martes, 16 de agosto de 2011

Controlando a los Controles.


Firewalls, antivirus, antispyware o anti-algo. ¿Cuál pongo? Los proveedores de las marcas te dirán que necesitas todos los productos de su portafolio. El 27001 Anexo A te escupirá tantos que te quedaste igual que como estabas. ¿No hay como que una listita básica, que vaya al grano y que proponga controles que sirvan de a de veras para las amenazas del 2011?

El Departamento de la Defensa de Australia publicó una interesante guía que consta de 35 controles básicos. Seguramente será una buena ayuda aunque ya tengamos un esquema de seguridad andando en nuestra empresa. Revisemos algunos de estos puntos.

Empecemos por los primeros 4. ¿Por qué? Porque el propio Departamento de la Defensa de Australia ha establecido que siguiendo esos cuatro puntos se podrían detener hasta un 85% de los ataques en línea. Suena tentador, no?

Estos 4 puntos son: a) Parchar aplicaciones de terceros; b) actualizar el sistema operativo; c) minimizar los usuarios que inician sesión en sus equipos como administrador y d) usar listas blancas. Es todo. Suena sencillo, no? (Y lo siento antivirus, no estás entre los 4 básicos).

Ahondemos. Las primeras dos cuestiones se refieren a mantener actualizadas las aplicaciones (Flash, Reader, Office, IE, Firefox, etc.) y el sistema operativo. Las debilidades de software están a la orden del día y mantenerlo actualizado nos quitará de encima muchos ataques informáticos. Una y otra vez se repite esto de mantener las apps al día en diferentes recomendaciones y publicaciones. Y sin embargo, es algo que muchos usuarios y corporaciones simplemente ignoran o que dejan de lado. De verdad ya hay herramientas corporativas en el mercado que hacen esta labor de parchado. Varias personas me expresan su temor por las debilidades de día cero, cuando en realidad la mayoría de los ataques van dirigidos a debilidades que ya tienen parche desde hace un buen rato. A veces pienso que les da flojera establecer un programa de parchado…en fin.

El tercer punto es sobre trabajar en el equipo con permisos de usuario y no de administrador. Es básico. Navegar y leer el correo junto con las demás actividades mundanas deben de ser llevadas a cabo desde una cuenta con bajos privilegios. Y sólo usar dichos privilegios de administrador cuando se instala algún software o parche, así como en otras contadas ocasiones donde realmente se requiere (por cierto en Windows y en Mac no es necesario salirse de la sesión de usuario para instalar un programa que requiere permisos de administrador). El código malicioso como troyanos y exploits se verán limitados cuando se es usuario y no administrador. Subrayo “limitados”, lo cual quiere decir que se le hace más difícil la vida al atacante forzándolo a ataques más complejos para lograr sus fines.

El cuarto punto es sobre listas blancas. Me falta hacer todo un blogpost sobre listas blancas. En resumen: los antivirus en los noventa y hasta hace unos años eran un control efectivo contra el código malicioso y los ataques de antaño. Ya no. Es 2011, y las listas blancas es el control de seguridad evolucionado. En un futuro mucho muy cercano será la nueva especie dominante tan popular como el mata-bichos. Las listas blancas se basan en permitir lo que es conocido; los antivirus se basan en prohibir lo conocido. Es una diferencia sutil pero que marca la diferencia. Por más cloud y demás monerías que le pongan a los antivirus, ya no es EL Control, sino UN control más. Si en su empresa todavía no tienen un producto de listas blancas, déjenme decirles que están viviendo en el pasado.

En fin. Recomiendo la cuidadosa lectura del documento y revisar las 31 propuestas restantes. Yo en lo personal hubiera puesto un quinto control entre los “básicos” (y no sólo 4) que se refiere al filtrado de contenido web para mitigar los riesgos basados en SQL (como el SQL injection).

Cabe mencionar que si leen el documento, se darán cuenta de que cada control tiene diferentes columnas asociadas como “Costo de Mantenimiento”, “Diseñado para Prevenir o Detectar una Intrusión”, “Ayuda a Mitigar una Intrusión en su Primera Fase (ejecución de exploits)” entre otras. Me pareció interesante este enfoque ya que te da una mejor idea para saber en qué te ayuda cada control así como sus limitaciones.

PD: el SANS también tiene una propuesta de 20 controles básicos.

3 comentarios:

Migux dijo...

Que buen post Fausto, gracias por compartir la info.
Saludos.

Migux dijo...

oye, y además muy de la mano con el principio de Pareto no? el famoso 80-20

MC Fausto Cepeda, CISSP, CISA, CISM. dijo...

Sí, ahora q lo dices me faltó relacionarlo con el 80-20 de Pareto, lo cual hubiera quedado como anillo al dedo. Gracias x el comentario y sl2.