Documente Academic
Documente Profesional
Documente Cultură
Para proteger contra los ataques cibernticos, las organizaciones deben defender vigorosamente sus redes y sistemas de una variedad de amenazas internas y externas. Ellos tambin deben estar preparados para detectar y frustrar las actividades de ataque de seguimiento en perjudiciales dentro de una red que ya ha sido comprometido. Dos principios rectores son: "La prevencin es lo ideal, pero la deteccin es una necesidad" y "ofensa informa de defensa."
Beneficio no anticipada
Cientos de organizaciones de las agencias nacionales de seguridad ciberntica a las medianas empresas han adoptado los controles crticos como su norma de 2 la diligencia debida, y algunos estn reportando beneficios ms all de la mejora de la seguridad. Con tantas organizaciones que piden los mismos controles, los compradores reportan que ms vendedores son compitiendo agresivamente por ofrecer precios ms bajos, sobre todo cuando los organismos gubernamentales se unen para comprar en volumen.
Decenas de los primeros usuarios de los controles crticos han compartido sus experiencias y las lecciones aprendidas con el Consorcio para la Seguridad Ciberntica Accin (CCA). Ha surgido un patrn de pasos comunes a muchas organizaciones que han logrado avances sustanciales en la reduccin del riesgo utilizando los controles crticos: Paso 1. Realizar evaluacin de las carencias inicial - la determinacin de lo que se ha implementado y donde sigue habiendo lagunas para cada control y subcontrol.
Paso 2. Desarrollar un plan de trabajo de implementacin - la seleccin de los controles especficos (y sub-controles) que se ejecutarn en cada fase, y la programacin de las fases basadas en consideraciones de riesgo empresarial. Paso 3. Implementar la Primera Fase de los controles - la identificacin de las herramientas existentes que pueden ser reutilizados o ms utilizaron en su totalidad, las nuevas herramientas para la adquisicin, los procesos para ser mejorados, y las habilidades que se desarrollarn a travs de la formacin. Paso 4. Integrar los controles en las operaciones - se centra en el seguimiento y la mitigacin continua y tejiendo nuevos procesos en las operaciones de adquisicin y de gestin de los sistemas estndar. Paso 5. Informe y gestionar los avances en contra de la Hoja de Ruta de Implementacin desarrollado en el Paso 2. A continuacin, repita los pasos 3-5 en la siguiente fase de la Hoja de Ruta. La CCA est elaborando caso se detalla estudia que pondr a disposicin para ayudar a las organizaciones a implementar cada uno de estos pasos.
- Ganancias rpidas que proporcionan la reduccin del riesgo slida y sin grandes cambios en los procedimientos, arquitectnicas o tcnicas a un entorno, o que proporcionar dicha reduccin del riesgo sustancial e inmediato de los ataques muy comunes que la mayora de los organismos de seguridad-consciente 3 priorizan estos controles clave. - Visibilidad y atribucin medidas para mejorar el proceso, la arquitectura y las capacidades tcnicas de las organizaciones para monitorear sus redes y sistemas informticos para detectar intentos de ataque, localizar los puntos de entrada, identificar mquinas ya comprometidos-, interrumpan actividades atacantes infiltrados ', y obtener informacin sobre las fuentes de un ataque. - Mejora de la configuracin de seguridad de la informacin y la higiene para reducir el nmero y la magnitud de las vulnerabilidades de seguridad y mejorar las operaciones de los sistemas informticos en red, con un enfoque en la proteccin contra las prcticas de seguridad pobres por los administradores de sistemas y usuarios finales que podran dar a un atacante una ventaja . - subcontroles avanzados que utilizan las nuevas tecnologas que proporcionan la mxima seguridad, pero son ms difciles de implementar o ms caro que las soluciones de seguridad de consumo general.
NIST Special Publication 800-53 Asociado controles y tareas de seguridad de red NSA correspondientes a cada Crticos de Control. Procedimientos y herramientas que permiten la implementacin y automatizacin. Mtricas y pruebas para evaluar el estado de aplicacin y eficacia. Diagramas de ejemplo de relacin de entidades que muestran los componentes de la aplicacin.
Plan de accin
Teniendo en cuenta que estos controles crticos seguimiento tan de cerca las amenazas y los ataques actuales, se recomienda que los CIO y CISO consideran varias medidas inmediatas para garantizar la eficacia de sus programas de seguridad:
1. 2. 3. 4. 5.
Llevar a cabo una evaluacin de las deficiencias de comparar actual postura de seguridad de la organizacin a las recomendaciones detalladas de los controles crticos Implementar el "First Five" y otros de "ganancia rpida" Controles Crticos para abordar las deficiencias identificadas por la evaluacin en los prximos uno o dos trimestres Asignar personal de seguridad para analizar y comprender cmo los controles crticos ms all de los triunfos rpidos se puede implementar en el entorno de la organizacin Elaborar planes detallados para poner en prctica la "visibilidad y atribucin" y "configuracin endurecido y la informacin mejora de la higiene de seguridad" controles crticos durante el prximo ao Planificar para el despliegue de los "controles avanzados" en el largo plazo.
Notas
1
La CCA est liderado por Tony Sager, el recientemente jubilado director de operaciones de la Agency s de Seguridad Nacio nal EE.UU. (NSA) Informacin Direccin de Aseguramiento que anteriormente dirigi el anlisis de vulnerabilidad y del Grupo de Operaciones de la NSA. 2 Segn ha informado el Consorcio para la Ciberseguridad Accin. 3 Five "victorias rpidas" delineados en los controles crticos 2, 3 y 4 (con un repetido en control 12) se destacan como el "First Five". Se estn llevando a cabo por primera vez por las organizaciones ms consciente de la seguridad y cualificados, ya que son el medio ms eficaz an se encuentran para detener la ola de ataques dirigidos que estn haciendo el mayor dao a muchas organizaciones. La cubierta de "Los Primeros Cinco" (1) de software listas blancas, (2) configuraciones estndar seguras, (3) de instalacin de parches de seguridad de aplicaciones en 48 horas, (4) de instalacin de parches de seguridad del sistema en 48 horas, y (5) que garantizan privilegios administrativos son No est activo durante la navegacin por la web o el manejo de correo electrnico. La mayora de las organizaciones a supervisar la cobertura y la eficacia de estos sub-controles a travs de supervisin continua y Mitigacin como se indica en crticos de control 4.
Apndice A: Correspondencia entre los controles crticos y el Instituto Nacional de Estndares y Tecnologa de la publicacin especial 800-53, Revisin 3, Prioridad 1 Artculos
Esta asignacin se refiere a los controles crticos que figuran en este documento para el Instituto Nacional de Estndares y Tecnologa (NIST) Publicacin Especial 800-53 Revisin 3. Por favor, tenga en cuenta que los controles del NIST pueden imponer requisitos adicionales ms all de los indicados expresamente en este documento.
Control
Referencias
CM-1, CM-2 (2, 4, 5), CM-3, CM-5 (2, 7), CM-7 (1, 2), CM-8 (1, 2, 3, 4, 6 ), CM9, PM-6, SA-6, SA-7
CM-1, CM-2 (1, 2), CM-3 (b, c, d, e, 2, 3), CM-5 (2), CM-6 (1, 2, 4), CM- 7 (1), SA-1 (a), SA-4 (5), SI-7 (3), PM-6
CM-7, AR-5 (A, 1), SA-3, SA-4 (3), SA-8, SI-3, SI-10
CA-17, CA-18 (1, 2, 3, 4), SC-9 (1), SC-24, IS-4 (14, 15)
Crticos de Control 9: Habilidades de Seguridad Evaluacin y formacin adecuadas para colmar las deficiencias de
Crticos de Control 10: configuraciones seguras para los dispositivos de red, tales como firewalls, routers y switches
CA-4 (7, 10, 11, 16), CM-1, CM-2 (1), CM-3 (2), CM-5 (1, 2, 5), CM-6 (4), CM -7 (1, 3), IA-2 (1, 6), IA-5, IA-8, RA-5, SC-7 (2, 4, 5, 6, 8, 11, 13, 14, 18 ), SC-9
Crticos de Control 11: Limitacin y Control de los puertos de red, protocolos y servicios
CA-17 (1), CA-20, CA-3, IA-2 (1, 2), IA-8, RA-5, SC-7 (1, 2, 3, 8, 10, 11, 14) , SC18, IS-4 (c, 1, 4, 5, 11), PM-7
AC-17 (1), AC-19, AU-2 (4), AU-3 (1,2), la UA-4, UA-5, AU-6 (a, 1, 5), la UA-8, AU-9 (1, 2), AU-12 (2), SI-4 (8)
AC-1, AC-2 (b, c), AC-3 (4), AC-4, AC-6, MP-3, RA-2 (a)
AC-4, MP-2 (2), MP-4 (1), SC-7 (6, 10), SC-9, SC-13, SC-28 (1), SI-4 (4, 11) , PM7
IR-4 (2), SA-8, SC-7 (1, 13), SC-20, SC-21, SC-22, PM-7,
CA-2 (1, 2), CA-7 (1, 2), RA-3, RA-5 (4, 9), SA-12 (7)
Resumen de ataque
Los atacantes escanean continuamente por nuevos sistemas, sin proteccin, incluyendo prueba o sistemas experimentales, y explotan este tipo de sistemas para obtener el control de ellos.
Los atacantes distribuir contenidos hostiles en los sitios web con acceso a Internet (y, a veces interno) que aprovechan el software de cliente sin parchear y fijado en forma incorrecta que se ejecuta en los equipos vctimas.
2, 3
Los atacantes escanean continuamente para el software vulnerable y se aprovechan de ella para obtener el control de los equipos de destino.
2, 4
Los atacantes utilizan actualmente mquinas infectadas o en peligro de identificar y explotar otras mquinas vulnerables a travs de una red interna.
2, 10
Los atacantes aprovechan las configuraciones predeterminadas dbiles de los sistemas que estn ms orientados a la facilidad de uso de la seguridad.
3, 10
Los atacantes explotar nuevas vulnerabilidades en los sistemas que carecen de parches crticos en las organizaciones que no saben que son vulnerables porque carecen de los estudios de vulnerabilidad continuas y remediacin efectiva.
4, 5
Los atacantes comprometen organizaciones destino que no ejerciten sus defensas para determinar y mejorar continuamente su eficacia.
4, 5, 11, 20
Los atacantes utilizan cdigos maliciosos para obtener y mantener el control de las mquinas de destino, la captura de los datos sensibles, y luego se extendi a otros sistemas, a veces empuando cdigo que desactiva o esquiva herramientas antivirus basados en firmas.
5, 15, 17
Los atacantes escanean para los servicios de acceso remoto a los sistemas de destino que a menudo son innecesarios para las actividades comerciales, pero proporcionan una va de ataque y el compromiso de la organizacin.
5, 10, 11
Los atacantes aprovechan el software de aplicacin dbil, particularmente en aplicaciones web, a travs de vectores de ataque, como la inyeccin SQL, cross-site scripting y herramientas similares.
6, 20
Los atacantes aprovechan los puntos de acceso inalmbricos para poder entrar en la red interna de una organizacin de destino, y explotar los sistemas inalmbricos de los clientes para robar informacin sensible.
Los atacantes explotan a los usuarios y administradores de sistemas a travs de estafas de ingeniera social que trabajan debido a la falta de habilidades y conciencia de seguridad.
9, 12, 16
Los atacantes explotan y se infiltran a travs de los dispositivos de red cuya configuracin de seguridad se ha debilitado con el tiempo mediante la concesin, para las necesidades del negocio a corto plazo especficos, excepciones temporales que supuestamente nunca se quitan.
10, 13
Los atacantes engaan a un usuario con una cuenta de nivel de administrador en la apertura de un estilo de phishing e-mail con un archivo adjunto o el surf al contenido del atacante en un sitio web, permitiendo que el cdigo
9, 12
malicioso del atacante o explotar para ejecutar en el equipo de la vctima con privilegios de administrador completos .
Los atacantes explotan sistemas de lmites en las redes DMZ con acceso a Internet, y despus de pivote para tener acceso ms profundo en redes internas.
13, 19
Los atacantes aprovechan las arquitecturas de red mal diseados mediante la localizacin de las conexiones que no sean necesarios o no protegidos, filtrado dbil, o una falta de separacin de los sistemas importantes y eventos de negocios.
13, 19
Los atacantes operan sin ser detectados durante largos perodos de tiempo en los sistemas en peligro debido a la falta de registro y de registro de revisin.
14
Los atacantes obtienen acceso a documentos sensibles en una organizacin que no identifica adecuadamente y proteger la informacin confidencial o la separan de la informacin no sensible.
15, 17
Los atacantes comprometer las cuentas de usuario inactivas dejados por trabajadores temporales, contratistas y ex empleados, incluyendo las cuentas dejadas por los propios atacantes que son ex-empleados.
16
Los atacantes se intensifican sus privilegios en los equipos vctimas mediante el lanzamiento de adivinacin de contraseas, descifrado de contraseas o exploits de escalada de privilegios para ganar el control del administrador
12, 16
de sistemas, que luego se utiliza para propagarse a otros equipos de las vctimas a travs de una empresa.
Los atacantes obtienen acceso a los sistemas internos de la empresa y se renen y exfiltrate informacin sensible sin ser detectados por la organizacin vctima.
17
Los atacantes pongan en peligro los sistemas y alterar los datos importantes, lo que podra poner en peligro la eficacia de la organizacin a travs de la informacin contaminada.
15, 17
Los atacantes operan sin descubrir en las organizaciones sin capacidades eficaces de respuesta a incidentes, y cuando se descubren los atacantes, las organizaciones a menudo no pueden contener adecuadamente el ataque, erradicar la presencia del atacante, o recuperar a un estado de produccin segura.
18
6.Configuration/Hygiene: Adems de un inventario de hardware, las organizaciones deben elaborar un inventario de los activos de informacin que identifica a su informacin crtica y los mapas de la informacin crtica de los activos de hardware (incluyendo servidores, estaciones de trabajo y ordenadores porttiles) en la que se ubica. Un departamento y persona responsable de cada activo de informacin deben ser identificados, registrados y rastreados. 7.Configuration/Hygiene: Implementar la autenticacin a nivel de red a travs de 802.1x para limitar y controlar qu dispositivos pueden conectarse a la red. El 802.1x debe ponerse en relacin con los datos de inventario para determinar autorizado comparacin con los sistemas no autorizados. 8.Configuration/Hygiene: Implementar el control de acceso a red (NAC) para monitorizar los sistemas autorizados por lo que si se producen ataques, el impacto puede ser remediada por el traslado del sistema que no se confa a una red de rea local virtual que tiene un acceso mnimo. 9.Configuration/Hygiene: Crear redes locales virtuales independientes de la zona (VLAN) para los sistemas de BYOD u otros dispositivos no son de confianza. 10.Advanced: Utilizar certificados de cliente para validar y autenticar los sistemas antes de conectarse a la red privada.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Hito 2: Mapa de la Red Hito 3: Arquitectura de red Network Access Protection / Control (NAP / NAC)
busca de las respuestas de ping para identificar un sistema en una direccin IP determinada. Debido a que algunos sistemas bloquean los paquetes de ping entrantes, adems de pings tradicionales, los escneres pueden tambin identificar los dispositivos de la red que utilizan el protocolo de control de transmisin (TCP) sincronizar (SYN) o reconocer (ACK) paquetes. Una vez que se han identificado las direcciones IP de los dispositivos de la red, algunos escneres de huellas dactilares proporcionan caractersticas robustas para determinar el tipo de sistema operativo de la mquina descubierto. Adems de herramientas de exploracin de activos que barren la red, otras herramientas de identificacin de activos escuchan pasivamente en interfaces de red en busca de dispositivos para anunciar su presencia mediante el envo de trfico. Tales herramientas pasivas se pueden conectar para cambiar puertos span en lugares crticos de la red para ver todos los datos que fluyen a travs de tales interruptores, la maximizacin de la posibilidad de los sistemas que se comunican a travs de los interruptores de identificacin. Los dispositivos inalmbricos y computadoras porttiles (con cable) pueden unirse a una red peridicamente y luego desaparecen, haciendo que el inventario de los sistemas disponibles en la actualidad churn significativamente. Del mismo modo, las mquinas virtuales pueden ser difciles de rastrear en los inventarios de activos cuando se cierran o se detuvieron. Adems, los equipos remotos que acceden a la red utilizando la tecnologa de red privada virtual (VPN) pueden aparecer en la red durante un tiempo, y luego se desconecta de ella. Ya sea fsico o virtual, cada equipo con una direccin IP debe ser incluido en el inventario de activos de una organizacin.
Control 1 Metric:
El sistema debe ser capaz de identificar los nuevos dispositivos no autorizados que estn conectados a la red dentro de las 24 horas, y de alertar o el envo de una notificacin por correo electrnico a una lista del personal administrativo de la empresa. El sistema debe aislar automticamente el sistema no autorizado de la red dentro de la hora de la alerta inicial y enviar una alerta o notificacin por correo electrnico de seguimiento cuando se consigue el aislamiento. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado del sistema hasta que el sistema no autorizada ha sido retirado de la red. La base de datos de inventario de activos y sistema de alerta que deben ser capaces de identificar la ubicacin, departamento, y otros detalles de dnde autorizados y no autorizados dispositivos estn conectados a la red. Mientras que las 24 horas y una hora plazos representan la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta y el aislamiento. Con herramientas automatizadas, notificacin sobre un activo no autorizado conectado a la red se puede enviar a los dos minutos y el aislamiento conseguidos dentro de los cinco minutos.
Control de 1 Prueba:
Para evaluar la aplicacin de control 1 en forma peridica, el equipo de evaluacin se conectar sistemas de prueba endurecidos a por lo menos 10 puntos de la red, incluyendo una seleccin de subredes asociadas a las zonas desmilitarizadas (DMZ), estaciones de trabajo y servidores. Dos de los sistemas deben ser incluidos en la base de datos de inventario de activos, mientras que los otros sistemas no lo son. El equipo de evaluacin debe entonces verificar que los sistemas generan una notificacin de alerta o de correo electrnico con respecto a los sistemas nuevos que se conectan dentro de 24 horas de las mquinas de prueba est conectado a la red. El equipo de evaluacin debe verificar que el sistema proporciona informacin sobre la ubicacin de todas las mquinas de prueba conectados a la red. Para esas mquinas de prueba incluidos en el inventario de activos, el equipo tambin debe verificar que el sistema proporciona informacin sobre el propietario de los activos.
El equipo de evaluacin debe entonces verificar que los sistemas de prueba se aslan automticamente de la red de produccin dentro de la hora de la notificacin inicial y que se ha producido un correo electrnico o una alerta que indica el aislamiento. El equipo debe entonces verificar que los sistemas de prueba conectados estn aislados de los sistemas de produccin, tratando de hacer ping y utilizar otros protocolos para acceder a los sistemas de la red de produccin y verificar que la conectividad no est permitido.
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los dispositivos de hardware en la red de la organizacin. Estos sistemas deben ser capaces de identificar si los
nuevos sistemas se introducen en el medio ambiente que no se han autorizado por personal de la empresa. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Escner Dispositivo activo explora los sistemas de red Paso 2: scanner dispositivo pasivo capta la informacin del sistema Paso 3: Activa los informes del escner a la base de datos del inventario Paso 4: Pasivo informes del escner a la base de datos del inventario Paso 5: base de datos de inventario en lnea almacenada Paso 6: base de datos de inventario se inicia el sistema de alerta Paso 7: Sistema de alerta notifica a los defensores de la seguridad Paso 8: Los defensores de seguridad del monitor y la base de datos del inventario segura Paso 9: Los defensores de la actualizacin de seguridad de base de datos del inventario segura Paso 10: control de acceso de red monitoriza continuamente la red Paso 11: verificaciones de control de acceso a la red y proporciona actualizaciones de la base de datos de inventario de activos.
software. Sin el conocimiento o control del software implementado en una organizacin adecuada, los defensores no pueden proteger adecuadamente sus activos. Sin la capacidad de inventario y de control que se instalan y se pueden ejecutar en sus equipos programas, las empresas hacen de sus sistemas ms vulnerables. Tales mquinas mal controlada tienen ms probabilidades de ser software que se ejecuta que es innecesario para fines comerciales, la introduccin de posibles fallos de seguridad, o correr el malware introducido por un atacante equipo despus de un sistema se vea comprometida. Una vez que una sola mquina se ha explotado, los atacantes a menudo lo utilizan como un punto de parada para la recogida de la informacin sensible desde el sistema comprometido y de otros sistemas conectados a la misma.Adems, las mquinas comprometidas se utilizan como punto de partida para el movimiento a lo largo de la red y las redes asociadas. De esta forma, los atacantes pueden convertir rpidamente en uno mquina comprometida en muchos. Las organizaciones que no cuentan con inventarios de software completas son incapaces de encontrar sistemas que ejecutan software vulnerable o maliciosa para mitigar los problemas o erradicar a los atacantes.
7. Configuracin / Higiene: el inventario de software y aplicaciones listas blancas tambin deben desplegarse en todos los dispositivos mviles que se utilizan en toda la organizacin. 8. Avanzado: Las mquinas virtuales y / o sistemas de aire con huecos deben ser utilizados para aislar y ejecutar aplicaciones que se requieren pero en base a un mayor riesgo y que no se debe instalar en un entorno de red. 9. Avanzado: configure las estaciones de trabajo con entornos operativos no persistentes, virtualizados que pueden rpida y fcilmente restaurados a una instantnea de confianza sobre una base peridica. 10. Avanzado: Implementar software que slo ofrece etiquetas de identificacin de software firmados. Una etiqueta de identificacin del software es un archivo XML que se instala junto con el software e identifica de forma nica el software, proporcionando datos para el inventario de software y gestin de activos.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Hito 7: Gestin de Lnea de Base Restricciones de contenido ejecutables
Control 2 Metric:
El sistema debe ser capaz de identificar el software no autorizado, ya sea mediante la deteccin de un intento de instalarlo o ejecutarlo, notificar al personal administrativo de la empresa dentro de las 24 horas a travs de un aviso o por correo electrnico. Los sistemas deben bloquear la instalacin, evitar la ejecucin, o poner en cuarentena el software no autorizado en una hora adicional, alertando o enviar correo electrnico cuando se produce esta accin. Cada 24 horas
despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado del sistema hasta que el sistema no autorizada ha sido retirado de la red. Mientras que las 24 horas y una hora plazos representan la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta y el aislamiento.
Control de 2 Prueba:
Para evaluar la aplicacin del Control 2 en forma peridica, el equipo de evaluacin debe mover un programa de pruebas de software benigno que no est incluido en la lista de software autorizado para 10 sistemas de la red. Dos de los sistemas deben ser incluidos en la base de datos de inventario de activos, mientras que los otros sistemas no necesitan ser incluidos. El equipo de evaluacin debe entonces verificar que los sistemas generan una notificacin de alerta o de correo electrnico sobre el nuevo software en 24 horas. El equipo tambin debe verificar que la alerta o el correo electrnico que se recibe en una hora adicional que indica que el software ha sido bloqueado o puesto en cuarentena. El equipo de evaluacin debe verificar que el sistema proporciona informacin sobre la ubicacin de cada mquina con este nuevo software de prueba, incluida la informacin sobre el propietario de los activos. El equipo de evaluacin debe entonces verificar que el software se bloquea al intentar ejecutarlo y verificar que el software no se puede ejecutar.
Un sistema de control es un dispositivo o conjunto de dispositivos para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando el software instalado en los sistemas de red de la organizacin. Estos sistemas deben ser capaces de identificar si el nuevo software se introduce en el medio ambiente que no ha sido autorizada por el personal de la empresa. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Escner Dispositivo activo Paso 2: Activo informes del escner a la base de datos del inventario Paso 3: base de datos de inventario se compara con el valor inicial del inventario Paso 4: base de datos de Inventario iniciados del sistema de alerta Paso 5: Alerta sistema notifica los defensores de la seguridad Paso 6: Los defensores de seguridad del monitor y la base de datos del inventario segura Paso 7: Base de datos de inventario de software de seguridad defensores actualizacin
Paso 8: Herramienta Blanco listado supervisa continuamente todos los sistemas de la red Paso 9: cheques listas blancas y hace cambios a la base de datos de inventario de software. Notas
4
La "primera de cinco" triunfos rpidos son los que estn siendo implementados por primera vez por las organizaciones ms consciente de la seguridad y cualificados, ya que son el medio ms eficaz an se encuentran para detener la ola de ataques dirigidos que estn haciendo el mayor dao a muchas organizaciones.
Crticos de Control 3: configuraciones seguras para Hardware y Software en dispositivos mviles, ordenadores porttiles, estaciones de trabajo y Servidores
20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y herramientas organizaciones utilizan para realizar un seguimiento / control / evitar / debilidades de seguridad correctas en la configuracin del hardware y el software de los dispositivos mviles, ordenadores porttiles, estaciones de trabajo y servidores basados en una gestin de la configuracin formal y cambiar el proceso de control.
10. Configuracin / Higiene: Utilizar la integridad del archivo herramientas de comprobacin, por lo menos una vez por semana para asegurarse de que los archivos crticos del sistema (incluyendo sistema sensible y ejecutables de aplicaciones, bibliotecas y configuraciones) no han sido alterados. Todas las modificaciones de este tipo de archivos deben ser reportadas automticamente al personal de seguridad. El sistema de informacin debe tener la capacidad de dar cuenta de los cambios de rutina y los esperados, destacando las alteraciones inusuales o inesperados. 11. Configuracin / Higiene: Implementar y poner a prueba un sistema de monitoreo de configuracin automtica que mide todos los elementos de configuracin segura que pueden ser medidos a travs de pruebas a distancia, el uso de caractersticas como las que se incluye con las herramientas compatibles con Content Security Automation Protocol (SCAP) para reunir informacin sobre la vulnerabilidad de configuracin. Estas pruebas automatizadas deben analizar tanto los cambios de hardware y software, los cambios de configuracin de la red, y cualesquiera otras modificaciones que afectan a la seguridad del sistema. 12. Configuracin / Higiene: Implementar herramientas de gestin de configuracin del sistema, como los objetos de Active Directory de directiva de grupo para los sistemas Microsoft Windows o de marionetas para los sistemas Unix que harn cumplir de forma automtica y redistribuir los valores de configuracin de los sistemas, a intervalos regulares. 13. Avanzado: Adoptar una infraestructura de gestin de procesos y formal de control de la configuracin de los dispositivos mviles. El proceso debe incluir la limpieza segura remoto de dispositivos perdidos o robados, la aprobacin de las aplicaciones corporativas, y la negacin de las aplicaciones no autorizadas. Si el dispositivo es propiedad de la organizacin, un completo limpie deben realizarse. Si se trata de un sistema de BYOD, un selectivo de barrido debe realizarse, la eliminacin de informacin de la organizacin.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Hito 7: Gestin de Lnea de Base Gestin de la Configuracin y Cambio
Control 3 Metric:
El sistema debe ser capaz de identificar cualquier cambio a una imagen oficial endurecida que puede incluir modificaciones a los archivos de claves, los servicios, los puertos, los archivos de configuracin o de cualquier software instalado en el sistema. Las modificaciones incluyen la supresin, cambios o adiciones de un
nuevo software a cualquier parte de los sistemas operativos, servicios o aplicaciones que se ejecutan en el sistema. La configuracin de cada sistema debe ser contrastada con la base de datos de imagen mster oficial para verificar cualquier cambio para asegurar configuraciones que podran afectar la seguridad. Cualquiera de estos cambios en un sistema informtico debe ser detectado dentro de las 24 horas y notificacin realizados por alertar o el envo de mensajes de correo electrnico a una lista del personal administrativo de la empresa. Los sistemas deben bloquear la instalacin, evitar la ejecucin, o poner en cuarentena el software no autorizado en una hora adicional, alertando o enviar correo electrnico cuando se produce esta accin. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado del sistema hasta que el sistema no autorizada ha sido retirado de la red o remedi. Mientras que las 24 horas y una hora plazos representan la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta y el aislamiento.
Control de 3 Prueba:
Para evaluar la aplicacin del control 3 de forma peridica, un equipo de evaluacin debe moverse un sistema de prueba benigna que no contiene la imagen endurecido oficial, pero eso no contener servicios adicionales, puertos y cambios en los archivos de configuracin, en la red. Esto se debe realizar en 10 segmentos al azar diferentes que utilizan los sistemas reales o virtuales. El equipo de evaluacin debe entonces verificar que los sistemas generan una alerta en relacin con los cambios en el software en 24 horas. Es importante que el equipo de evaluacin verifica que se han detectado todos los cambios no autorizados. El equipo tambin debe verificar que la alerta o el correo electrnico que se recibe en una hora adicional que indica que el software ha sido bloqueado o puesto en cuarentena. El equipo de evaluacin debe verificar que el sistema proporciona informacin sobre la ubicacin de cada mquina con los cambios no autorizados, incluyendo informacin sobre el propietario de los activos. El equipo de evaluacin debe entonces verificar que el software se bloquea al intentar ejecutarlo y verificar que no se le permite correr.Adems de estas pruebas, dos pruebas adicionales deben ser realizadas: 1. La integridad del archivo herramientas de comprobacin se debe ejecutar en una base regular. Cualquier cambio en el sistema operativo crtico, servicios y archivos de configuracin deben ser revisados sobre una base horaria. Cualquier cambio debe ser bloqueado y siguen el proceso de notificacin anterior. 2. Herramientas de exploracin del sistema que comprueban la versin del software, los niveles de parches, y los archivos de configuracin se deben ejecutar en una base diaria. Cualquier cambio debe ser bloqueado y siguen el proceso de notificacin por correo electrnico anterior.
Los procesos y las herramientas que se utilizan para detectar / prevenir / corregir vulnerabilidades de seguridad en las configuraciones de los dispositivos que se enumeran y aprobados en la base de datos de inventario de activos.
4. Ganancias rpidas: suscribirse a los servicios de inteligencia de vulnerabilidad a fin de mantenerse al tanto de los riesgos emergentes, y el uso de la informacin obtenida de esta suscripcin para actualizar las actividades de anlisis de vulnerabilidades de la organizacin, por lo menos una vez al mes. Alternativamente, asegrese de que las herramientas de anlisis de vulnerabilidades que utiliza se actualizan regularmente con todas las vulnerabilidades de seguridad importantes pertinentes. 5. Visibilidad / Reconocimiento: Implementar herramientas de gestin de parches automatizados y herramientas de actualizacin de software para el sistema operativo y software / aplicaciones en todos los sistemas para los que este tipo de herramientas disponibles y consideradas seguras. Los parches deben ser aplicados a todos los sistemas, incluso los sistemas que se encuentran adecuadamente con huecos de aire. 6. Visibilidad / Atribucin: Controle cuidadosamente los registros asociados con cualquier actividad de anlisis y las cuentas de administrador asociado para garantizar que todas las actividades de exploracin y de acceso asociado a travs de la cuenta privilegiada se limita a los plazos de las exploraciones legtimos. 7. Configuracin / Higiene: Adems de la realizacin de anlisis de vulnerabilidades no autenticado, asegrese de que todos los anlisis de vulnerabilidades se lleva a cabo en un modo autenticado ya sea con agentes que se ejecutan localmente en cada sistema final para analizar la configuracin de seguridad o con escneres remotos que se dan permisos de administrador en el sistema se est probando . 8. Configuracin / Higiene: Comparar los resultados de los anlisis de vulnerabilidad-back-to-back para verificar que las vulnerabilidades se trataron ya sea mediante parches, la implementacin de un control de compensacin, o de la documentacin y la aceptacin de un riesgo razonable de negocios. Tal aceptacin de los riesgos de negocio para las vulnerabilidades existentes debe ser revisado peridicamente para determinar si los controles de compensacin nuevos o parches posteriores pueden abordar las vulnerabilidades que fueron aceptadas con anterioridad, o si las condiciones han cambiado, lo que aumenta el riesgo. 9. Configuracin / Higiene: herramientas de escaneo de vulnerabilidades Tune para comparar los servicios que estn escuchando en cada equipo con una lista de servicios autorizados. Las herramientas deben ajustarse adems para identificar cambios en el tiempo en los sistemas, tanto para los servicios autorizados y no autorizados. 10. Configuracin / Higiene: Mida el retraso en parchear vulnerabilidades nuevas y asegrese de que el retraso es igual o inferior a los valores de referencia establecidos por la organizacin. Contramedidas alternativos se debe considerar si los parches no estn disponibles. 11. Configuracin / Higiene: Evaluar los parches crticos en un entorno de prueba antes de empujar en produccin de sistemas de la empresa. Si dichos parches rompen aplicaciones crticas de negocio en las mquinas de prueba, la organizacin debe elaborar otros controles atenuantes que bloquean la explotacin en sistemas donde el parche no se puede implementar, debido a su impacto en la funcionalidad del negocio. 12. Configuracin / Higiene: Atender las vulnerabilidades ms perjudiciales primero. Dar prioridad a los activos vulnerables en base a ambos los riesgos del negocio y tcnicas especficos de la organizacin. Un ranking de vulnerabilidad o corporativa a nivel de toda la industria puede ser insuficiente para dar prioridad a que los activos especficos para abordar en primer lugar. Una ejecucin por fases se puede utilizar para minimizar el impacto en la organizacin.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Hito 6: Administracin de revisiones
Control 4 Metric:
Todas las mquinas identificadas por el sistema de inventario de activos asociados a crticos de control 1 se deben escanear en busca de vulnerabilidades. Adems, si el escner de vulnerabilidad identifica los dispositivos no incluidos en el inventario de activos, debe alertar o enviar un correo electrnico al personal administrativo de la empresa dentro de las 24 horas. El sistema debe ser capaz de alertar al personal administrativo o de correo electrnico de la empresa dentro de una hora de anlisis de vulnerabilidades automatizados semanales o diarios completarse. Si una exploracin no se puede completar con
xito, el sistema debe alertar o enviar un correo electrnico al personal administrativo dentro de la hora que indica que el anlisis no se ha completado correctamente. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado de las exploraciones no completadas, hasta que se reanude la exploracin normal. Las herramientas automatizadas de gestin de parches deben alertar o enviar un correo electrnico al personal administrativo dentro de las 24 horas de la instalacin correcta de los nuevos parches. Mientras que las 24 horas y una hora plazos representan la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deberan esforzarse por alerta an ms rpida, con notificacin sobre un activo no autorizado conectado a la red o un anlisis de vulnerabilidades incompleta enviado a los dos minutos.
Control 4 de la prueba:
Para evaluar la aplicacin de control 4 en forma peridica, el equipo evaluador debe verificar que el escaneo herramientas han completado con xito sus exploraciones semanales o diarios de los 30 ciclos anteriores de la exploracin mediante la revisin de las alertas y los informes archivados para asegurarse de que se complet la exploracin. Si un anlisis no se pudo completar en ese perodo de tiempo, el equipo de evaluacin debe verificar que se gener una alerta o e-mail indicando que la exploracin no termin.
Un sistema de control es un dispositivo o conjunto de dispositivos para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, los escneres de vulnerabilidad, sistema de gestin, sistemas de gestin de parches, y lneas de base de configuracin, todos trabajan juntos para abordar la gestin de la vulnerabilidad de la organizacin y la estrategia de remediacin.La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Servicio de inteligencia de vulnerabilidad provee insumos para escner de vulnerabilidades Paso 2: Los scanners de vulnerabilidades examinar sistemas de produccin Paso 3: Informe de scanners de vulnerabilidades detecta vulnerabilidades de un sistema de gestin de vulnerabilidad (VMS) Paso 4: El VMS compara los sistemas de produccin de las lneas de base de configuracin Paso 5: El VMS enva informacin al registro del sistema de correlacin de gestin Paso 6: El VMS produce informes de gestin Paso 7: Un sistema de gestin de parches aplica actualizaciones de software para los sistemas de produccin. Notas
6
La "primera de cinco" triunfos rpidos son los que estn siendo implementados por primera vez por las organizaciones ms consciente de la seguridad y cualificados, ya que son el medio ms eficaz an se encuentran para detener la ola de ataques dirigidos que estn haciendo el mayor dao a muchas organizaciones.
Un sistema de control es un dispositivo o conjunto de dispositivos para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los dispositivos, el software y las entidades que se utilizan para gestionar y aplicar las opciones de configuracin coherentes para estaciones de trabajo, porttiles y servidores de la red. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Asegurado imgenes de sistemas aplicados a los sistemas informticos Paso 2: Asegurado imgenes del sistema almacenadas en forma segura Paso 3: Sistema de Gestin de la configuracin valida e imgenes del sistema cheques Paso 4: sistema de aplicacin de la poltica de configuracin explora activamente los sistemas de produccin de errores de configuracin o desviaciones de las lneas de base Paso 5: Los sistemas de evaluacin de integridad de archivos binarios monitorean crticos del sistema y los conjuntos de datos Paso 6: Blanco herramienta lista supervisa configuraciones y software de sistemas Paso 7: Escner de configuracin SCAP valida las configuraciones Paso 8: Sistema de evaluacin de la integridad del archivo enva desviaciones de sistema de alerta Paso 9: Herramienta Blanco listado enva desviaciones al sistema de alertas Paso 10: configuracin del escner SCAP enva desviaciones al sistema de alertas Paso 11 y 12: Informes de gestin de estado de configuracin de documentos. Notas
5
La "primera de cinco" triunfos rpidos son los que estn siendo implementados por primera vez por las organizaciones ms consciente de la seguridad y cualificados, ya que son el medio ms eficaz an se encuentran para detener la ola de ataques dirigidos que estn haciendo el mayor dao a muchas organizaciones.
desactivar las herramientas anti-virus que se ejecutan en el sistema de destino. Anti-virus y anti-spyware, denominados colectivamente como herramientas antimalware, ayudar a combatir estas amenazas, tratando de detectar el malware y bloquear su ejecucin.
13. Avanzado: Implementar un proceso de respuesta a incidentes que permite la organizacin de soporte de TI para suministrar el equipo de seguridad con muestras de malware ejecutndose sin ser detectado en los sistemas corporativos. Las muestras deben ser proporcionados a la empresa de seguridad para la creacin de la firma "fuera de banda" y se despliegan a la empresa por los administradores del sistema. 14. Avanzado: Utilizar herramientas de anlisis de flujo basados en la red para analizar el trfico entrante y saliente en busca de anomalas, indicadores de malware, y los sistemas comprometidos. 15. Avanzado: Implementar las "tecnologas basadas en la reputacin" en todos los dispositivos de punto final para cubrir la brecha de las tecnologas basadas en firmas. 16. Avanzado: Habilitar sistema de nombres de dominio (DNS) el registro de consultas para detectar operaciones de bsqueda el nombre de host de dominios C2 maliciosos conocidos. 17. Avanzado: Aplicar la tecnologa de proxy para todas las comunicaciones entre la red interna e Internet.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Detectores de Virus y Host Sistemas de Prevencin de Intrusos (HIPS) Electronic Device Personal de Gestin (PED) Network Access Protection / Control (NAP / NAC) Security Gateways, proxies y firewalls Monitoreo de Seguridad de Red
Control 5 Metric:
El sistema deber identificar cualquier software malicioso que se instala, trat de ser instalado, se ejecuta, o tratado de ser ejecutado en un sistema informtico dentro de una hora, alertas o el envo de una notificacin por correo electrnico a una lista de personal de la empresa a travs de su anti-malware centralizado consola o sistema de registro de eventos. Los sistemas deben bloquear la instalacin, evitar la ejecucin, o poner en cuarentena el software malicioso dentro de una hora, alertas o enviar correo electrnico cuando se produce esta accin. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado de los cdigos maliciosos, hasta el momento en que la amenaza ha sido completamente mitigado en ese sistema. Si bien el plazo de una hora representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse para la deteccin ms rpida y aislamiento malware.
Control de 5 Prueba:
Para evaluar la aplicacin de control 5 en forma peridica, el equipo de evaluacin debe mover un programa de pruebas de software benigno que parece ser el malware (como un archivo EICAR o herramientas de hackers benignos), pero que no est incluido en la lista oficial de software autorizado , a 10 sistemas en la red a travs de un recurso compartido de red. La seleccin de estos sistemas debe ser tan al azar como sea posible e incluir una muestra representativa de los sistemas y las ubicaciones de la organizacin. El equipo de evaluacin debe entonces verificar que los sistemas generan una notificacin de alerta o e-mail en cuanto el malware benigna en una hora. El equipo tambin debe verificar que la alerta o correo electrnico indicando que el software ha sido bloqueado o puesto en cuarentena que se recibe en una hora. El equipo de evaluacin debe verificar que el sistema proporciona informacin sobre la ubicacin de cada mquina con este nuevo archivo de prueba, incluida la informacin sobre el propietario de los activos. El equipo debe entonces verificar que el archivo est bloqueado por intentar ejecutar o abrirlo y comprobar que no est permitido el acceso. Una vez que esta prueba se ha realizado la transferencia de los archivos a los sistemas de organizacin a travs de medios extrables, la misma prueba debe repetirse, pero esta vez de transferir el malware benigna de 10 sistemas a travs de correo electrnico en lugar. La organizacin tiene que esperar los mismos resultados de notificacin como se ha sealado con la prueba de medios extrables.
Un sistema de control es un dispositivo o conjunto de dispositivos para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los sistemas anti-malware y vectores de amenazas tales como los medios extrables. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Los sistemas de anti-malware analizan los sistemas de produccin y medios extrables Paso 2: Se analiza medios extrables cuando se conectan a los sistemas de produccin Paso 3: Los dispositivos de proxy de correo electrnico / web y de red analizar todo el trfico entrante y saliente Paso 4: Los monitores de control de acceso de red de todos los sistemas conectados a la red Paso 5: Los sistemas de monitoreo de intrusiones / network realizar un seguimiento continuo en busca de signos de malware.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Hito 3: Arquitectura de red Hito 7: Gestin de Lnea de Base
Control de 6 Metric:
El sistema debe ser capaz de detectar y bloquear un ataque de software a nivel de aplicacin, y debe generar una alerta o enviar un correo electrnico al personal administrativo de la empresa dentro de las 24 horas de la deteccin y el bloqueo. Todas las aplicaciones web con acceso a Internet deben ser escaneados de forma semanal o diaria, alertando o enviando un correo electrnico al personal administrativo dentro de las 24 horas de completar un anlisis. Si una exploracin no se puede completar con xito, el sistema debe alertar o enviar un correo electrnico al personal administrativo dentro de la hora que indica que la exploracin no ha tenido xito. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado de las exploraciones no completadas, hasta que se reanude la exploracin normal. Adems, todas las vulnerabilidades de alto riesgo en las aplicaciones web accesibles desde Internet identificados por scanners de vulnerabilidades de aplicaciones web, herramientas de anlisis esttico, y la base de datos de herramientas automatizadas de revisin de configuracin deben ser mitigados (ya sea por la fijacin de la falla o la aplicacin de un control de compensacin) en un plazo de 15 das de descubrimiento de la falla. Mientras que las 24 horas y una hora plazos representan la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deberan esforzarse por alerta an ms rpida, con notificacin sobre un intento de ataque solicitud enviada en dos minutos
Control de 6 Prueba:
Para evaluar la aplicacin de control de 6 en forma mensual, un equipo de evaluacin debe utilizar un escner de vulnerabilidades de aplicaciones web para poner a prueba para cada tipo de defecto identificado en la lista actualizada de los "25 errores de programacin ms peligrosos" por MITRE y el Instituto SANS . El escner debe estar configurado para evaluar todas las aplicaciones web con acceso a Internet de la organizacin para identificar este tipo de errores. El equipo de evaluacin debe verificar que la exploracin se detecta dentro de las 24 horas y que se genera una alerta. Adems del escner de vulnerabilidades de aplicaciones web, el equipo de evaluacin tambin debe ejecutar herramientas de anlisis de cdigo esttico y herramientas de revisin de configuracin de base contra las aplicaciones con acceso a Internet para identificar las fallas de seguridad en una base mensual. El equipo de evaluacin debe verificar que todas las vulnerabilidades de alto riesgo identificados por las herramientas automatizadas de anlisis de vulnerabilidades y herramientas de anlisis de cdigo esttico han sido remediadas o dirigida a travs de un control de compensacin (como un firewall de aplicaciones web) dentro de los 15 das de descubrimiento.
El equipo de evaluacin debe verificar que las herramientas de anlisis de vulnerabilidades de aplicaciones han completado con xito sus exploraciones peridicas de los 30 ciclos anteriores de la exploracin mediante la revisin de las alertas y los informes archivados para asegurarse de que se complet la exploracin. Si una exploracin no se complet con xito, el sistema debe alertar o enviar un correo electrnico al personal administrativo de la empresa que indican lo que pas. Si un anlisis no se pudo completar en ese perodo de tiempo, el equipo de evaluacin debe verificar que se gener una alerta o e-mail indicando que la exploracin no termin.
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando el proceso de aplicaciones de monitoreo y el uso de herramientas que hacen cumplir un estilo de la seguridad en el desarrollo de aplicaciones.
La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: firewalls de aplicaciones Web protegen las conexiones a aplicaciones web internas Paso 2: Aplicaciones de software conectarse de forma segura a los sistemas de bases de datos Paso 3: anlisis de cdigo y herramientas de escaneo de vulnerabilidades examinar sistemas de aplicacin y sistemas de bases de datos.
4. Visibilidad / Atribucin: Utilice los sistemas inalmbricos de deteccin de intrusos (WIDS) para identificar los dispositivos inalmbricos del granuja y detectar intentos de ataque y compromisos exitosos. Adems de WIDS, todo el trfico inalmbrico debe ser supervisada por WIDS ya que el trfico pasa a la red cableada. 5. Visibilidad / Atribucin: Use 802.1x para controlar qu dispositivos pueden conectarse a la red inalmbrica. 6. Visibilidad / Atribucin: Realizar una inspeccin del lugar para determinar qu reas dentro de la organizacin necesitan cobertura.Despus de que los puntos de acceso inalmbricos estn ubicados estratgicamente, la intensidad de la seal debe ser sintonizado para minimizar la fuga a las reas que no necesitan cobertura. 7. Configuracin / Higiene: Cuando se identifique una necesidad de negocio especfica para el acceso inalmbrico, configurar el acceso inalmbrico en los equipos cliente para permitir el acceso slo a las redes inalmbricas autorizadas. 8. Configuracin / Higiene: Para los dispositivos que no tengan un objetivo comercial inalmbrico esencial, deshabilite el acceso inalmbrico en la configuracin del hardware (sistema de entrada / salida bsico o interfaz de firmware extensible), con protecciones de contrasea para disminuir la posibilidad de que el usuario anular dichas configuraciones. 9. Configuracin / Higiene: Asegrese de que todo el trfico inalmbrico aprovecha al menos encriptacin Advanced Encryption Standard (AES) que se utiliza por lo menos con Wi-Fi Protected Access 2 (WPA2) proteccin. 10. Configuracin / Higiene: Asegrese de que las redes inalmbricas utilizan protocolos de autenticacin como el Extensible Authentication Protocol-Transport Layer Security (EAP / TLS), que proporciona una proteccin de credenciales y la autenticacin mutua. 11. Configuracin / Higiene: Asegrese de que los clientes inalmbricos utilizan, credenciales de autenticacin de factores mltiples fuertes para mitigar el riesgo de acceso no autorizado de credenciales comprometidas. 12. Configuracin / Higiene: las capacidades de red Deshabilitar peer-to-peer inalmbricos de los clientes inalmbricos, a menos que dicha funcionalidad responde a una necesidad de negocio documentado. 13. Configuracin / Higiene: Deshabilitar el acceso perifrico inalmbrico de dispositivos (como Bluetooth), a menos que se requiera tal acceso para una necesidad de negocio documentado. 14. Configuracin / Higiene: Nunca permita que los puntos de acceso inalmbrico para conectar directamente a la red privada. Ellos tampoco deben colocarse detrs de un firewall o poner en una VLAN separada, de modo que todo el trfico pueda ser examinado y se filtra. 15. Configuracin / Higiene: Registrar a todos los dispositivos mviles, incluidos los dispositivos de personal, antes de conectarse a la red inalmbrica. Todos los dispositivos registrados deben ser escaneados y siguen la poltica de la empresa para el endurecimiento de acogida y gestin de la configuracin. 16. Avanzado: configure todos los clientes inalmbricos se usan para acceder a redes privadas o manipular datos de la organizacin de tal manera que no pueden ser usados para conectarse a redes inalmbricas pblicas o cualquier otra red ms all de los permitidos expresamente por la organizacin.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Seguridad de acceso remoto
Control de 7 Metric:
El sistema debe ser capaz de identificar los dispositivos o configuraciones inalmbricas no autorizadas cuando estn dentro del alcance de los sistemas de la organizacin o conectados a sus redes. El sistema debe ser capaz de identificar los nuevos dispositivos inalmbricos no autorizados que se asocian o se unen a la red dentro de una hora, alertas o el envo de una notificacin por correo electrnico a una lista del personal de la empresa. El sistema debe aislar automticamente un punto de acceso inalmbrico conectado de la red dentro de una hora y alerta o enviar una notificacin por correo electrnico cuando se consigue el aislamiento. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado del sistema hasta que haya sido retirado de la red. La base de datos de inventario de activos y sistema de alerta deben ser capaces de identificar la ubicacin, departamento, y otros detalles de dnde autorizados y los dispositivos inalmbricos no autorizados estn conectados a la red. Mientras que las 24 horas y una hora plazos representan la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deberan esforzarse por alerta an ms rpido y el aislamiento, con la notificacin de un dispositivos inalmbricos no autorizados enviados a los dos minutos y el aislamiento dentro de los cinco minutos.
Control de 7 Prueba:
Para evaluar la aplicacin del control 7 de forma peridica, el equipo de evaluacin debe configurar 10 clientes inalmbricos no autorizados, pero endurecidos y puntos de acceso inalmbrico a la red de la organizacin y tratar de conectarlos a sus redes inalmbricas.En el caso de los puntos de acceso inalmbricos, estos puntos de acceso no deben estar conectados directamente a la red de confianza de la organizacin. En lugar de ello, simplemente se deben configurar para que acte como una pasarela inalmbrica sin necesidad de conectarse fsicamente a una interfaz de red cableada. En el caso de la exploracin de puntos de acceso inalmbricos de una interfaz con cable, el punto de acceso conectado debe tener la radio inalmbrica deshabilitada para la duracin de la prueba. Estos sistemas deben ser configurados para probar cada uno de los siguientes escenarios: Un cliente inalmbrico con identificador de conjunto de servicio no autorizado configurado en l. Un cliente inalmbrico con el cifrado incorrecto configurado. Un cliente inalmbrico con autenticacin irregular configurado. Un punto de acceso inalmbrico con el cifrado incorrecto configurado. Un punto de acceso inalmbrico con autenticacin irregular configurado.
Un punto de acceso inalmbrico completamente pcaro que use una configuracin no autorizados. Cuando cualquiera de los sistemas mencionados anteriormente-intenta conectarse a la red inalmbrica, una alerta se debe generar y personal de la empresa debe responder a las alertas de aislar el dispositivo detectado o eliminar el dispositivo de la red.
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando la configuracin y la gestin de los dispositivos inalmbricos, IDS inalmbricas / escneres, sistemas de gestin de dispositivos inalmbricos y escneres de vulnerabilidad. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Configuraciones endurecidos aplican a los dispositivos inalmbricos Paso 2: Configuraciones templados sujetos a un sistema de gestin de configuracin Paso 3: Sistema de Gestin de la configuracin gestiona las configuraciones de los dispositivos inalmbricos Paso 4: IDS inalmbrico monitorizar el uso de las comunicaciones inalmbricas Paso 5: Los scanners de vulnerabilidades escanear los dispositivos inalmbricos para posibles vulnerabilidades Paso 6: Los clientes inalmbricos utilizan sistemas de infraestructura inalmbrica de una manera segura.
componentes de un sistema no tienen que ser incluidos en el mismo archivo de copia de seguridad o utilizar el mismo software de copia de seguridad. Todas las polticas de copia de seguridad deben cumplir con todos los requisitos reglamentarios u oficiales. 2. Ganancias rpidas: Los datos sobre los medios de copia de seguridad de forma regular mediante la realizacin de un proceso de restauracin de datos para asegurarse de que la copia de seguridad est funcionando correctamente. 3. Triunfos rpidos: Tren personales clave tanto en los procesos de copia de seguridad y restauracin. Para estar preparado en caso de que ocurra un incidente grave, el personal de alternativas tambin deben ser capacitados sobre el proceso de restauracin por si acaso el punto de contacto principal de TI no est disponible. 4. Configuracin / Higiene: Asegrese de que las copias de seguridad se protegen adecuadamente a travs de la seguridad fsica o el cifrado cuando se almacenan, as como cuando se mueven a travs de la red. Esto incluye copias de seguridad remotas y servicios en la nube. 5. Configuracin / Higiene: medios de copia de seguridad de la tienda, tales como discos duros y cintas, en fsicamente seguro, instalaciones cerradas. Fin de la vida til media de respaldo deben ser borrados con seguridad / destruidos.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Estrategia de respaldo
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando la capacidad de una organizacin para restaurar los sistemas en caso de que los datos necesitan ser restaurados a causa de una prdida de datos o incumplimiento de un sistema.Mientras que las copias de seguridad son sin duda una parte importante de este proceso, la capacidad de restaurar los datos es el componente crtico. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: los sistemas de negocio de produccin de copia de seguridad de forma regular a los sistemas de copia de seguridad de la organizacin autorizada Paso 2: Las copias de seguridad creadas se almacenan fuera de lnea en instalaciones de almacenamiento seguras.
Crticos de Control 9: Habilidades de Seguridad Evaluacin y formacin adecuadas para colmar las deficiencias de
20 Controles de seguridad crtica | Directrices control anteriorsiguiente control El proceso y las herramientas para asegurarse de que una organizacin entiende las brechas de habilidades tcnicas a su fuerza de trabajo, incluyendo un plan integrado para llenar los vacos a travs de polticas, la formacin y la sensibilizacin. Nota: Este control tiene una o ms sub-controles que deben ser validados manualmente .
5. En menor medida, los propietarios de sistemas se prueban cuando se les pide que inviertan en seguridad ciberntica, pero no son conscientes del efecto devastador de un compromiso y exfiltracin de datos o alteracin tendran en su misin. Una conciencia de seguridad en constante actualizacin y el programa de educacin para todos los usuarios es importante, pero no va a dejar de atacantes decididos. Adversarios ms decididos sern detenidos por la aplicacin efectiva de los otros controles crticos, pero algunos se deslicen a travs de fisuras en el programa de seguridad. Empleados calificados son esenciales para la aplicacin y seguimiento de los controles, para encontrar aquellos atacantes que consiguen a travs de las defensas, y para los sistemas que son mucho ms difciles de explotar en desarrollo. Los puestos de trabajo de seguridad de misin crtica ms importantes para la mayora de las organizaciones, identificados por el Grupo de Trabajo sobre las capacidades cibernticas que establezca el Secretario de Seguridad Nacional de 2012 son los siguientes: (1) el sistema y la red de penetracin probadores, (2) pruebas de penetracin de aplicaciones, (3) monitoreo de eventos de seguridad y analistas, (4) que respondieron incidentes en profundidad, (5) los analistas de inteligencia analistas de amenazas / contador, (6) los ingenieros de evaluacin de riesgos, (7) forenses avanzados analistas, (8) codificadores seguras y revisores de cdigo , (9) los ingenieros de seguridad - las 7 operaciones, y (10) ingenieros de seguridad / arquitectos que construyen la seguridad pulg Estas tareas son tan misin fundamental que las organizaciones que no se ejecutan con eficacia a menudo sufren graves consecuencias, incluyendo el robo de datos crticos, la corrupcin de la informacin confidencial, los grandes interrupciones del sistema, y, cada vez, la destruccin real de los sistemas, para cualquier organizacin con alto valor sistemas y la informacin, el desarrollo de habilidades efectivas en estas 10 reas de trabajo son un paso esencial para garantizar que las personas adecuadas con las habilidades correctas estn en su lugar. La capacitacin tambin est estrechamente vinculada a la poltica y la toma de conciencia. Polticas decirle a la gente qu hacer, formacin les proporciona las habilidades para hacerlo, y la conciencia cambia los comportamientos para que las personas siguen la poltica. La capacitacin debe ser mapeada contra las habilidades necesarias para realizar un trabajo determinado. Si, despus de la capacitacin, los usuarios todava no estn siguiendo la poltica, que la poltica debe ser aumentado con esfuerzos cada vez mayores para que los usuarios conozcan y lo entiendo.
5. Configuracin / Higiene: evaluaciones de habilidades de uso de seguridad para cada una de las habilidades de misin crtica para identificar las carencias de cualificaciones. Utilice prctica, ejemplos del mundo real para medir el dominio. Si usted no tiene este tipo de evaluaciones, utilice uno de los concursos disponibles en lnea que simulan situaciones del mundo real para cada uno de los puestos de trabajo identificados con el fin de medir el dominio habilidades.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Formacin
El Grupo de Trabajo sobre las capacidades cibernticas informe est disponible en http://www.dhs.gov/homeland-security-advisory-council-hsac # 3 .
Crticos de Control 10: configuraciones seguras para los dispositivos de red, tales como firewalls, routers y switches
20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y las herramientas que se utilizan para realizar un seguimiento / control / prevenir / corregir las debilidades de seguridad en las configuraciones de los dispositivos de red, tales como firewalls, routers y switches basados en gestin de la configuracin formal y cambian los procesos de control.
buscan agujeros electrnicos en firewalls, routers y switches y las usar para penetrar las defensas. Los atacantes han aprovechado las fallas en estos dispositivos de la red para tener acceso a las redes de destino, redirigir el trfico en una red (para un sistema malicioso enmascarado como un sistema de confianza), y la interseccin y alterar la informacin, mientras que en la transmisin. A travs de estas acciones, el atacante obtiene acceso a los datos sensibles, altera la informacin importante, o incluso utiliza una mquina comprometida para hacerse pasar por otro sistema de confianza en la red.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Hito 7: Gestin de Lnea de Base Gestin de la Configuracin y Cambio
Control de 10 Metric:
El sistema debe ser capaz de identificar los cambios en los dispositivos de red, incluyendo routers, switches, firewalls e IDS y sistemas de IPS. Estos cambios incluyen modificaciones a los archivos de claves, los servicios, los puertos, los archivos de configuracin o de cualquier software instalado en el dispositivo. Las modificaciones incluyen supresiones, modificaciones o adiciones de un nuevo software a cualquier parte de la configuracin del dispositivo. La configuracin de cada sistema debe ser contrastada con la base de datos de imagen mster oficial para verificar cualquier cambio para asegurar configuraciones que podran afectar la seguridad. Esto incluye tanto el sistema operativo y los archivos de configuracin. Cualquiera de estos cambios en un dispositivo debe ser detectado dentro de las 24 horas y notificacin realizados por alertar o el envo de una notificacin por correo electrnico a una lista del personal de la empresa. Si es posible, los dispositivos deben evitar cambios en el sistema y enviar una alerta que indica que el cambio no se ha realizado correctamente. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar e-mail sobre el estado del sistema hasta que se investiga y / o remediado.
Control de 10 Prueba:
Para evaluar la aplicacin del control 10 de forma peridica, un equipo de evaluacin debe hacer un cambio para cada tipo de dispositivo de red conectado a la red. Como mnimo, los routers, switches y servidores de seguridad tienen que ser probados. Si existen, IPS, IDS, y otros dispositivos de la red deben ser incluidos. Las copias de seguridad se deben realizar antes de hacer cualquier cambio a los dispositivos de red crticos. Es fundamental que los cambios no afectan o debilitan la seguridad del dispositivo. Cambios aceptables incluyen pero no se limitan a hacer un comentario o la adicin de una entrada duplicada en la configuracin. El cambio debe ser realizado dos veces para cada dispositivo crtico. El equipo de evaluacin debe entonces verificar que los sistemas generan una notificacin de alerta o de correo electrnico con respecto a los cambios en el dispositivo en 24 horas. Es importante que el equipo de evaluacin verifica que todos los cambios no autorizados se han detectado y han dado lugar a una notificacin de alerta o e-mail. El equipo de evaluacin debe verificar que el sistema proporciona informacin sobre la ubicacin de cada dispositivo, incluyendo informacin sobre el propietario de los activos. Si bien el plazo de 24 horas representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta y el aislamiento, con la notificacin sobre los cambios de configuracin no autorizados en los dispositivos de red enviados dentro de dos minutos. En su caso, una prueba adicional debe realizarse sobre una base diaria para asegurarse de que otros protocolos como IPv6 correctamente se estn filtrando.
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los dispositivos de red, dispositivos de red de laboratorio de pruebas, sistemas de configuracin, y dispositivos de gestin de configuracin. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: configuracin de los dispositivos endurecidos aplica a los dispositivos de produccin
Paso 2: configuracin de dispositivos endurecido almacenada en un sistema de gestin de la configuracin segura Paso 3: Sistema de Gestin de red valida las configuraciones de los dispositivos de la red de produccin Paso 4: Sistema de gestin de parches aplica actualizaciones de software probadas para los dispositivos de red de produccin Paso 5: El sistema de autenticacin de dos factores necesarios para el acceso administrativo a los dispositivos de produccin Paso 6: Los sistemas de monitoreo de proxy / firewall / red de analizar todas las conexiones a dispositivos de red de produccin.
Crticos de Control 11: Limitacin y Control de los puertos de red, protocolos y servicios
20 Controles de seguridad crtica | Directrices control anteriorsiguiente control Los procesos y las herramientas que se utilizan para realizar un seguimiento / control / prevenir / uso correcto de los puertos, protocolos y servicios en los dispositivos conectados en red.
5. Visibilidad / Atribucin: Verifique cualquier servidor que es visible desde Internet o desde una red insegura, y si no se necesite con fines comerciales, moverlo a una VLAN interna y darle una direccin privada. 6. Configuracin / Higiene: Revisin trimestralmente los servicios necesarios para el uso del negocio a travs de la red interna a travs de un grupo de control de cambios. Las unidades de negocio deben rejustify el uso comercial. Servicios que se encienden para proyectos o compromisos limitados deben estar apagados cuando ya no son necesarios y debidamente documentados. 7. Configuracin / Higiene: Operar los servicios crticos en las mquinas host fsicos o lgicos separados, tales como DNS, archivo, correo electrnico, Web y servidores de bases de datos. 8. Avanzado: firewalls Place de aplicaciones en frente de los servidores crticos para verificar y validar el trfico hacia el servidor. Cualquier servicio o el trfico no autorizados deben ser bloqueadas y se genere una alerta.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Hito 3: Arquitectura de red Security Gateways, proxies y firewalls
Control de 11 Metric:
El sistema debe ser capaz de identificar los nuevos puertos de red de escucha no autorizados que estn conectados a la red en 24 horas, o el envo de alertas de notificacin de correo electrnico a una lista del personal de la empresa. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado del sistema hasta el puerto de red de escucha ha sido deshabilitado o ha sido autorizado por la gestin del cambio. La base de datos de lnea de base de servicios del sistema y el sistema de alerta deben ser capaces de identificar la ubicacin, departamento, y otros detalles sobre el sistema en el que los puertos de red autorizadas y no autorizadas estn ejecutando. Si bien el plazo de 24 horas representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta.
De control 11 de la prueba:
Para evaluar la aplicacin de control 11 en forma peridica, el equipo de evaluacin debe instalar los servicios de prueba endurecidos con los oyentes de la red en 10 puntos de la red, incluyendo una seleccin de subredes asociadas con DMZ, estaciones de trabajo y servidores. La seleccin de estos sistemas debe ser tan al azar como sea posible e incluir una muestra representativa de los sistemas y las ubicaciones de la organizacin. El equipo de evaluacin debe entonces verificar que los sistemas generan una notificacin de alerta o e-mail sobre los servicios recin instalados dentro de las 24 horas de los servicios que se estn instalados en la red. El equipo debe verificar que el sistema proporciona detalles de la ubicacin de todos los sistemas en los que se han instalado los servicios de prueba.
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando cmo los sistemas de exploracin activas reunir informacin sobre los dispositivos de red y evaluar los datos en contra de la base de datos de lnea de base de servicio autorizado. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Activo escner analiza los sistemas de produccin para los puertos no autorizados, protocolos y servicios Paso 2: las lneas de base del sistema peridicamente actualizan con base en los servicios necesarios requeridos / Paso 3: valida escner activo que puertos, protocolos y servicios estn bloqueados o permitidos por el cortafuegos de aplicacin Paso 4: escner activo valida los puertos, protocolos y servicios sean accesibles en los sistemas empresariales protegidos con firewalls basados en host.
Los procesos y las herramientas que se utilizan para realizar un seguimiento / control / prevenir / corregir el uso, cesin, y la configuracin de privilegios de administrador en los ordenadores, las redes y las aplicaciones.
RunAs en Windows, y otras instalaciones similares para otros tipos de sistemas. Los usuarios podran utilizar sus propias cuentas administrativas y de introducir una contrasea cada vez que es diferente que su cuenta de usuario. 14. Configuracin / Higiene: Si los servicios se subcontratan a terceros, incluir un texto en los contratos para garantizar que se protegen adecuadamente y controlar el acceso administrativo. Debe validarse que no estn compartiendo contraseas y tienen la responsabilidad de mantener los administradores responsables de sus actos.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Hito 5: El acceso del Usuario Hito 7: Gestin de Lnea de Base
Control de 12 Metric:
El sistema debe estar configurado para cumplir con las directivas de contrasea al menos tan severas como las que se describen en los controles anteriores. Adems, el personal de seguridad deben ser notificados a travs de un aviso o por correo electrnico dentro de las 24 horas de la adicin de una cuenta a un grupo de super-usuario, como un administrador de dominio. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado de privilegios de administrador hasta que el cambio no autorizado se ha corregido o autorizado a travs de un proceso de gestin del cambio. Mientras que los marcos de tiempo de 24 horas representan la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta.
Control de 12 Prueba:
Para evaluar la aplicacin del control 12 de forma peridica, un equipo de evaluacin debe verificar que la poltica de contraseas de la organizacin se hace cumplir mediante la creacin de una cuenta de prueba privilegio limitado temporal, de lesionados el 10 sistemas diferentes y luego intentar cambiar la contrasea en la cuenta de un valor que no cumple con la directiva de contraseas de la organizacin. La seleccin de estos sistemas debe ser tan al azar como sea posible e incluir una muestra representativa de los sistemas y las ubicaciones de la organizacin. Despus de la terminacin de la prueba, esta cuenta debe ser eliminado. Por otra parte, el equipo de evaluacin debe agregar una cuenta de prueba con discapacidad temporal a un grupo de super-usuario (como un grupo de administradores de dominio) para verificar que una alerta o correo electrnico se genera dentro de las 24 horas. Despus de esta prueba, la cuenta debe ser eliminado del grupo y desactivado. Por ltimo, en forma peridica, el equipo de evaluacin debe ejecutar una secuencia de comandos que determina qu programas cliente de explorador y correo electrnico se estn ejecutando en una muestra de 10 sistemas de prueba, entre ellos cinco clientes y cinco servidores. Cualquier navegadores o software de cliente de correo que se ejecute con privilegios de administrador de Windows o Linux / Unix UID 0 privilegios deben ser identificados.
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los componentes de la cuenta de usuario de aprovisionamiento y la autenticacin de usuarios. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Los sistemas de produccin utilizan los sistemas de autenticacin adecuados Paso 2: cuentas de usuario estndar y administrativas empleen sistemas de autenticacin adecuados Paso 3: cuentas de usuario estndar y administrativas manejadas adecuadamente por medio de la pertenencia a grupos Paso 4: El acceso administrativo a los sistemas correctamente conectado a travs de sistemas de gestin de registros Paso 5: sistema de evaluacin Contrasea valida la fuerza de los sistemas de autenticacin. Notas
8
El "cinco primeros" logros rpidos son los que estn siendo implementados por primera vez por las organizaciones ms consciente de la seguridad y cualificados, ya que son el medio ms eficaz an se encuentran para detener la ola de ataques dirigidos que estn haciendo el mayor dao a muchas organizaciones.
Los procesos y las herramientas que se utilizan para detectar / evitar / corregir el flujo de informacin la transferencia de redes de diferentes niveles de confianza con un enfoque en la seguridad de los datos que daan.
Cabe sealar que las lneas de frontera entre las redes internas y externas estn disminuyendo como resultado del aumento de la interconectividad dentro y entre las organizaciones, as como el rpido aumento en el despliegue de las tecnologas inalmbricas. Estas lneas borrosas veces permiten que los atacantes tener acceso al interior de las redes sin pasar por los sistemas de lmites. Sin embargo, incluso con este desdibujamiento de las fronteras, los despliegues de seguridad eficaces todava se basan en las defensas de frontera configurados cuidadosamente que las redes separadas con diferentes niveles de amenaza, grupos de usuarios, y los niveles de control. Y a pesar de la confusin de las redes internas y externas, las defensas de varias capas eficaces de las redes perimetrales ayudan a reducir el nmero de ataques con xito, lo que permite al personal de seguridad se centran en los atacantes que han ideado mtodos para eludir las restricciones fronterizas.
8. Configuracin / Higiene: Todos los dispositivos de registro de forma remota a la red interna deben ser gestionados por la empresa, con el control remoto de su configuracin, los niveles de software instalado, y el parche. 9. Configuracin / Higiene: Peridicamente escanear para conexiones de canal de retorno a la Internet que no utilizan el DMZ, incluidas las conexiones de VPN no autorizados y los host de base dual conectados a la red de la empresa y de otras redes de forma inalmbrica, mdem de acceso telefnico, u otros mecanismos. 10. Configuracin / Higiene: Para limitar el acceso de una informacin privilegiada o de propagacin de malware en una red interna, disear esquemas de segmentacin de red internos para limitar el trfico slo a los servicios necesarios para el uso del negocio a travs de la red interna de la organizacin. 11. Configuracin / Higiene: Desarrollar planes para su despliegue rpido filtros en redes internas para ayudar a detener la propagacin de malware o un intruso. 12. Avanzado: Para reducir al mnimo el impacto de un pivote atacante entre sistemas comprometidos, slo permiten que los sistemas DMZ para comunicarse con los sistemas de la red privada a travs de servidores proxy de aplicacin o cortafuegos de aplicacin-consciente a travs de canales aprobados 13. Avanzado: Para ayudar a identificar los canales secretos exfiltrating datos a travs de un cortafuegos, configure el mecanismos integrados de seguimiento de sesin de servidor de seguridad incluidas en muchos firewalls comerciales para identificar las sesiones TCP que duran un tiempo inusualmente largo para la organizacin y el firewall del dispositivo dado, alertar al personal acerca de la fuente y las direcciones de destino asociados a estas sesiones largas. 14. Avanzado: coleccin Deploy NetFlow y el anlisis de la red DMZ flujos para detectar actividad anmala.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Hito 3: Arquitectura de red Security Gateways, proxies y firewalls Seguridad de acceso remoto Monitoreo de Seguridad de Red
Adems, los analizadores de paquetes se deben desplegar en DMZ para buscar trfico de Protocolo de transferencia de hipertexto (HTTP) que no pasa por los servidores proxy HTTP. Mediante el muestreo de trfico regular, como durante un perodo de tres horas una vez a la semana, el personal de seguridad de la informacin se pueden buscar para el trfico HTTP que no se haya originado por ni destinado a un proxy DMZ, lo que implica que el requisito de que el uso del proxy se omite. Identificar las conexiones de canal de retorno que omiten DMZ aprobados, el personal de seguridad de red pueden establecer un sistema de Internet accesible para su uso como un receptor para probar el acceso de salida. Este sistema est configurado con un analizador de paquetes libre o comercial. Luego, el personal de seguridad puede conectarse un sistema de prueba que enva a varios puntos de la red interna de la organizacin, el envo de trfico fcilmente identificable para el receptor olfateando en Internet. Estos paquetes se pueden generar utilizando herramientas gratuitas o comerciales con una carga til que contiene un archivo personalizado que se utiliza para la prueba. Cuando los paquetes llegan en el sistema receptor, la direccin de origen de los paquetes debe ser verificada contra direcciones DMZ aceptables permitidas para la organizacin. Si se descubren las direcciones de origen que no estn incluidos en la DMZ, registrados legtimos, ms detalle puede ser recogida mediante el uso de una herramienta traceroute para determinar la ruta que toman los paquetes desde el emisor al sistema receptor.
Control de 13 Metric:
El sistema debe ser capaz de identificar los paquetes no autorizados enviados dentro o fuera de una zona de confianza y asegurarse de que los paquetes se alerta de activacin adecuadamente bloqueados y / o. Cualquier paquete no autorizados deben ser detectados en las 24 horas, con el sistema de generacin de una alerta o e-mail para el personal administrativo de la empresa. Alertas deben enviarse a cada hora a partir de entonces hasta que se vuelve a configurar el dispositivo de lmite. Si bien el plazo de 24 horas representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta.
Control de 13 Prueba:
Para evaluar la aplicacin del control 13 de forma peridica, un equipo de evaluacin debe probar los dispositivos de lmite mediante el envo de paquetes desde fuera de cualquier red de confianza para asegurar que los paquetes slo las personas autorizadas se les permite a travs de la frontera. Todos los dems paquetes se deben eliminar. Adems, los paquetes no autorizados deben ser enviados desde una red de confianza a una red insegura para asegurarse de filtrado de salida est funcionando correctamente. El equipo de evaluacin debe entonces verificar que los sistemas generan una notificacin de alerta o de correo electrnico con respecto a los paquetes no autorizados dentro de 24 horas. Es importante que el equipo de evaluacin compruebe que todos los paquetes no autorizados se han detectado. El equipo de evaluacin tambin debe verificar que la alerta o el correo electrnico que indica que el trfico no autorizado est siendo bloqueado se recibe en una hora. El equipo de evaluacin debe verificar que el sistema proporciona informacin sobre la ubicacin de cada mquina con este nuevo software de prueba, incluida la informacin sobre el propietario de los activos. Tambin es importante que el equipo de evaluacin de pruebas para asegurarse de que el dispositivo no en un estado donde no se transmita el trfico cuando se rompe o se inunda.
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los dispositivos de frontera de la red y los sistemas de apoyo, tales como servidores de autenticacin, sistemas de autenticacin de dos factores, sistemas de monitorizacin de red y dispositivos de proxy de red. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: configuracin de los dispositivos endurecidos aplica a los dispositivos de produccin Paso 2: sistemas de autenticacin de dos factores necesarios para el acceso administrativo a los dispositivos de produccin Paso 3: los dispositivos de red de produccin envan eventos al sistema de gestin y correlacin de log Paso 4: Sistema de monitorizacin de red analiza el trfico de red Paso 5: Sistema de monitorizacin de red enva eventos al iniciar el sistema de gestin y correlacin Paso 6: salida trfico pasa a travs y es examinado por los dispositivos de proxy de red Paso 7: Sistemas de red analizados en busca de debilidades potenciales.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Seguridad de acceso remoto Administracin de registros
Control de 14 Metric:
El sistema debe ser capaz de registrar todos los eventos a travs de la red. El registro debe ser validado a travs de ambos sistemas y basada en host basados en la red. Cualquier evento debe generar una entrada de registro que incluya una fecha, fecha y hora, la direccin de origen, direccin de destino, y otros detalles sobre el paquete. Cualquier actividad que se realiza en la red debe estar conectado inmediatamente a todos los dispositivos a lo largo de la ruta crtica. Cuando un dispositivo detecta que no es capaz de generar logs (debido a una cada del servidor de registro o cualquier otro problema), debe generar una alerta o e-mail para el personal administrativo de la empresa dentro de las 24 horas. Si bien el plazo de 24 horas representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta.
Control de 14 Prueba:
Para evaluar la aplicacin del control 14 de forma peridica, un equipo de evaluacin debe revisar los registros de seguridad de diversos dispositivos de red, servidores y hosts. Como mnimo los siguientes dispositivos se deben probar: dos routers, dos cortafuegos, dos interruptores, 10 servidores y 10 sistemas de clientes. El equipo de prueba debe utilizar las herramientas de generacin de trfico para enviar paquetes a travs de los sistemas bajo anlisis para verificar que
el trfico se registra. Este anlisis se realiza mediante la creacin, eventos benignos controlados y determinar si la informacin se registra correctamente en los registros de los datos fundamentales, incluida una fecha, fecha y hora, la direccin de origen, direccin de destino, y otros detalles sobre el paquete. El equipo de evaluacin debe verificar que el sistema genera registros de auditora y, si no, una alerta o aviso por correo electrnico con respecto a la explotacin forestal no deben ser enviados en 24 horas. Es importante que el equipo verifique que toda la actividad que se ha detectado.El equipo de evaluacin debe verificar que el sistema proporciona informacin sobre la ubicacin de cada mquina, incluyendo informacin sobre el propietario de los activos.
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los registros de auditora, el sistema de base de datos de registro central, el sistema de hora del centro, y registrar los analistas. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global.
Paso 1: Los sistemas de produccin generan logs y los envan a un sistema de base de datos de registro de gestin centralizada Paso 2: Sistemas de produccin y registro del sistema de base de datos extrae sincronizar la hora con los sistemas de gestin del tiempo el centro Paso 3: Registros analizados por un sistema de anlisis de registros Paso 4: Entrar analistas examinan los datos generados por el sistema de anlisis de registros.
5. Avanzado: Uso de prevencin de prdida de datos basada en host (DLP) para hacer cumplir las ACL, incluso cuando los datos se copian de un servidor. En la mayora de las organizaciones, el acceso a los datos se controla mediante las ACL que se implementan en el servidor. Una vez que los datos se han copiado en un sistema de escritorio, las ACL ya no son forzadas y los usuarios pueden enviar los datos a quien quieran.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Hito 3: Arquitectura de red
Control de 15 Metric:
El sistema debe ser capaz de detectar todos los intentos de los usuarios para acceder a los archivos en los sistemas locales o archivos compartidos en la red accesible sin los privilegios adecuados, y debe generar una alerta o e-mail para el personal administrativo dentro de las 24 horas. Si bien el plazo de 24 horas representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta.
Control de 15 Prueba:
Para evaluar la aplicacin de control 15 en forma peridica, el equipo de evaluacin debe crear dos cuentas de prueba, cada uno de 10 sistemas de representacin en la empresa: cinco mquinas servidor y cinco sistemas cliente. Para cada sistema evaluado, una cuenta debe tener privilegios limitados,
mientras que el otro debe tener privilegios necesarios para crear archivos en los sistemas. El equipo de evaluacin debe a continuacin, compruebe que la cuenta sin privilegios no puede acceder a los archivos creados por la otra cuenta en el sistema. El equipo tambin debe verificar que una alerta o correo electrnico se genera sobre la base del acceso fallido intento de un plazo de 24 horas. Al trmino de la prueba, estas cuentas deben ser removidos.
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, el sistema de clasificacin de datos y el permiso de lnea de base es el modelo de cmo se controla la autenticacin y el acceso de datos. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Un sistema de clasificacin de datos apropiada y permisos de referencia aplicada a los sistemas de datos de produccin Paso 2: El acceso conectado adecuadamente a un sistema de administracin de registros Paso 3: El control adecuado de acceso aplicada a unidades de media / USB porttiles Paso 4: escner activo valida, comprueba el acceso, y los datos de los cheques clasificacin Paso 5: encriptacin basada en host y valida y verifica todas las peticiones de acceso de prevencin de prdida de datos.
6. Triunfos rpidos: uso de la cuenta del monitor para determinar las cuentas inactivas que no han sido utilizados durante un perodo determinado, por ejemplo, de 45 das, notificando al usuario o administrador del usuario de la dormancia. Despus de un perodo ms largo, por ejemplo, de 60 das, la cuenta debe ser desactivada. 7. Triunfos rpidos: Cuando una cuenta inactiva est deshabilitado, los archivos asociados con esa cuenta debe ser encriptada y se mudaron a un servidor de archivos de forma segura para su anlisis por el personal de seguridad o de gestin. 8. Ganancias rpidas: Exigir que todas las cuentas que no es administrador tienen contraseas seguras que contienen letras, nmeros y caracteres especiales, cambiarse por lo menos cada 90 das, tener una edad mnima de un da, y no se les permite usar las 15 contraseas anteriores como un nuevo contrasea. Estos valores se pueden ajustar en base a las necesidades especficas del negocio de la organizacin. 9. Ganancias rpidas: Use y configurar los bloqueos de cuentas de tal manera que despus de un nmero determinado de intentos fallidos de inicio de sesin de la cuenta est bloqueada por un perodo de tiempo estndar. 10. Visibilidad / Reconocimiento: De forma peridica, como trimestral o por lo menos anualmente, requieren que los administradores se ajustan a los empleados activos y contratistas con cada cuenta perteneciente a su personal administrado. Seguridad o los administradores de sistemas deben entonces desactivar cuentas que no estn asignados a los empleados en activo o contratistas. 11. Visibilidad / Atribucin: Supervisar los intentos de acceso a travs de las cuentas desactivadas registro de auditora. 12. Configuracin / Higiene: Perfil tpico uso de la cuenta de cada usuario, determinando el acceso normal de hora del da y la duracin de acceso. Los informes diarios se deben generar, que indican a los usuarios que han iniciado sesin en durante horas inusuales o han excedido su duracin normal de inicio de sesin en un 150 por ciento. Esto incluye el abanderamiento de la utilizacin de las credenciales del usuario desde un equipo distinto equipos en los que el usuario generalmente trabaja.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Hito 5: El acceso del Usuario
regularidad. Los usuarios tambin deben ser registrados fuera del sistema despus de un perodo de inactividad para reducir al mnimo la posibilidad de que un atacante utilizando su sistema para extraer informacin de la organizacin.
Control de 16 Metric:
El sistema debe ser capaz de identificar las cuentas de usuario no autorizados cuando existen en el sistema. Una lista automatizada de cuentas de usuario en el sistema se debe crear cada 24 horas y una alerta o e-mail deber ser enviado al personal administrativo dentro de la hora de finalizacin de una lista que se est creando. Si bien el plazo de una hora representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta.
Control de 16 Prueba:
Para evaluar la aplicacin de control 16 en forma peridica, el equipo evaluador debe verificar que la lista de cuentas de cierre patronal, cuentas deshabilitadas, las cuentas con contraseas que superen la duracin mxima de contrasea, y cuentas con contraseas que no caducan con xito se ha completado sobre una base diaria durante los ltimos 30 das, revisando las alertas y los informes archivados para garantizar que las listas se terminaron. Adems, la comparacin de un valor basal de cuentas permitidas debe ser comparado con las cuentas que estn activas en todos los sistemas. El informe de todas las diferencias debe ser creado sobre la base de esta comparacin.
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando las cuentas de usuario y la forma en que interactan con los sistemas de datos y los sistemas de gestin de registros. Otro componente clave de estos sistemas son los informes generados por la gestin de cuentas de usuario. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. Tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Las cuentas de usuario se gestionan correctamente en los sistemas de produccin Paso 2: Las cuentas de usuario se asignan permisos adecuados para conjuntos de datos de produccin Paso 3: acceso a la cuenta del usuario se registra al iniciar el sistema de gestin Paso 4: Los sistemas de gestin de registros generan las cuentas de usuario y de acceso a los informes de gestin Paso 5: Cuenta de la informacin de referencia se enva al registro del sistema de gestin Paso 6: La informacin crtica est debidamente protegida y codificada para cada cuenta de usuario.
atencin y la inversin de asegurar la red a los sistemas dentro de la red de sujecin, y para asegurar los datos en s. Controles de DLP se basan en la poltica, e incluyen la clasificacin de los datos sensibles, el descubrimiento de que los datos en toda la empresa, la aplicacin de controles, y la presentacin de informes y auditora para asegurar el cumplimiento de las polticas.
Control de 17 Metric:
El sistema debe ser capaz de identificar los datos no autorizados abandonar la organizacin, ya sea a travs de transferencias de archivos de red o medios extrables. Dentro de una hora de un evento de la exfiltracin de datos o intento, el personal administrativo de la empresa deben ser alertados por el sistema de control adecuado. Una vez que la alerta se ha generado tambin debe observar el sistema y la ubicacin donde se produjo el hecho o el intento. Si el sistema se encuentra en la base de datos de gestin de activos de la organizacin, el dueo del sistema tambin debe ser incluido en las alertas generadas. Cada 24 horas despus de ese punto, el sistema debe alertar o enviar un correo electrnico sobre el estado de los sistemas hasta que la fuente del evento ha sido identificado y el riesgo mitigado. Si bien el plazo de una hora representa la mtrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las organizaciones futuras deben esforzarse an ms rpido de alerta.
Control de 17 Prueba:
Para evaluar la aplicacin de control 17 en forma peridica, el equipo de evaluacin debe intentar mover los conjuntos de datos de prueba que activan los sistemas DLP pero que no contienen datos confidenciales fuera del entorno de computacin de confianza a travs de dos transferencias de archivos de red y medios extrables. Cada una de las siguientes pruebas se deben realizar al menos tres veces: Intente transferir grandes conjuntos de datos a travs de fronteras de red desde un sistema interno. Intente transferir conjuntos de datos de prueba de la informacin de identificacin personal (que los sistemas DLP de activacin pero no contienen datos sensibles) a travs de fronteras de red desde un sistema interno (utilizando varias palabras clave especficas para el negocio). Intento de mantener una conexin de red permanente durante al menos 10 horas a travs de las fronteras de la red entre un sistema interno y externo, a pesar de que pocos datos se pueden intercambiar. Intente mantener una conexin de red entre redes utilizando un nmero de puerto de servicio anmala entre un sistema interno y externo. Inserte un token USB en un sistema de organizacin y tratar de transferir datos ejemplo de prueba para el dispositivo USB. Cada una de estas pruebas se deben realizar a partir de mltiples sistemas, ampliamente distribuidos en la red de la organizacin con el fin de comprobar la eficacia de los sistemas de monitoreo. Una vez que cada uno de estos eventos se ha producido, el tiempo que toma para el personal de la empresa para responder al evento debe ser registrada.
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando el flujo de informacin dentro y fuera de la organizacin, en un intento de limitar la posible prdida de datos a travs de la red o de las fuentes de medios extrables. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto
para cumplir con el objetivo de negocio definidos en este control. Tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: Sistema de cifrado de datos garantiza que los discos duros adecuados se cifran Paso 2: el trfico de red sensible encriptada Paso 3: Conexiones de datos monitorizados en el permetro de la red por los sistemas de monitoreo Paso 4: Se guarda los datos escaneados para identificar donde se almacena la informacin sensible Paso 5: Desconectado medios cifrados.
4. Ganancias rpidas: Elaborar normas en toda la organizacin para el tiempo requerido para que los administradores de sistemas y otro personal para reportar eventos anmalos al equipo de gestin de incidentes, los mecanismos para dicha presentacin, y el tipo de informacin que debe ser incluida en la notificacin de incidentes. Este informe tambin debe incluir la notificacin al Equipo de Respuesta de Emergencia de la Comunidad proceda, de conformidad con todos los requisitos legales o reglamentarios para la participacin de esa organizacin en incidentes informticos. 5. Ganancias rpidas: Montar y mantener la informacin sobre la informacin de contacto con otros proveedores para ser utilizado para reportar un incidente de seguridad (es decir, mantener una direccin de correo electrnico de security@organization.com o una pgina Web http://organization.com/security ). 6. Ganancias rpidas: Publicar la informacin para todo el personal, incluidos los empleados y contratistas, en cuanto a las anomalas e incidencias informticas de informacin al equipo de gestin de incidentes. Tal informacin debe ser incluida en las actividades de rutina de concienciacin de los empleados. 7. Configuracin / Higiene: Llevar a cabo sesiones de escenarios de incidentes peridica para el personal relacionado con el equipo de gestin de incidentes para asegurar que ellos entienden las amenazas actuales y los riesgos, as como sus responsabilidades en el apoyo al equipo de gestin de incidentes.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Respuesta a Incidentes y Planes de Recuperacin de Desastres Formacin
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando el proceso de gestin de incidentes y cmo las organizaciones estn preparados en caso de que ocurra un incidente. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: polticas y procedimientos de manejo de incidentes educar a los miembros de la fuerza de trabajo en cuanto a sus responsabilidades durante un incidente Paso 2: Algunos miembros del personal designados como administradores de incidentes Paso 3: las polticas y los procedimientos de manejo de incidentes educar a la gestin en cuanto a sus responsabilidades durante un incidente Paso 4: manejadores de incidentes participan en la gestin de incidentes pruebas de escenarios Paso 5: Los manejadores de incidentes reportar incidentes a la gestin Paso 6: La gestin de la organizacin reporta incidentes a la polica fuera y el equipo de respuesta a emergencias informticas apropiadas, si fuera necesario.
3. Visibilidad / Reconocimiento: Implementar sistemas de nombres de dominio (DNS) de forma jerrquica, estructurada, con todos los equipos cliente de la red interna configurado para enviar peticiones a los servidores DNS de la intranet, no a los servidores DNS ubicados en Internet. Estos servidores DNS internos deben configurarse para reenviar las solicitudes que no pueden resolver a los servidores DNS ubicados en una DMZ protegida. Estos servidores de la DMZ, a su vez, deben ser los nicos servidores DNS autorizados para enviar solicitudes a Internet. 4. Configuracin / Higiene: Segmento de la red de la empresa en mltiples zonas, fiduciarios separados para proporcionar un control ms granular de acceso al sistema y las defensas de frontera intranet adicionales.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Hito 3: Arquitectura de red
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos
o sistemas. En este caso, estamos examinando el proceso de ingeniera de red y evaluar los controles que funcionan en conjunto con el fin de crear una arquitectura de red segura y robusta. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: polticas y procedimientos de ingeniera de red determinan cmo funcionan los sistemas de red para incluir el protocolo de configuracin dinmica de host de servidores (DHCP) Paso 2: Los servidores DHCP proporcionan direcciones IP a los sistemas de la red Paso 3: Los dispositivos de red realizan bsquedas de DNS a los servidores DNS internos Paso 4: Los servidores DNS internos realizan bsquedas de DNS a los servidores DNS externos Paso 5: Las polticas y procedimientos de ingeniera de red dictan cmo funciona un sistema de gestin de red central Paso 6: sistemas de gestin de una red centroamericana de configurar dispositivos de red.
control anterior
. El proceso y las herramientas utilizadas para simular ataques contra una red para validar la seguridad general de una organizacin Nota: Este control tiene una o ms sub-controles que deben ser validados manualmente.
informacin valiosa y objetiva acerca de la existencia de vulnerabilidades y la eficacia de las defensas y los controles de mitigacin ya existentes e incluso de las previstas para su aplicacin futura.
Tareas Associated NSA Manejable red Hitos del Plan y de seguridad de red
Hito 3: Arquitectura de red
Un sistema de control es un dispositivo o conjunto de dispositivos que se utilizan para gestionar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando ejercicios en equipo y de penetracin rojas y cmo esos esfuerzos pueden ser valiosos para el personal de la empresa al identificar las vulnerabilidades que estn presentes en la organizacin. La siguiente lista de los pasos en el diagrama de arriba muestra cmo las entidades trabajan en conjunto para cumplir con el objetivo de negocio definidos en este control. La lista tambin delinea cada uno de los pasos del proceso con el fin de ayudar a identificar posibles puntos de falla en el control global. Paso 1: probadores de penetracin realizan pruebas de penetracin de los sistemas de produccin Paso 2: Automatizado herramientas pen-testing realizan pruebas de penetracin de los sistemas de produccin Paso 3: Las herramientas automatizadas pen-testing informan pruebas de penetracin de las vulnerabilidades descubiertas Paso 4: pruebas de penetracin realizan pruebas de penetracin ms amplios de sistemas del laboratorio de pruebas Paso 5: Los auditores evalan e inspeccionar el trabajo realizado por las herramientas de pluma de pruebas automatizadas Paso 6: Los auditores evalan e inspeccionar el trabajo realizado por los probadores de penetracin Paso 7: probadores de penetracin generar informes y estadsticas sobre las vulnerabilidades que se han descubierto.