con las brechas de datos en aumento, más que nunca las organizaciones tienen que asegurarse de que tienen todos los controles de seguridad necesarios para mantener sus datos seguros. Como respuesta a las crecientes amenazas de seguridad, el Instituto SANS, junto con el Centro para la seguridad de Internet (CIS) y otras organizaciones, desarrolló los 20 controles de seguridad críticos (CSC) para una defensa cibernética efectiva., El CIS CSC proporciona a los profesionales de ti un conjunto de acciones priorizadas y enfocadas para ayudarlos a detener los ciberataques más peligrosos y garantizar la seguridad de los datos.
esta entrada de blog explica los 20 controles en el CIS CSC y por qué cada uno de ellos es crítico, y luego ofrece 5 pasos para implementar los controles de una manera pragmática.
la lista completa de controles de seguridad críticos de CIS, Versión 6.1
el CIS CSC es un conjunto de 20 controles (a veces llamados SANS Top 20) diseñados para ayudar a las organizaciones a proteger sus sistemas y datos de vectores de ataque conocidos., También puede ser una guía eficaz para las empresas que aún no tienen un programa de seguridad coherente. Aunque los controles del CIS no son un reemplazo para ningún esquema de cumplimiento existente, los controles se corresponden con varios marcos de cumplimiento principales (por ejemplo, el marco de ciberseguridad del NIST) y regulaciones (por ejemplo, PCI DSS e HIPAA).
los 20 controles se basan en la información más reciente sobre ataques comunes y reflejan el conocimiento combinado de expertos forenses comerciales, probadores de penetración individuales y colaboradores de agencias gubernamentales de los Estados Unidos.
#1., Inventario de Dispositivos autorizados y no autorizados.
las organizaciones deben administrar activamente todos los dispositivos de hardware en la red, de modo que solo los dispositivos autorizados tengan acceso y los dispositivos no autorizados puedan identificarse y desconectarse rápidamente antes de que causen ningún daño.
¿Por qué es esto crítico? Los atacantes están escaneando continuamente el espacio de direcciones de las organizaciones, a la espera de que los sistemas nuevos y desprotegidos se conecten a la red., Este control Es especialmente crítico para las organizaciones que permiten BYOD, ya que los hackers están buscando específicamente dispositivos que entran y salen de la red de la empresa.
# 2. Inventario de Software autorizado y no autorizado.
las organizaciones deben administrar activamente todo el software en la red, por lo que solo se instala software autorizado. Las medidas de seguridad como las listas blancas de aplicaciones pueden permitir a las organizaciones encontrar rápidamente software no autorizado antes de que se haya instalado.
¿Por qué es esto crítico?, Los atacantes buscan versiones vulnerables de software que puedan ser explotadas remotamente. Pueden distribuir páginas web hostiles, archivos multimedia y otro contenido, o usar exploits de día cero que aprovechan vulnerabilidades desconocidas. Por lo tanto, el conocimiento adecuado de qué software se ha implementado en su organización es esencial para la seguridad y la privacidad de los datos.
#3. Configuraciones seguras para Hardware y Software.
Las empresas necesitan establecer, implementar y administrar la configuración de seguridad de computadoras portátiles, servidores y estaciones de trabajo., Las empresas tienen que seguir una gestión estricta de la configuración e implementar procesos de control de cambios para evitar que los atacantes exploten los servicios y configuraciones vulnerables.
¿Por qué es esto crítico? Los fabricantes y revendedores diseñan las configuraciones predeterminadas de los sistemas operativos y las aplicaciones para facilitar la implementación y el uso, no una seguridad sólida. Los servicios y puertos abiertos, así como las cuentas o contraseñas predeterminadas, pueden ser explotables en su estado predeterminado, por lo que las empresas tienen que desarrollar ajustes de configuración con buenas propiedades de seguridad.
# 4., Continuous Vulnerability Assessment and Remediation.
las organizaciones necesitan adquirir, evaluar y tomar medidas continuamente sobre nueva información (por ejemplo,actualizaciones de software, parches, avisos de seguridad y boletines de amenazas) para identificar y remediar vulnerabilidades que los atacantes podrían utilizar para penetrar en sus redes.
¿Por qué es esto crítico?, Tan pronto como los investigadores reportan nuevas vulnerabilidades, comienza una carrera entre todas las partes relevantes: los culpables se esfuerzan por usar la vulnerabilidad para un ataque, los proveedores implementan parches o actualizaciones, y los defensores comienzan a realizar evaluaciones de riesgo o pruebas de regresión. Los atacantes tienen acceso a la misma información que todos los demás, y pueden aprovechar las brechas entre la aparición de nuevos conocimientos y la reparación.
# 5. Uso controlado de privilegios administrativos.,
Este control requiere que las empresas utilicen herramientas automatizadas para monitorear el comportamiento del usuario y realizar un seguimiento de cómo se asignan y usan los privilegios administrativos para evitar el acceso no autorizado a sistemas críticos.
¿Por qué es esto crítico? El uso indebido de privilegios administrativos es un método principal para que los atacantes se propaguen dentro de una empresa. Para obtener credenciales administrativas, pueden usar técnicas de phishing, descifrar o adivinar la contraseña de un usuario administrativo, o elevar los privilegios de una cuenta de usuario normal a una cuenta administrativa., Si las organizaciones no tienen recursos para monitorear lo que está sucediendo en sus entornos de ti, es más fácil para los atacantes obtener el control total de sus sistemas.
#6. Mantenimiento, monitoreo y análisis de registros de auditoría.
las organizaciones necesitan recopilar, administrar y analizar registros de eventos para detectar actividades aberrantes e investigar incidentes de seguridad.
¿Por qué es esto crítico? La falta de registro y análisis de seguridad permite a los atacantes ocultar su ubicación y actividades en la red., Incluso si la organización víctima sabe qué sistemas han sido comprometidos, sin registros completos de registro, será difícil para ellos entender lo que un atacante ha hecho hasta ahora y responder de manera efectiva al incidente de seguridad.
# 7. Protecciones de correo electrónico y navegador Web.
las organizaciones deben asegurarse de que solo se utilicen navegadores web y clientes de correo electrónico totalmente compatibles en la organización para minimizar su superficie de ataque.
¿Por qué es esto crítico?, Los navegadores Web y los clientes de correo electrónico son puntos de entrada muy comunes para los hackers debido a su alta complejidad técnica y flexibilidad. Pueden crear contenido y engañar a los usuarios para que tomen acciones que pueden introducir código malicioso y provocar la pérdida de datos valiosos.
# 8. Defensas De Malware.
las organizaciones deben asegurarse de que pueden controlar la instalación y ejecución de código malicioso en varios puntos de la empresa., Este control recomienda el uso de herramientas automatizadas para monitorear continuamente estaciones de trabajo, servidores y dispositivos móviles con Antivirus, Antispyware, firewalls personales y funcionalidad IPS basada en host.
¿Por qué es esto crítico? El malware moderno puede moverse y cambiar rápidamente, y puede entrar a través de cualquier número de puntos. Por lo tanto, las defensas de malware deben ser capaces de operar en este entorno dinámico a través de la automatización a gran escala, la actualización y la integración con procesos como la respuesta a incidentes.
# 9. Limitación y Control de puertos de red, protocolos y servicios.,
las organizaciones deben rastrear y administrar el uso de puertos, protocolos y servicios en dispositivos de red para minimizar las ventanas de vulnerabilidad disponibles para los atacantes.
¿Por qué es esto crítico? Los atacantes buscan servicios de red de acceso remoto que son vulnerables a la explotación. Algunos ejemplos comunes incluyen servidores web mal configurados, servidores de correo y servicios de archivos e impresión, así como servidores de sistema de nombres de dominio (DNS) que se instalan de forma predeterminada en una variedad de dispositivos., Por lo tanto, es fundamental asegurarse de que solo los puertos, protocolos y servicios con una necesidad empresarial validada se ejecuten en cada sistema.
#10. Capacidad De Recuperación De Datos.
Las empresas deben asegurarse de que los sistemas y datos críticos se respaldan correctamente al menos semanalmente. También necesitan tener una metodología probada para la recuperación oportuna de datos.
¿Por qué es esto crítico? Los atacantes a menudo realizan cambios significativos en los datos, las configuraciones y el software. Sin una copia de seguridad y recuperación confiables, es difícil para las organizaciones recuperarse de un ataque.
#11., Configuraciones seguras para dispositivos de red.
las organizaciones deben establecer, implementar y administrar activamente la configuración de seguridad de los dispositivos de infraestructura de red, como enrutadores, firewalls y switches.
¿Por qué es esto crítico? Al igual que con los sistemas operativos y las aplicaciones (consulte Control de seguridad Crítico 3), las configuraciones predeterminadas para los dispositivos de infraestructura de red están orientadas a la facilidad de implementación, no a la seguridad. Además, los dispositivos de red a menudo se configuran de forma menos segura con el tiempo., Los atacantes aprovechan estos defectos de configuración para obtener acceso a las redes o utilizan una máquina comprometida para hacerse pasar por un sistema de confianza.
#12. Defensa De Límites.
las organizaciones necesitan detectar y corregir el flujo de información entre redes de diferentes niveles de confianza, con un enfoque en los datos que podrían dañar la seguridad. La mejor defensa son las tecnologías que proporcionan visibilidad y control profundos sobre el flujo de datos en todo el entorno, como los sistemas de detección y prevención de intrusiones.
¿Por qué es esto crítico?, Los culpables a menudo usan debilidades de configuración y arquitectura en sistemas perimetrales, dispositivos de red y máquinas cliente con acceso a internet para obtener acceso inicial a la red de una organización.
#13. Protección De Datos.
las organizaciones deben utilizar procesos y herramientas adecuados para mitigar el riesgo de exfiltración de datos y garantizar la integridad de la información confidencial. La protección de datos se logra mejor a través de la combinación de cifrado, protección de integridad y técnicas de prevención de pérdida de datos.
¿Por qué es esto crítico?, Si bien muchas fugas de datos son robos deliberados, otros casos de pérdida o daño de datos son el resultado de malas prácticas de seguridad o errores humanos. Para minimizar estos riesgos, las organizaciones deben implementar soluciones que puedan ayudar a detectar la exfiltración de datos y mitigar los efectos del compromiso de los datos.
#14. Acceso controlado basado en la necesidad de saber.
las organizaciones deben poder rastrear, controlar y asegurar el acceso a sus activos críticos, y determinar fácilmente qué personas, computadoras o aplicaciones tienen derecho a acceder a estos activos.
¿Por qué es esto crítico?, Algunas Organizaciones no identifican y separan cuidadosamente sus activos más críticos de los datos menos confidenciales, y los usuarios tienen acceso a datos más confidenciales de los que necesitan para hacer su trabajo. Como resultado, es más fácil para un interno malicioso, o un atacante o malware que se apodera de su cuenta, robar información importante o interrumpir las operaciones.
#15. Control De Acceso Inalámbrico.
las organizaciones necesitan contar con procesos y herramientas para rastrear y controlar el uso de redes de área local inalámbricas (LAN), puntos de acceso y sistemas de clientes inalámbricos., Deben realizar herramientas de análisis de vulnerabilidades de red y asegurarse de que todos los dispositivos inalámbricos conectados a la red coincidan con una configuración autorizada y un perfil de seguridad.
¿Por qué es esto crítico? Los dispositivos inalámbricos son un vector conveniente para que los atacantes mantengan un acceso a largo plazo al entorno de TI, ya que no requieren una conexión física directa. Por ejemplo, los clientes inalámbricos utilizados por los empleados mientras viajan se infectan de forma regular y luego se utilizan como puertas traseras cuando se vuelven a conectar a la red de la organización.
#16. Monitoreo y Control de cuentas.,
es fundamental que las organizaciones gestionen activamente el ciclo de vida de las cuentas de usuario (creación, uso y eliminación) para minimizar las oportunidades de que los atacantes las aprovechen. Todas las cuentas del sistema deben revisarse regularmente, y las cuentas de los antiguos contratistas y empleados deben desactivarse tan pronto como la persona abandone la empresa.
¿Por qué es esto crítico? Los atacantes suelen explotar cuentas de usuarios inactivos para obtener acceso legítimo a los sistemas y datos de una organización, lo que dificulta la detección del ataque.
#17., Evaluación de las competencias en materia de seguridad y capacitación adecuada para subsanar las deficiencias.
las organizaciones tienen que identificar los conocimientos y habilidades específicos que necesitan para fortalecer la seguridad. Esto requiere desarrollar y ejecutar un plan para identificar las brechas y corregirlas a través de Políticas, Planificación y programas de capacitación.
¿Por qué es esto crítico? Es tentador pensar que la defensa cibernética es principalmente un desafío técnico. Sin embargo, las acciones de los empleados también son fundamentales para el éxito de un programa de seguridad., Los atacantes a menudo utilizan el factor humano para planificar las explotaciones, por ejemplo, mediante la elaboración cuidadosa de mensajes de phishing que se parecen a los correos electrónicos normales, o trabajando dentro de la ventana de tiempo de parches o revisión de Registros.
#18. Seguridad Del Software De Aplicación.
las organizaciones deben administrar el ciclo de vida de seguridad de todo el software que utilizan para detectar y corregir las debilidades de seguridad. En particular, deben comprobar regularmente que utilizan solo las versiones más actuales de cada aplicación y que todos los parches relevantes se instalan rápidamente.
¿Por qué es esto crítico?, Los atacantes a menudo se aprovechan de las vulnerabilidades en las aplicaciones basadas en la web y otro software. Pueden inyectar exploits específicos, incluidos desbordamientos de búfer, ataques de inyección SQL, scripting entre sitios y clicks de código, para obtener control sobre máquinas vulnerables.
#19. Respuesta y Gestión de incidentes.
las organizaciones deben desarrollar e implementar una respuesta adecuada a los incidentes, que incluya planes, funciones definidas, capacitación, supervisión de la gestión y otras medidas que las ayuden a descubrir ataques y contener los daños de manera más efectiva.
¿Por qué es esto crítico?, Los incidentes de seguridad son ahora una parte normal de nuestra vida diaria. Incluso las empresas grandes y bien financiadas luchan por mantenerse al día con el panorama de amenazas cibernéticas en evolución. Lamentablemente, en la mayoría de los casos, la posibilidad de un ataque cibernético exitoso no es «si» sino «cuándo.»Sin un plan de respuesta a incidentes, una organización no puede descubrir un ataque hasta que inflija un daño grave, o sea capaz de erradicar la presencia del atacante y restaurar la integridad de la red y los sistemas.
#20. Pruebas de penetración y ejercicios de Equipo Rojo.,
el control final requiere que las organizaciones evalúen la fuerza general de sus defensas (la tecnología, los procesos y las personas) mediante la realización regular de pruebas de penetración externas e internas. Esto les permitirá identificar vulnerabilidades y vectores de ataque que pueden utilizarse para explotar sistemas.
¿Por qué es esto crítico? Los atacantes pueden aprovechar la brecha entre las buenas intenciones defensivas y su implementación, como la ventana de tiempo entre el anuncio de una vulnerabilidad, la disponibilidad de un parche del proveedor y la instalación del parche., En un entorno complejo donde la tecnología está en constante evolución, las organizaciones deben probar periódicamente sus defensas para identificar brechas y corregirlas antes de que ocurra un ataque.
implementar los controles: un enfoque pragmático
obtener valor de los controles de seguridad críticos de CIS no significa necesariamente implementar los 20 controles a la vez. Pocas organizaciones cuentan con el presupuesto, los recursos humanos y el tiempo necesarios para aplicar simultáneamente todo el conjunto de controles., Un enfoque más pragmático para implementar los controles incluye los siguientes pasos:
- descubra sus activos de información y estime su valor. Realice una evaluación de riesgos y analice los posibles ataques contra sus sistemas y datos (incluidos los puntos de entrada iniciales, la propagación y los daños). Priorice los controles de CIS en torno a sus activos más riesgosos.
- Compare sus controles de seguridad actuales con los controles CIS. Tome nota de cada área donde no existen capacidades de seguridad o donde se necesita trabajo adicional.,
- desarrolle un plan para adoptar los nuevos controles de seguridad más valiosos y mejorar la efectividad operativa de sus controles existentes.
- Obtener la aceptación de la gerencia para el plan y formar compromisos de línea de negocio para el apoyo financiero y de personal necesario.
- Implementar los controles. Esté atento a las tendencias que podrían introducir nuevos riesgos para su organización. Mida el progreso y la reducción de riesgos, y comunique sus hallazgos.
¿quieres saber más sobre 20 controles de seguridad críticos?, Visite el sitio web oficial del CIS Center for Internet Security: https://www.cisecurity.org/controls/
