July 10, 2009

Protección de la empresa

Monitoreo continuo basado en estándares de controles de seguridad automatizados en toda la empresa

Las mejores prácticas de la seguridad de la información se trasladan de procesos estáticos de certificación y acreditación (C&A), con auditorías poco frecuentes, a un sistema que recurre al monitoreo continuo de impor-tantes controles de seguridad. Hoy muchos expertos en seguridad recomiendan el monitoreo casi en tiempo real de configuraciones de TI y otros controles de seguridad.1 Otra mejor práctica importante de TI, ITIL, recomienda que las organizaciones creen un repositorio central o CMDB

1 Los recientes lineamientos de auditoría de consenso (CAG, por sus siglas en inglés), creados por el Instituto SANS, la Agencia Nacional de Seguridad, US-CERT y otras organizaciones federales y privadas, hacen hincapié en la necesi-dad de un monitoreo automatizado continuo de controles de seguridad. http://www.sans.org/cag/guidelines.phpAsimismo, los nuevos lineamientos NIST para C&A, titulados Guía para la autorización de la seguridad de los sistemas de información federales (Guide for Security Authorization of Federal Information Systems) SP800-37 (borra-dor) hace hincapié en el monitoreo continuo de controles que cambian fre-cuentemente. Aquí encontrará los detalles: http://csrc.nist.gov/publications/drafts/800-37-Rev1/SP800-37-rev1-IPD.pdf, consulte la Sección 2.9, Moni-toreo continuo (Continuous Monitoring).

1

Las configuraciones son importantes

(base de datos de administración de configuraciones), que les dará una vista empresarial de todos sus activos de TI y sus configuraciones.2 Estas dos tendencias dan como resultado recomendaciones e implementaciones de sistemas automatizados en toda la empresa para reunir datos detallados de la configuración de la seguridad sobre una base casi en tiempo real en un único repositorio central. Con base en la experiencia de Belarc con grandes sistemas empresariales de administración de configuraciones, sugerimos que estos objetivos se pueden cumplir de la mejor manera a través de un sistema automatizado basado en puntos extremos instrumenta-dos y una arquitectura basada en WAN.

Las configuraciones son importantesLa Junta Directiva de Garantía de la Información de la Agencia Nacional de Seguridad de Estados Unidos (NSA) se ha avocado por muchos años a lograr una mejor administración de las configuraciones de TI para proteger los activos de TI de manera efectiva. La NSA descubrió a través del análi-sis de los resultados de sus pruebas Red Team y Blue Team que las mismas debilidades en la seguridad ocurrían una y otra vez. La mayoría de estas debilidades eran el resultado de prácticas deficientes de administración de las configuraciones.3

Basándose en estos hallazgos, la NSA ha trabajado con organizaciones pri-vadas y gubernamentales para codificar estos parámetros de configuración en pruebas de referencia de seguridad. Esto ha dado como resultado las pruebas de referencia CIS (Center for Internet Security, Centro para la Seguridad de Internet) y la FDCC (Federal Desktop Core Configuration, Configuración Federal Central de PCs de Escritorio) del NIST (National Institute of Standards and Technology, Instituto Nacional de Estándares y

2 ITIL enfatiza que es importante para una organización adoptar una vista empre-sarial de sus activos de TI. Esto contrasta con la práctica común actual que se basa en herramientas y procedimientos manuales implementados por adminis-tradores locales. http://en.wikipedia.org/wiki/ITIL

3 Establecer y monitorear configuraciones con base en pruebas de referencia de consenso es importante para la seguridad de TI porque es una forma proactiva de evitar muchos ataques exitosos. La Agencia Nacional de Seguridad de Esta-dos Unidos ha descubierto que la configuración de computadoras con parámet-ros de seguridad apropiados bloquea más del 90% de las amenazas existentes. (Boletines IA "Pruebas de referencia de seguridad: un estándar de oro". Haga clic aquí para solicitar una copia, http://iac.dtic.mil/iatac/index.html.)

2 Protección de la empresa

Estado actual

Tecnología de Estados Unidos). La NSA ha sido también parte en los Con-sensus Audit Guidelines (CAG), que enfatizan el monitoreo continuo de configuraciones de seguridad y otros controles.

La seguridad basada en perímetros no es suficiente para proteger la empresa. Expertos en seguridad de TI han sabido desde hace algún tiempo que los firewalls y ruteadores no son suficientes para proteger sus activos de TI.4 Organizaciones privadas y gubernamentales dependen de contratis-tas y socios externos que se conectan a recursos alojados en sus redes. Muchas de estas relaciones con socios se sustentan en conexiones VPN, las cuales no son visibles para dispositivos IDS o IPS. Dispositivos de almacenaje USB encuentran también su camino dentro del perímetro de la red. Hay un uso cada vez mayor de laptops que operan dentro y fuera del perímetro de parte de empleados y contratistas. Todos estos factores han provocado un daño importante.

Estado actual

Hoy día, muchas organizaciones y el gobierno federal de Estados Unidos recurren casi exclusivamente a un proceso de certificación y acreditación (C&A) para proteger sus sistemas de TI. Un ejemplo de esto es el proyecto de Ley Federal de Administración de la Seguridad de la Información (FISMA) supervisado por OMB de Estados Unidos e implementado por NIST.

Las revisiones de C&A se suelen llevar a cabo sobre una base muy poco frecuente, como cuando se inicia un sistema de TI y luego sobre una base anual o más larga. Puesto que muchos de estos controles, como los de FISMA, están basados en procesos, tiene poco sentido revisarlos más de una vez al año. Sin embargo, desde un punto de vista operacional, ¿qué sucede entretanto? En general, los administradores locales corren explora-dores en las redes que tienen a su cargo. A menudo, estos exploradores requieren esfuerzo manual y se llevan a cabo de manera poco frecuente, cuando mucho cada semana, y a menudo cada mes o cada trimestre. Estos resultados de exploradores locales tampoco suelen estar disponibles en

4 The Jericho Forum, foro de liderazgo de TI fundado por compañías internacio-nales de la lista Fortune 500, ha venido analizando este problema. The Jericho Forum incluso le ha dado un nombre, "desperimetrización". Para conocer los detalles, visite el sitio: http://www.opengroup.org/jericho/

Protección de la empresa 3

Protección de la empresa

toda la empresa y, por consiguiente, no hay una forma concreta de conocer el verdadero estado de vulnerabilidad de la empresa.5

Protección de la empresa

Controles automatizados, en toda la empresa, continuos, basados en estándares

Debido a estas realidades, las organizaciones recomiendan lo siguiente para proteger la empresa en la actualidad:

• Un conjunto de controles más limitado que se puede automatizar es mucho más efectivo que un número elevado de controles que se deben implementar y auditar manualmente. Los controles manuales deben estar limitados a los que se puedan auditar de manera segura y fre-cuente.6

• Es importante conocer las configuraciones detalladas de software, hard-ware y seguridad en toda la empresa.7

• Datos de configuración y del estado de control deben estar disponibles en una base casi en tiempo real. La palabra que se usa a menudo es con-tinuo. Qué tan continuo está sujeto a debate, pero definitivamente una vez al mes, cada trimestre o una vez al año no es suficiente.8

• La mejor forma en que la empresa puede lograr estas metas es utilizar sistemas y procesos automatizados basados en estándares.9

Para lograr la meta de que un sistema empresarial automatizado monitoree continuamente un conjunto de controles se requerirán un enfoque y una

5 Por ejemplo, las Fuerzas Armadas de Estados Unidos requieren que los resulta-dos de los exploradores locales se carguen en su sistema de Recursos de seguimiento de activos y vulnerabilidades (Asset & Vulnerability Tracking Resource, A&VTR). Sin embargo, esta carga de información está basada en la ejecución manual de los exploradores locales y luego en cargar manualmente los resultados en el sistema A&VTR.

6 Por ejemplo, los lineamientos de auditoría de consenso (CAG), cuyos detalles se pueden ver aquí: http://www.sans.org/cag/guidelines.php

7 Por ejemplo, la lista de procesos de CAG y NIST FDCC, cuyos detalles se pueden ver aquí: http://nvd.nist.gov/fdcc/index.cfm

8 Por ejemplo, la Guía de CAG y NIST para autorización de seguridad de siste-mas federales de información, SP800-37 (borrador), cuyos detalles se pueden ver aquí: http://csrc.nist.gov/publications/drafts/800-37-Rev1/SP800-37-rev1-IPD.pdf

4 Protección de la empresa

Agentes o exploradores

arquitectura de sistema muy diferentes de los comunes en la mayoría de las herramientas de la actualidad.

Agentes o exploradores

El uso de agentes ha sido complicado tradicionalmente para el personal de seguridad de TI. En general, el personal de seguridad no tiene acceso a las máquinas anfitrionas que se requieren para instalar un agente. Por desgra-cia, recurrir a exploradores para determinar las vulnerabilidades de la empresa se está volviendo una operación cada vez más difícil y manual. Los exploradores se basan en el descubrimiento de puertos abiertos y en deducir qué servicios y aplicaciones se ejecutan en las máquinas anfitrio-nas. Este método por sí solo produce a menudo muchos errores como falsos positivos o parámetros de configuración faltantes. Si la exploración puede obtener permisos de administrador en el anfitrión, y acceder al registro local y a servicios para compartir archivos, puede determinar las aplica-ciones y vulnerabilidades con mayor precisión.

Sin embargo, en la actualidad muchas máquinas anfitrionas utilizan fire-walls locales que hacen mucho más difícil explorar la máquina anfitriona. Asimismo, muchas organizaciones apagan sus computadoras fuera de horas hábiles. Esto significa que la exploración se debe programar en tiem-pos más limitados, cuando las máquinas están encendidas y cuando las redes no están ocupadas con el tráfico normal.10 Asimismo, más organiza-ciones utilizan laptops, y cuando estas máquinas no están conectadas a la red, no se pueden explorar.

Como las prácticas normales de las redes limitan la mayor parte del tráfico a LANs locales, los exploradores sólo pueden examinar el segmento de red local a menos que se les concedan derechos de atravesar los firewalls y

9 El programa SCAP de NIST incluye muchos estándares de enumeración de la seguridad de TI, como CVE (vulnerabilidades y exposiciones comunes, Com-mon Vulnerabilities and Exposures), CPE (enumeración de plataforma común, Common Platform Enumeration) y otros. Para conocer los detalles, consulte la GUÍA PARA ADOPTAR Y USAR EL PROTOCOLO DE AUTOMA-TIZACIÓN DEL CONTENIDO DE SEGURIDAD (SECURITY CONTENT AUTOMATION PROTOCOL, SCAP) (BORRADOR) borrador de NIST Draft SP800-117.

10 Aunque Wake-On-LAN puede ser de utilidad, la coordinación de su uso para el monitoreo de la empresa no resulta práctico.

Protección de la empresa 5

Agentes o exploradores

ruteadores. La configuración de estos derechos requiere aún más configu-raciones manuales. Asimismo, los exploradores pueden tener problemas al identificar de forma única los sistemas anfitriones a través de múltiples exploradores.11

El resultado final es que hoy los exploradores requieren mucho esfuerzo manual en su configuración, programación y ejecución. No son ideales para un entorno empresarial automatizado.

Los agentes tampoco son una solución mágica, pero en el entorno empre-sarial actual ofrecen algunos beneficios críticos y únicos. Como el agente se ejecuta en la máquina anfitriona como servicio, puede ser muy preciso con respecto a la configuración del sistema anfitrión, lo que da como resul-tado un menor número de falsos positivos o parámetros de configuración faltantes. Asimismo, si el sistema anfitrión está encendido o conectado a una red, puede pasar desapercibido por el agente. El agente puede estar dis-eñado para cargar automáticamente sus resultados cuando el sistema anfitrión está encendido o cuando tiene una conexión de red.

Los agentes tampoco están limitados a un segmento de la red. Dependiendo de los protocolos que usa el agente, éstos se pueden cargar automática-mente a un repositorio central de la empresa sin requerir ningún permiso especial del ruteador o del firewall para implementarse.12 De hecho, los agentes que utilizan un protocolo basado en WAN no necesitan reconfigu-rarse aún cuando se hagan cambios a la topología de la red.13

Para que sean de utilidad, las empresas necesitan ver los datos de configu-ración resultantes basados en su estructura organizacional interna. Por ejemplo, puede ser por unidades organizacionales (OUs) de Active Direc-

11 Los agentes pueden identificar de manera única los sistemas anfitriones utili-zando el UUID (Universally Unique Identifier, identificador universalmente único) en la motherboard del sistema anfitrión.

12 En general se admiten protocolos http o https (puerto 80 o 443) en la red interna de la empresa sin que se requieran cambios a la configuración. Naturalmente, si los agentes utilizan la intranet de la organización, necesitan estar bien maneja-dos para que no interfieran con el tráfico normal de la red. Esto significa un tamaño compacto y la posibilidad de programarse de forma aleatoria de modo que no afecte a la red.

13 Por ejemplo, si los rangos de direcciones IP cambian en las subredes, esto afectará en general los exploradores, aunque no tendrán impacto en los agentes que usan un protocolo WAN.

6 Protección de la empresa

Agentes o exploradores

tory, subredes IP, dominios o combinaciones de éstos y otros medios. Esto se puede lograr fácilmente por medio de la información recopilada por un agente instalado, aunque puede ser más difícil para los exploradores.

Los agentes necesitan instalarse en los sistemas anfitriones, pero esto suele poder hacerse de manera automática empleando cualquier herramienta de instalación, como SMS, Active Directory IntelliMirror, PSExec o muchas otras. Una vez instalado el agente, no se requiere administración adicional.

Consulte abajo un gráfico que describe el debate del agente versus la exploración.

Uso históricoEl personal de  seguridad de TI ha utilizado exploradores históricamente, mientras que el personal de operaciones de TI ha utilizado agentes.

Automatización

Para grandes empresas u organizaciones con sitios distribuidos, los agentes ofrecen más automatización que los exploradores. Una vez instalados, los agentes se ejecutan automáticamente, mientras que los exploradores requieren esfuerzos manuales en su programación, configuración para ejecución con privilegios administrativos,  permisos a través de firewalls y ruteadores, etc.

Monitoreo continuo

Los exploradores suelen requerir mucho ancho de banda y se ejecutan manualmente. No son propicias para el monitoreo continuo de configuraciones. Los agentes se ejecutan como un servicio en la máquina anfitriona y se  pueden configurar para que descubran automáticamente y carguen datos de configuración de manera regular.

A nivel de toda la empresa

Los exploradores suelen estar limitadas al segmento de red local. La información resultante se debe enviar entonces a un servidor local y luego se debe  subir a una base de datos central.  Esto requiere a menudo esfuerzos manuales. Los agentes pueden estar diseñados para ejecutarse en la intranet de la organización y cargar automáticamente sus datos de configuración del anfitrión en un repositorio central para toda la empresa.

Agentes o exploradores

Protección de la empresa 7

Arquitectura basada en WAN

Agentes y exploradores

Para hacer esto aún más interesante, existen hoy agentes que son también exploradores.14 En muchas formas, esto permite tener lo mejor de ambos mundos, es decir, explorar todos los dispositivos en la red como ruteadores, impresoras en red y máquinas infiltradas, al tiempo de mantener las car-acterísticas de automatización del agente.

Arquitectura basada en WANLa mayoría de los productos de vulnerabilidad y evaluación de la seguridad se apoyan en exploradores de red locales. Los exploradores ponen a prueba los puertos de los sistemas anfitriones e infieren aplicaciones y vulnerabili-dades o bien tienen derechos administrativos en los sistemas anfitriones para comprobar parámetros de configuración del registro y ejecutar scripts. Esta información es muy útil para los administradores locales porque les ayuda a proteger los sistemas que tienen a su cargo.

Sin embargo, para obtener una vista a nivel de toda la empresa del estado de la seguridad, los resultados de estos exploradores locales se deben enviar a un sitio central. Si la empresa es grande, a menudo se envían a servidores regionales, que luego se agregan en un sitio central. La eje-cución de los exploradores y la carga de los resultados pueden implicar esfuerzos manuales considerables. Además, es posible que el repositorio resultante no esté en un formato de base de datos relacional estándar, de modo que puede ser difícil de consultar o de integrar con otros sistemas.

Esta arquitectura de explorador jerárquico se ilustra en la Figura 1 a contin-uación.

14 El sistema BelManage 2009 de Belarc utiliza agentes que pueden explorar tam-bién sus segmentos de red local, o subredes. Uno de los agentes de cada subred es seleccionado automáticamente para realizar la exploración local y envía sus resultados al servidor central junto con sus datos de configuración normales. El servidor agrega los datos de la subred para toda la empresa.

8 Protección de la empresa

Arquitectura basada en WAN

FIGURE 1. Arquitectura normal de explorador jerárquico

Arquitectura basada en WAN

En contraste, una arquitectura basada en WAN funciona con agentes livia-nos de recopilación de datos que utilizan la intranet de la empresa y requi-ere sólo un servidor y una base de datos (vea la Figura 2). Los agentes se comunican directamente con el servidor, prescindiendo de la necesidad de una jerarquía de servidores y de la replicación de bases de datos.

Esta arquitectura permite una fácil implementación y poca, si acaso alguna, administración local. Los agentes se ejecutan como un "servicio" y por lo tanto no necesitan que un usuario inicie sesión en la computadora para operar. Las máquinas desconectadas, como máquinas remotas y laptops, se comunicarán automáticamente con el servidor la próxima vez que se conecten a la red.

Network 1 Scanner

Network 2 Scanner

Country 1 Server

Country 2 Server

HQ Server

∗ ∗ ∗ ∗

No remote laptops

ZZ ZZ ZZ

No powered off hosts

Protección de la empresa 9

Arquitectura basada en WAN

FIGURE 2. Arquitectura basada en WAN

Mediante la publicación de información en el servidor como reportes basa-dos en Web, esta arquitectura permite también a administradores locales y a la administración regional y central compartir y acceder fácilmente a la información.15 El contenido de los reportes se adapta automáticamente con base en el inicio de sesión del usuario, de modo que cada usuario sólo verá información relevante a su área de responsabilidad.

Escalabilidad en toda la empresa

Un sistema basado en WAN correctamente diseñado con puntos extremos instrumentados, o agentes, puede escalar al tamaño de cualquier empresa.16 Lo que ayuda a hacer esta arquitectura exitosa para la empresa son los siguientes elementos:

• Uso de la intranet existente de la empresa, que suele ser dominante en toda la organización. Esto permite que los datos de configuración se agreguen automáticamente en un servidor y repositorio central sin la necesidad de configurar manualmente firewalls y ruteadores.

15 Se cuenta con soporte para inicios de sesión seguros CAC/PKI y operan con los estándares CAC/PKI del Departamento de Defensa y del Gobierno Federal de Estados Unidos.

HQ Server

∗ ∗ ∗

Intranet

Div./Country Workstations/Laptops/Servers

∗ ∗ ∗

16 El sistema de Belarc en la Marina de Estados Unidos es un ejemplo de más de 100,000 perfiles de configuración que se actualizan todos los días. El sistema se ejecuta en hardware promedio de servidor y base de datos.

10 Protección de la empresa

Prueba Positiva

• Pequeñas cargas de datos de configuración. Naturalmente, si una apli-cación usa la WAN necesita ser muy eficiente y limitar su uso de recur-sos de la red.17

• Almacenaje y recuperación eficiente de bases de datos. Con un reposito-rio central que recibe y almacena activamente cientos de miles de per-files de configuración cada día, esto se puede volver un cuello de botella, a menos que se diseño correctamente.

Facilidad de implementación y mantenimiento

Implementar un sistema basado en WAN requiere sólo configurar el servi-dor central y la base de datos, además de implementar los agentes. Como los agentes son pequeños (< 1 MB) se pueden implementar utilizando políticas de grupo de Active Directory, SMS o cualquier otro medio que utilice la organización para instalar archivos pequeños.

Una vez configurado el servidor y los agentes implementados, no hay man-tenimiento continuo de parte de los administradores locales y muy poco de parte del personal de las oficinas centrales.18 Esto contrasta abiertamente con la mayoría de los sistemas basados en exploradores, que requieren esfuerzos de administración locales y de las oficinas centrales cada vez que se ejecutan.

Prueba PositivaTodos los productos de Belarc incorporan la arquitectura de Portal en TI y estos productos han sido utilizados exitosamente por grandes clientes durante los pasados cinco años. Se incluyen breves descripciones de tres de nuestros clientes.

Dana La Corporación Dana está en la lista Mundial de Fortune 200 de fabri-cantes de auto partes y cuenta con una organización muy descentralizada. Tienen mas de 25,000 equipos de escritorio, servidores y portátiles en 30 países alrededor del mundo, los cuales envían actualizaciones diarias a su servidor BelManage. Más de 300 administradores locales ingresan al sistema BelManage para revisar el estado de sus activos de cómputo. La organización de TI de Dana utiliza BelManage diariamente para control de licencias de software, planeación de actualizaciones y administración del

17 Los agentes de Belarc suelen enviar cargas de menos de 30 KB.18 La Marina de Estados Unidos maneja su sistema BelManage con menos de 2

FTEs.

Protección de la empresa 11

El futuro ahora es posible

ciclo de vida de sus equipos. La base de datos de BelManage está también vinculada al sistema de requisiciones de compras y órdenes en línea de Dana, requiriendo únicamente de muy poca de atención de un administra-dor. Para información adicional, clique aquí.

U.S. Coast Guard Los Guarda Costas de los Estados Unidos, USCG, utilizan BelManage en sus 40,000 activos de TI distribuidos a través del país. Ellos están usando BelManage para ayudar a administrar sus contratos de licenciamiento de software, procesos de renovación de hardware, parches en seguridad, hot-fixes y demás. Ambos administradores, locales y corporativos, tienen acceso inmediato a la información actualizada que necesitan para tomar decisiones correctas. Para más detalles, clique aquí.

U.S. Marine Corps Los Marines de los Estado Unidos, USMC, han implementado BelManage en una red mundial de mas de 100,000 computadoras, incluyendo servi-dores, equipos de escritorio y portátiles. BelManage es ejecutado en un servidor Windows único, utilizando una base de datos Oracle en Quantico, VA y los perfiles se actualizan diariamente. El sistema es utilizado diaria-mente por cientos de administradores remotos alrededor del mundo y el grupo de TI corporativo utiliza BelManage para administración de licen-cias, auditorias en seguridad, consolidación de aplicaciones, planear reno-vaciones de hardware, consolidación de servidores y para la administración diaria de activos informáticos. BelManage es utilizado en ambas redes del USMC la NIPRNet y SIPRNet,† y han comprobado que menos de la mitad del tiempo de un administrador es requerido para administrar el sistema. Para información adicional clique aquí.

El futuro ahora es posibleTener acceso a un repositorio central a nivel empresarial de detalles de con-figuración actualizados abre nuevas oportunidades para análisis y mejoras a la seguridad de TI. A continuación se dan algunos ejemplos.

Análisis forense El análisis forense de ataques exitosos y no exitosos se ha basado por lo general en datos de configuración posteriores a los hechos. Sin embargo, la posibilidad de almacenar las historias de configuración en un repositorio central ofrecerá a los investigadores de seguridad datos de base mucho más precisos y útiles para entender los entornos reales antes y después del ataque. Asimismo, la historia de los cambios a la configuración permitirá a los investigadores ver el progreso real de ataques en sus redes. Por ejem-plo, podrán ver dónde fue exitoso un ataque y cómo se propagó por la red.

12 Protección de la empresa

El futuro ahora es posible

Este tipo de datos de configuración históricos reales harán más preciso y efectivo el análisis forense para lograr entender los ataques y, con suerte, prevenir nuevos ataques.

Métricas de seguridad La seguridad se mide a menudo por la frecuencia con la que se menciona a la organización en la prensa. Cuantas menos noticias, que siempre son acerca de un ataque exitoso, mejor. Aunque siempre es conveniente man-tener a su jefe y a la organización aislados de mala publicidad, existen for-mas más efectivas de medir y mejorar las operaciones de seguridad de TI. El Centro para la Seguridad de Internet (CIS, por sus siglas en inglés) ha desarrollado una serie detallada de métricas que permitirán a las organiza-ciones medir la efectividad y los costos de sus operaciones de seguridad de TI con el tiempo y por último les permitirán comparar sus operaciones con las operaciones de seguridad de otras organizaciones similares.19 Las métricas de CIS incluyen medidas de efectividad para el manejo de inci-dentes, manejo de vulnerabilidades, manejo de parches, seguridad de las aplicaciones, manejo de la configuración y métricas financieras o de cos-tos.

A fin de medir cómo se desempeña una organización contra muchas de estas métricas, se requiere un historial preciso de los cambios realizados a la configuración en toda la empresa. Esto es exactamente lo que puede ofrecer un repositorio central al profesional de la seguridad. Las métricas pueden ayudar claramente a cada organización a medir la efectividad de sus operaciones de seguridad con el tiempo. Además, una vez que un número suficiente de organizaciones hayan comenzado a usar estas métricas y las sometan a la consideración de CIS, las organizaciones podrán comenzar a ver cómo se comparan con otras con una línea de nego-cios similar.

Postura en torno a la seguridad en tiempo real

Conocer el estado de seguridad actualizado de los activos de TI de toda la empresa ha sido siempre una meta difícil de lograr. Sin embargo, con un repositorio central empresarial automatizado basado en estándares20 de configuraciones actualizadas, esto es una realidad. Por ejemplo, muchas organizaciones grandes y geográficamente distribuidas ejecutan actual-

19 Para obtener información y para descargar una copia del documento de métricas de seguridad de CIS, visite los sitios: http://www.cisecurity.org/securi-tymetrics.html y https://community.cisecurity.org/download/. (No necesita ser miembro de CIS para descargar el documento.)

Protección de la empresa 13

Resumen

mente exploraciones de vulnerabilidad en sus redes locales de manera periódica. Los resultados de estas exploraciones locales se suben después manualmente a un repositorio central. Sin embargo, este repositorio a menudo no se encuentra abierto o no es de fácil acceso. Además, es difícil comparar automáticamente los resultados de exploraciones anteriores para ver cómo han cambiado las configuraciones.

Un repositorio central basado en estándares que recibe automáticamente actualizaciones de configuración de todo el mundo a diario, o a veces más frecuentemente, puede ayudar a resolver este problema. Como estos datos están disponibles en un formato estándar y son accesibles a través de con-sultas estándar a bases de datos, el repositorio se puede utilizar para ali-mentar otras aplicaciones existentes y nuevas.21 Por ejemplo, la organización puede crear un mapa interactivo que muestre el estado de seguridad actualizado de sus activos de TI en todo el mundo.

ResumenLas mejores prácticas de seguridad están cambiando de sustentarse en pro-cesos estáticos de C&A con auditorías poco frecuentes al monitoreo con-tinuo de importantes controles de seguridad. Como la seguridad perimetral por sí sola no es suficiente para proteger los activos de TI de la empresa, los controles de seguridad deben incluir comprobaciones de las configura-ciones detalladas de los sistemas anfitriones. La información de configu-ración resultante necesita estar disponible en un repositorio central para toda la empresa al que puedan acceder con facilidad los administradores locales, el personal de las oficinas centrales y otras aplicaciones. Belarc sugiere que la mejor manera de lograr esto es con un sistema automatizado basado en estándares que utilice una arquitectura de WAN con puntos extremos instrumentados.

20 El programa NIST SCAP incluye muchos estándares de enumeración de segu-ridad de TI, como CVE (vulnerabilidades y exposiciones comunes), CPE (enu-meración de plataforma común) y otros. Para conocer los detalles consulte la GUÍA PARA ADOPTAR Y USAR EL PROTOCOLO DE AUTOMA-TIZACIÓN DEL CONTENIDO DE SEGURIDAD (SCAP) (BORRADOR), NIST Draft SP800-117.

21 El repositorio central de Belarc hace esto actualmente para los 120,000 activos de TI de la Marina de los Estados Unidos en todo el mundo.

14 Protección de la empresa

Contáctenos:

Contáctenos:Para información adicional y para una descripción de nuestras capacidades, sírvase ponerse en contacto con nosotros.

Belarc, Inc. Two Clock Tower Place, Suite 520 Maynard, MA 01754 USA Tel: (+1) 978-461-1100 Email: info@belarc.com Web: http://www.belarc.com

Copyright© 2009 Belarc, Inc. Todos los derechos reservados. Belarc, Bel-Manage y BelSecure son marcas registradas o comerciales de Belarc, Inc. Todas las otras marcas que se mencionan en este documento son propiedad de sus respectivos dueños.

Protección de la empresa 15

Contáctenos:

16 Protección de la empresa