Capítulo del curso de seguridad informática dedicado a la política de mínimos privilegios en los accesos a los sistemas de información
El objetivo del presente dominio es controlar el acceso por medio de un sistema de restricciones y excepciones a la información como base de todo sistema de seguridad informática (redes y sistemas/plataformas de información).
Para impedir el acceso no autorizado a los sistemas de información se deberían implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento.
Una falta de control de los accesos a la información, los recursos de tratamiento de la información y los procesos de negocio en base a las necesidades de seguridad y de negocio de la organización permite la materialización de potenciales amenazas, entre otras posibles, como:
- Pérdida de servicios esenciales (energía eléctrica, telecomunicaciones, aire acondicionado/agua, ...) en accesos a sistemas IoT/industriales
- Compromiso de información (intercepción, divulgación, manipulación de hardware, manipulación de software, ...)
- Compromiso de las funciones (escalado de privilegios desde cuentas básicas y genéricas (p.ej.de invitado/guest) un acceso inicial a las redes de conexión de los sistemas informáticos, telefónos móviles, IoT y/o sistemas industriales...)
9.1.1 Política de control de accesos: Se debería establecer, documentar y revisar una política de control de accesos en base a las necesidades de seguridad y de negocio de la Organización.
9.1.2 Control de acceso a las redes y servicios asociados: Se debería proveer a los usuarios de los accesos a redes y los servicios de red para los que han sido expresamente autorizados a utilizar.
Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han:
(a) sido identificados,
(b) aceptado formalmente sus responsabilidades,
(c) llevado a cabo -o encargado- revisiones de accesos y seguridad de aplicaciones, basadas en riesgo y
(d) definido las reglas de control de acceso basadas en roles.
OpenNAC: Solución de código abierto para el control de acceso de red en entornos LAN/WAN corporativos y compatible con diversos fabricantes de tecnología de red. Permite la autenticación, autorización y auditoría basada en las políticas de acceso a la red.
Packetfence: Solución de código abierto para el control de acceso de red que se puede utilizar para asegurar de manera eficaz desde las redes pequeñas a grandes redes heterogéneas.
Seguridad en Intranet: Monografía sobre la seguridad en la redes corporativas en base a las políticas de control de acceso.
ISO/IEC 24760: La serie de documentos define los términos para la gestión de identidad y especifica los conceptos centrales de identidad y gestión de identidad y sus relaciones. Es aplicable a cualquier sistema de información que procese información de identidad.
ISO/IEC 29146: Define y establece un marco para la gestión de acceso (AM) y la gestión segura del proceso para acceder a información y recursos de Tecnologías de Información y Comunicaciones (TIC), asociados con la responsabilidad de un sujeto dentro de algún contexto. Esta Norma Internacional proporciona conceptos, términos y definiciones aplicables a las técnicas de administración de acceso distribuido en entornos de red.
Una falta de control en todas la etapas del ciclo de vida del acceso de los usuarios, desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su acceso a los sistemas y servicios de información permite la materialización de potenciales amenazas, entre otras posibles, como:
- Pérdida de servicios esenciales (energía eléctrica, telecomunicaciones, aire acondicionado/agua,...) en accesos a sistemas IoT/industriales
- Compromiso de información (intercepción, espionaje en remoto, manipulación de hardware, manipulación de software,...)
- Acciones no autorizadas (Uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)
- Compromiso de las funciones (Error en el uso, abuso de privilegios, suplantación de identidad, falsificación de privilegios, denegación de acciones, ...)
9.2.1 Gestión de altas/bajas en el registro de usuarios: Debería existir un procedimiento formal de alta y baja de usuarios con objeto de habilitar la asignación de derechos de acceso.
9.2.2 Gestión de los derechos de acceso asignados a usuarios: Se debería de implantar un proceso formal de aprovisionamiento de accesos a los usuarios para asignar o revocar derechos de acceso a todos los tipos de usuarios y para todos los sistemas y servicios.
9.2.3 Gestión de los derechos de acceso con privilegios especiales: La asignación y uso de derechos de acceso con privilegios especiales debería ser restringido y controlado.
9.2.4 Gestión de información confidencial de autenticación de usuarios: La asignación de información confidencial para la autenticación debería ser controlada mediante un proceso de gestión controlado.
9.2.5 Revisión de los derechos de acceso de los usuarios: Los propietarios de los activos deberían revisar con regularidad los derechos de acceso de los usuarios.
9.2.6 Retirada o adaptación de los derechos de acceso: Se deberían retirar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información a la finalización del empleo, contrato o acuerdo, o ser revisados en caso de cambio.
Tiempo medio transcurrido entre la solicitud y la realización de peticiones de cambio de accesos y número de solicitudes de cambio de acceso cursadas en el mes anterior (con análisis de tendencias y comentarios acerca de cualquier pico / valle (p. ej., "Implantada nueva aplicación financiera este mes").
DBAudit: DB Audit es una completa solución out of the box de seguridad para bases de datos y auditoría para Oracle, Sybase, MySQL, DB2 y MS SQL Server.
Manage Engine: Solución web (free trial 30 days) que permite realizar las tareas más comunes, como las altas y bajas de usuarios y la aplicación de políticas de grupo, a través de un interfaz intuitivo y fácil de aprender. A través de sus informes detallados, ofrece visibilidad completa sobre todos los objetivos en el Directorio Activo.
Pangolin: Pangolin es una herramienta automática de pruebas de penetración de inyección SQL desarrollado por NOSEC. Su objetivo es detectar y aprovechar las vulnerabilidades de inyección SQL en aplicaciones web.
UserLock: Permite proteger el acceso a las redes de Windows®, impidiendo las conexiones simultáneas, al dar la posibilidad de limitar las conexiones de los usuarios y proporcionando a los administradores el control remoto de las sesiones, de las funcionalidades de alerta, de informes y análisis sobre todas las conexiones/desconexiones efectuadas en sus redes.
Bloodhound: Aplicación web que utiliza la teoría de gráficos para dibujar la relación dentro de los entornos de directorio activo. Active Directory juega un papel importante en muchas organizaciones e instituciones modernas. La comunicación es un aspecto crítico para las empresas, y un servicio de directorio es una elección acertada porque actúa como un único punto contenedor para toda la información requerida.
Una falta de control en la asignación de las responsabilidades y cooperación/observac de los usuarios designados permite la materialización de potenciales amenazas, entre otras posibles, como:
- Daños físicos (agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación,...)
- Compromiso de información (intercepción, espionaje en remoto, espionaje en proximidad, robo de equipos o documentos, recuperación desde medios reciclados o deshechados, divulgación, datos de fuentes no fiables, manipulación de hardware, manipulación de software, detección de posición, ...)
- Fallos técnicos (Falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)
- Acciones no autorizadas (Uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)
- Compromiso de las funciones (Error en el uso, abuso de privilegios, suplantación de identidad, falsificación de privilegios, denegación de acciones, exposición de la disponibilidad del personal, ...)
9.3.1 Uso de información confidencial para la autenticación: Se debería exigir a los usuarios el uso de las buenas prácticas de seguridad de la organización en el uso de información confidencial para la autenticación.
Porcentaje de descripciones de puesto de trabajo que incluyen responsabilidades en seguridad de la información
(a) totalmente documentadas y
(b) formalmente aceptadas.
Bitwarden: Ayuda a crear y administrar contraseñas seguras para que pueda volver a disfrutar su vida en línea.
LastPass: Recuerda todas sus contraseñas de forma segura para que usted no tenga que hacerlo.
KeePass: KeePass es una aplicación free open source para la gestión de contraseñas que sirve de ayuda para gestionar las contraseñas de un modo seguro. Puedes almacenar todas las contraseñas en una única base de datos, la cual permanece accesible mediante una única clave maestra o fichero. Por tanto, sólo se tiene que recordar una única contraseña o seleccionar el fichero clave para acceder a la base de datos cifrada mediante algoritmo robusto (AES y Twofish).
KeePassXC: La base de datos completa se cifra con el algoritmo de cifrado AES (alias Rijndael) estándar de la industria utilizando una clave de 256 bits. KeePassXC utiliza un formato de base de datos que es compatible con KeePass Password Safe. Su billetera funciona sin conexión y no requiere conexión a Internet.
Una falta de control en el acceso a aplicaciones, funcionalidades y/o información en base a la "necesidad de conocer" de cada usuario permite la materialización de potenciales amenazas, entre otras posibles, como:
- Compromiso de información (intercepción, espionaje en remoto, espionaje en proximidad, recuperación desde medios reciclados o deshechados, divulgación, manipulación de hardware, manipulación de software, detección de posición, ...)
- Fallos técnicos (Falla o mal funcionamiento del equipo, saturación del sistema de información, manipulación/mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)
- Acciones no autorizadas (Uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)
- Compromiso de las funciones (Error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones, exposición de la disponibilidad del personal, ...)
9.4.1 Restricción del acceso a la información: Se debería restringir el acceso de los usuarios y el personal de mantenimiento a la información y funciones de los sistemas de aplicaciones, en relación a la política de control de accesos definida.
9.4.2 Procedimientos seguros de inicio de sesión: Cuando sea requerido por la política de control de accesos se debería controlar el acceso a los sistemas y aplicaciones mediante un procedimiento seguro de log-on
9.4.3 Gestión de contraseñas de usuario: Los sistemas de gestión de contraseñas deberían ser interactivos y asegurar contraseñas de calidad.
9.4.4 Uso de herramientas de administración de sistemas: El uso de utilidades software que podrían ser capaces de anular o evitar controles en aplicaciones y sistemas deberían estar restringidos y estrechamente controlados.
9.4.5 Control de acceso al código fuente de los programas: Se debería restringir el acceso al código fuente de las aplicaciones software.
Porcentaje de soportes de backup o archivo que están totalmente encriptados.
0PHCRACK: Utilidad para verificar la fortaleza de las contraseñas en uso y determinar políticas y frecuencias en la renovación de las contraseñas.
JOHN THE RIPPER: Utilidad para verificar la fortaleza de las contraseñas en uso y determinar políticas y frecuencias en la renovación de las contraseñas.
KEEPASS: KeePass es una aplicación free open source para la gestión de contraseñas que sirve de ayuda para gestionar las contraseñas de un modo seguro. Puedes almacenar todas las contraseñas en una única base de datos, la cual permanece accesible mediante una única clave maestra o fichero. Por tanto, sólo se tiene que recordar una única contraseña o seleccionar el fichero clave para acceder a la base de datos cifrada mediante algoritmo robusto (AES y Twofish).
OXID: Utilidad para verificar la fortaleza de las contraseñas en uso y determinar políticas y frecuencias en la renovación de las contraseñas.
PASSWORD GENERATOR: Generador on-line de contraseñas.
RANDOW PASSWORD GENERATOR: Generador de contraseñas seguras.
FIDO Authentication: permite que los inicios de sesión solo con contraseña sean reemplazados por experiencias de inicio de sesión seguro y rápido en sitios web y aplicaciones. Empresas como Apple, Amazon, Facebook, Google, Intel, Microsoft, Qualcomm, VMware, RS, ... así como entidades de servicios financieros, como American Express, ING, Mastercard, PayPal, Visa y Wells Fargo participan en esta iniciativa.
ModSecurity: (Apache, IIS, and NGINX) Juego de herramientas para el monitoreo, registro y control de acceso de aplicaciones web en tiempo real. Es un facilitador: no hay reglas estrictas que le digan qué hacer; en cambio, depende de cada administrador elegir su propio camino a través de las funciones disponibles.
WebNight: (MS IIS) Firewall de aplicación para IIS y otros servidores web y se publica bajo la Licencia Pública General de GNU. Más particularmente, es un filtro ISAPI que asegura su servidor web al bloquear ciertas solicitudes.
Shadow Daemon: Colección de herramientas para detectar, registrar y bloquear ataques en aplicaciones web. Técnicamente hablando, Shadow Daemon es un firewall de aplicaciones web que intercepta solicitudes y filtra parámetros maliciosos. Es un sistema modular que separa la aplicación web, el análisis y la interfaz para aumentar la seguridad, la flexibilidad y la capacidad de expansión.
Authy: Authy es una aplicación móvil/de escritorio gratuita para una autenticación de dos factores con servicio de entrega de SMS de muchos sitios web que desean que la autenticación de dos factores funcione mejor para sus usuarios.
BloodHound: Utiliza la teoría de gráficos para revelar las relaciones ocultas y a menudo involuntarias dentro de un entorno de Active Directory. Los atacantes pueden usar BloodHound para identificar fácilmente rutas de ataque altamente complejas que de otro modo serían imposibles de identificar rápidamente. Los defensores pueden usar BloodHound para identificar y eliminar esas mismas rutas de ataque. Los equipos azul y rojo pueden usar BloodHound para obtener una comprensión más profunda de las relaciones de privilegios en un entorno de Active Directory.