Jueves, 02 Noviembre 2017
  1. 1. Deshágase del fantasma de su antecesor

Uno de los problemas más comunes que se presentan en los esquemas de seguridad son las brechas que dejó un esquema de administración anterior; bien sea porque se cambió o porque cambiaron los responsables de la administración de los equipos, o los servicios de proveedores que nos prestaban servicios.

Quedan configurados en los equipos y en la infraestructura grandes cantidades de accesos, conexiones de acceso remoto e incluso cuentas con privilegios de administrador que no deberían existir permitiendo accesos a usuarios y/o empresas que no tienen que ver con la administración de los acceso de la compañía.

Estas configuraciones son tan peligrosas como se ven al vuelo y es responsabilidad de cada administrador eliminar esas puertas traseras que han dejado las necesidades pasadas de cada administrador que ha tocado la configuración de seguridad. Siendo realistas, estos accesos pueden incluso dejar fuera de servicio toda la plataforma de red simplemente por un apagado remoto de un equipo esencial dentro del core del negocio.

¿De verdad quiere tener esa responsabilidad a cuestas?

  1. 2. Construya un inventario de sus recursos haga un mapa actualizado

Cuando se presentan problemas en redes uno de los agravantes más grandes es que no tenemos visibilidad de lo que pasa en la red, no es posible identificar si uno de nuestros servidores está saturando los canales de comunicación, ralentizando la red en general; o si en cambio, corresponde a un atacante o a un equipo infectado.

La administración de inventarios de máquinas es compleja y difícil de manejar, pero supremamente necesaria para identificar posibles vectores de ataque, por otro lado, simplificar la administración, conociendo y definiendo esquemas de visibilidad de red que pueden diferenciarse en las máquinas generando un tráfico coherente en el lugar que tiene la infraestructura. 

Un ejemplo simple sería el recurrente tráfico de protocolos de correo de las máquinas de usuarios, hacia internet, directamente por las IPs públicas de navegación; (tráfico que por cierto no debería existir) generando reportes del esquema de direccionamiento en listas negras. Si no existe un inventario organizado identificar si este tipo de tráfico proviene de una máquina de usuario infectada o del servicio de relay de alguna nueva impresora o del esquema de reportes.

Mi recomendación en este caso es un esquema, un dibujo de la red que incluya los segmentos de red y los servicios importantes en cada uno de los segmentos, es supremamente útil; además si está a la vista de todo el área de IT puede ayudar a administrar fácilmente los servicios, aprovisionar nuevas máquinas y servicios, y por supuesto, identificar.

  1. 3. Informe debidamente a los usuarios de la red que se hace

Existe la práctica extendida de realizar cambios importantes sin informar a los usuarios finales, porque como administradores tenemos la idea irrelevante que ellos se enteren de procedimientos técnicos que no entienden pero esta actitud no es muy recomendable porque se actúa en contra del administrador de seguridad y los usuarios reclamaran por el funcionamiento de servicios que antes tenían y ya no, transformando la administración de servicios de red en batallas campales que debe funcionar la infraestructura de red, en especial con usuarios directivos o de áreas estratégicas.

Seamos sinceros, nadie quiere estar peleado con el área de nómina de la compañía, (especialmente cuando se acercan las fechas de pago) mucho menos por la filosofía que ambos tienen del funcionamiento de las redes de datos. Informar a los usuarios debidamente, en un lenguaje que puedan comprender y con la anticipación necesaria; puede convertir al molesto usuario que se queja por todo en un aliado que le va a colaborar en la solución de los inconvenientes en la implementación de cualquier cambio.

  1. 4. Verifique, elimine, verifique, elimine

La tarea de un administrador de seguridad es cíclica, debe procurar permanecer actualizado con un esquema de protección de un acceso a redes que cambia todos los días. Un esquema tan dinámico deja también mucha configuración “temporal” sobre los equipos, que al final lo único que logra es dar la sensación de que las cosas funcionan “raro” además de estar debilitando la seguridad de las zonas, con permisos muy abiertos o mal definidos.

La premisa de “no hay nada más definitivo que lo temporal” es la que debemos atacar a toda costa, los permisos de último momento resuelven rápidamente problemas puntuales, generan grandes cantidades de vulnerabilidades fácilmente aprovechables por vectores de ataque, sobre carga en el rendimiento de los equipos y recursos de la compañía (como los anchos de banda en canales de internet) y complicación del esquema de políticas en las que producimos efectos como solapamiento de reglas y perdida de visibilidad (por ende control) de los tráficos.

Es necesario estar atentos en cuanto a la necesidad de toda la configuración que esta implementada sobre las plataformas y definir que se necesita y que no; políticas, perfiles, grupos, objetos de red, usuarios, horarios y demás deben ser monitoreados para verificar cuando cumplen con una labor en la configuración de los equipos y cuando han pasado a mejor vida. 

Sé lo que está pensando, es una tarea supremamente ardua que desenfoca las tareas todos los días; sin embargo, asignarse un tiempo periódico para realizar esta tarea con frecuencia le dará frutos en el futuro, simplificando su administración y mejorando el rendimiento de las herramientas. Ahora bien, si su esquema de red es muy grande para lograr avances o si por otro lado nunca había afinado su configuración antes, la tarea se torna de ardua a imposible; ¡no se preocupe! existen en el mercado herramientas y servicios por demanda que le ayudan con estas tareas dándole las mejores recomendaciones y poniendo su entorno de red a la altura de los estándares de la industria.

  1. 5. Al crear comente, al eliminar documente

Una tarea simple que le puede salvar la vida. Así es, la mayoría de los casos en los que se presenten problemas para justificar una configuración del pasado, ya sea a un jefe, a un auditor externo o a un esquema de servicio técnico, fue la falta de documentación.

Muchas compañías han pospuesto sus certificaciones a nivel de calidad de procesos porque falto en algún equipo una explicación sobre el porqué de la configuración, los auditores no tienen la paciencia, ni el tiempo para que un administrador de plataforma revise en su cola de correos para encontrar la razón de una regla de seguridad que permite que toda la compañía llegue a un servidor muy importante; lamentablemente el dictamen será que su esquema de red no cumple con el protocolo de calidad evaluado, se llenara su informe de recomendaciones de mejora, que en últimas retrasaran los procesos.

Siempre que haga cambios sobre una configuración, documente debidamente el por qué, cuando adicione a su configuración aprovéchese de los campos de comentarios en casi todos los objetos que crea: fechas, solicitantes, razones, etc… le pueden dar una idea en el futuro sobre los cambios que se realizaron y en el momento que fueron creados, ayudando a dar luces de si dicha configuración sigue siendo relevante en cualquier momento.

Al eliminar documente siempre los cambios, para que en caso de necesitar retornar a una configuración anterior, pueda rehabilitar un servicio que debe funcionar de nuevo o para resolver problemas similares usted sepa qué y cómo hacerlo (no se olvide de los backups programados).

Viernes, 15 Septiembre 2017

En el 2016 y durante el 2017 ELLIPTICAL realizó una serie de evaluaciones de seguridad de los sistemas de Firewalls, de clientes de diferentes sectores del mercado.

Como resultado de estas evaluaciones, se generaron reportes que permitieron conocer el estado de cumplimiento de las políticas configuradas en la herramienta Firewall vs los 97 Controles de las Mejores Practicas de Seguridad del Mercado, detectándose que en promedio, los clientes tienen más del 33% de sus reglas de Firewall sin usar, y el 60% de sus servicios y objetos, también se encuentren sin uso.