisis ms profundo de las fallas de seguridad que una evaluacin de la vulnerabilidad. Las evaluaciones de vulnerabilidad se centran en la identificacin de posibles vulnerabilidades, mientras que las pruebas de penetracin es ms profunda con los intentos controlados a explotar vulnerabilidades, acercndose a los sistemas de destino como atacante lo hara. El resultado ofrece una visin ms profunda de los riesgos de negocio de diversas vulnerabilidades al mostrar si y cmo un atacante puede comprometer mquinas de pivote a otros sistemas dentro de una organizacin de destino, y tener acceso a informacin sensible. Ejercicios en equipo Rojo van ms all de las pruebas de penetracin. Las metas de ejercicios en equipo rojo son mejorar la preparacin de la organizacin, mejorar la formacin de los profesionales de defensa, e inspeccionar los niveles de rendimiento actuales. Equipos rojos independientes pueden proporcionar
informacin valiosa y objetiva acerca de la existencia de vulnerabilidades y la eficacia de las defensas y los controles de mitigacin ya existentes e incluso de las previstas para su aplicacin futura.

1. Ganancias rpidas: Realizar pruebas de penetracin externas e internas peridicas para identificar las vulnerabilidades y los vectores de ataque que pueden ser utilizados para explotar sistemas de la empresa con xito. Las pruebas de penetracin debe ocurrir desde fuera del permetro de la red (es decir, la Internet o frecuencias inalmbricas alrededor de una organizacin), as como desde dentro de sus lmites (es decir, en la red interna) para simular tanto extrao y ataques internos. 2. Ganancias rpidas: Si se utilizan las cuentas de usuario o de sistema para realizar pruebas de penetracin, controlar y supervisar cuidadosamente las cuentas para asegurarse de que slo se estn utilizando para fines legtimos. 3. Visibilidad / Atribucin: Realizar ejercicios peridicos del equipo rojo para poner a prueba la preparacin institucional para identificar y detener los ataques o para responder con rapidez y eficacia. 4. Visibilidad / Reconocimiento: Asegrese de que los problemas sistmicos detectados en las pruebas de penetracin y ejercicios en equipo rojo estn completamente rastreados y mitigados. 5. Visibilidad / Reconocimiento: Mida qu tan bien la organizacin ha reducido los habilitadores importantes para los atacantes mediante la creacin de procesos automatizados para encontrar: - mensajes de correo electrnico en texto plano y documentos con "password" en el nombre del archivo o el cuerpo - Diagramas de red crticos almacenados en lnea y en texto claro - Los archivos de configuracin crticos almacenados en lnea y en texto claro - Documentos de evaluacin de la vulnerabilidad, informes de pruebas de penetracin, y la bsqueda de equipo rojo almacenados en lnea y en texto claro - Otras informaciones sensibles identificados por el personal de gestin como fundamentales para el funcionamiento de la empresa durante la definicin del alcance de una prueba de penetracin o ejercicio equipo rojo. 6. Visibilidad / Atribucin: Incluya la ingeniera social dentro de una prueba de penetracin. El elemento humano es a menudo el eslabn ms dbil de una organizacin y que los atacantes a menudo se dirigen. 7. Visibilidad / Atribucin: Plan de objetivos claros de la propia prueba de penetracin con ataques combinados en mente, la identificacin de la mquina objetivo o meta de activos. Muchos ataques de tipo APT despliegan mltiples vectores - a menudo la ingeniera social combinada con la web o de la explotacin de la red. Manual de equipo de Red o pruebas automatizadas que captura gir y ataques multi-vector ofrece una evaluacin ms realista de la situacin de seguridad y el riesgo para los activos crticos. 8. Configuracin / Higiene: uso de anlisis de vulnerabilidades y herramientas de pruebas de penetracin en concierto. Los resultados de las evaluaciones de escaneo de vulnerabilidades que deben ser utilizados como punto de partida para orientar y centrar los esfuerzos de pruebas de penetracin. 9. Avanzado: Idear un mtodo de puntuacin para determinar los resultados de los ejercicios en equipo rojo por lo que los resultados pueden ser comparados con el tiempo. 10. Avanzado: Crear un banco de pruebas que simula un entorno de produccin para pruebas de penetracin especficas y ataques del equipo rojo contra elementos que no se suelen probarse en la produccin, como los ataques contra el control de supervisin y adquisicin de datos y otros sistemas de control.

CA-2 (1, 2), CA-7 (1, 2), RA-3, RA-5 (4, 9), SA-12 (7)

Cada organizacin debe definir un mbito de aplicacin claro y las reglas de participacin para las pruebas de penetracin y anlisis del equipo rojo. El alcance de este tipo de proyectos debe incluir, como mnimo, los sistemas con mayor informacin sobre el valor de la organizacin y funcionalidad de procesamiento de la produccin. Otros sistemas de menor valor tambin pueden ser probados para ver si pueden ser utilizados como puntos de giro para comprometer los objetivos de alto valor. Las reglas de enfrentamiento para las pruebas de penetracin y anlisis del equipo rojo deben describir, como mnimo, las horas del da para la prueba, la duracin de las pruebas, y el enfoque global de la prueba.

Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando ejercicios en equipo y de penetracin rojas y cmo esos esfuerzos pueden ser valiosos para el personal de la empresa al identificar las vulnerabilidades que estn presentes en la organizacin. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: probadores de penetracin realizan pruebas de penetracin de los sistemas de produccin Paso 2: Automatizado herramientas pen-testing realizan pruebas de penetracin de los sistemas de produccin Paso 3: Las herramientas automatizadas pen-testing informan pruebas de penetracin de las vulnerabilidades descubiertas Paso 4: pruebas de penetracin realizan pruebas de penetracin ms amplios de sistemas del laboratorio de pruebas Paso 5: Los auditores evalan e inspeccionar el trabajo realizado por las herramientas de pluma de pruebas automatizadas Paso 6: Los auditores evalan e inspeccionar el trabajo realizado por los probadores de penetracin Paso 7: probadores de penetracin generar informes y estadsticas sobre las vulnerabilidades que se han descubierto.

Redes

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Redes

Încărcat de

Drepturi de autor:

Formate disponibile

Introduccin: Los controles crticos para la efectiva Ciber Defensa

El objetivo de los controles crticos

Por qu los controles funcionan tan bien: Metodologa y Colaboradores

Sobre la base de las lecciones aprendidas en el desarrollo de normas de seguridad ciberntica

Cmo las organizaciones estn aplicando los controles

Estructura del documento Controles Crticos

Descripcin de los Controles

Resumen y Plan de Accin

Crticos de Control 1: Inventario de Dispositivos autorizados y no autorizados

CM-8 (A, C, D, 2, 3, 4), PM-5, PM-6

Crticos de Control 2: Inventario de Software autorizados y no autorizados

Crticos de Control 3: configuraciones seguras para Hardware y Software

Crticos de Control 4: Evaluacin de la vulnerabilidad continua y Remediacin

RA-3 (A, B, C, D), la AR-5 (A, B, 1, 2, 5, 6)

Crticos de Control 5: Defensas de malware

SC-18, SC-26, IS-3 (A, B, 1, 2, 5, 6)

Crticos de Control 6: Aplicacin de Software de Seguridad

Crticos de Control 7: Control de dispositivos inalmbricos

Crticos de Control 8: Capacidad de Recuperacin de Datos

CP-9 (A, B, D, 1, 3), CP-10 (6)

AT-1, (1), AT-3 (1) de AT-2

CM-6 (A, B, D, 2, 3), CM-7 (1), SC-7 (4, 5, 11, 12)

El uso controlado de privilegios administrativos: Crticos de Control 12

AC-6 (2, 5), la CA-17 (3), la CA-19, AU-2 (4)

Crticos de Control 13: Lmites de Defensa

Crticos de Control 14: Mantenimiento, Monitoreo y Anlisis de Registros de auditora de la seguridad

Control de 15 Critical: Acceso controlado Basado en la necesidad de conocer

Crticos de Control 16: Monitoreo y Control de Cuenta

CA-2 (e, f, g, h, j, 2, 3, 4, 5), AC-3

Crticos de Control 17: Prevencin de Prdida de Datos

Crticos de Control 18: Capacidad de Respuesta a Incidentes

IR-1, IR-2 (1), IR-4, 5-IR, IR-6 (a), IR-8

Crticos de Control 19: Secure Network Engineering

Crticos de Control 20: Pruebas de Penetracin y Ejercicios Team Red

Apndice B: Tipos de Ataque

Ms directamente relacionados con el Control

Crticos de Control 1: Inventario de Dispositivos autorizados y no autorizados

Cmo atacantes se aprovechan de la ausencia de este control?

Cmo implementar, automatizar y medir la efectividad de este control

NIST Special Publication 800-53 Asociado, Revisin 3, Prioridad 1 Controles

Procedimientos y herramientas para implementar y automatizar este control

Control del sistema 1 Entidad Diagrama de relaciones:

Crticos de Control 2: Inventario de Software autorizados y no autorizados

Cmo atacantes se aprovechan de la ausencia de este control?

Cmo implementar, automatizar y medir la efectividad de este control

NIST Special Publication 800-53 Asociado, Revisin 3, Prioridad 1 Controles

Procedimientos y herramientas para implementar y automatizar este control

Sistema de Control de la Entidad 2 Diagrama de relaciones:

Cmo atacantes se aprovechan de la ausencia de este control?

Cmo implementar, automatizar y medir la efectividad de este control

NIST Special Publication 800-53 Asociado, Revisin 3, Prioridad 1 Controles

Procedimientos y herramientas para implementar y automatizar este control

Control del Sistema 3 Entidad Diagrama de relaciones:

Crticos de Control 4: Evaluacin de la vulnerabilidad continua y Remediacin

Cmo atacantes se aprovechan de la ausencia de este control?

Cmo implementar, automatizar y medir la efectividad de este control

NIST Special Publication 800-53 Asociado, Revisin 3, Prioridad 1 Controles

Procedimientos y herramientas para implementar y automatizar este control

Control del sistema de relaciones de entidad 4 Diagrama:

Crticos de Control 5: Defensas de malware

Cmo atacantes se aprovechan de la ausencia de este control?

Cmo implementar, automatizar y medir la efectividad de este control

NIST Special Publication 800-53 Asociado, Revisin 3, Prioridad 1 Controles

Procedimientos y herramientas para implementar y automatizar este control