Académique Documents
Professionnel Documents
Culture Documents
Protección de la empresa
1
Los recientes lineamientos de auditoría de consenso (CAG, por sus siglas en
inglés), creados por el Instituto SANS, la Agencia Nacional de Seguridad, US-
CERT y otras organizaciones federales y privadas, hacen hincapié en la necesi-
dad de un monitoreo automatizado continuo de controles de seguridad. http://
www.sans.org/cag/guidelines.php
Asimismo, los nuevos lineamientos NIST para C&A, titulados Guía para la
autorización de la seguridad de los sistemas de información federales (Guide
for Security Authorization of Federal Information Systems) SP800-37 (borra-
dor) hace hincapié en el monitoreo continuo de controles que cambian fre-
cuentemente. Aquí encontrará los detalles: http://csrc.nist.gov/publications/
drafts/800-37-Rev1/SP800-37-rev1-IPD.pdf, consulte la Sección 2.9, Moni-
toreo continuo (Continuous Monitoring).
1
Las configuraciones son importantes
2 ITIL enfatiza que es importante para una organización adoptar una vista empre-
sarial de sus activos de TI. Esto contrasta con la práctica común actual que se
basa en herramientas y procedimientos manuales implementados por adminis-
tradores locales. http://en.wikipedia.org/wiki/ITIL
3
Establecer y monitorear configuraciones con base en pruebas de referencia de
consenso es importante para la seguridad de TI porque es una forma proactiva
de evitar muchos ataques exitosos. La Agencia Nacional de Seguridad de Esta-
dos Unidos ha descubierto que la configuración de computadoras con parámet-
ros de seguridad apropiados bloquea más del 90% de las amenazas existentes.
(Boletines IA "Pruebas de referencia de seguridad: un estándar de oro". Haga
clic aquí para solicitar una copia, http://iac.dtic.mil/iatac/index.html.)
2 Protección de la empresa
Estado actual
Estado actual
Hoy día, muchas organizaciones y el gobierno federal de Estados Unidos
recurren casi exclusivamente a un proceso de certificación y acreditación
(C&A) para proteger sus sistemas de TI. Un ejemplo de esto es el proyecto
de Ley Federal de Administración de la Seguridad de la Información
(FISMA) supervisado por OMB de Estados Unidos e implementado por
NIST.
Las revisiones de C&A se suelen llevar a cabo sobre una base muy poco
frecuente, como cuando se inicia un sistema de TI y luego sobre una base
anual o más larga. Puesto que muchos de estos controles, como los de
FISMA, están basados en procesos, tiene poco sentido revisarlos más de
una vez al año. Sin embargo, desde un punto de vista operacional, ¿qué
sucede entretanto? En general, los administradores locales corren explora-
dores en las redes que tienen a su cargo. A menudo, estos exploradores
requieren esfuerzo manual y se llevan a cabo de manera poco frecuente,
cuando mucho cada semana, y a menudo cada mes o cada trimestre. Estos
resultados de exploradores locales tampoco suelen estar disponibles en
4
The Jericho Forum, foro de liderazgo de TI fundado por compañías internacio-
nales de la lista Fortune 500, ha venido analizando este problema. The Jericho
Forum incluso le ha dado un nombre, "desperimetrización". Para conocer los
detalles, visite el sitio: http://www.opengroup.org/jericho/
Protección de la empresa 3
Protección de la empresa
Protección de la empresa
5 Por ejemplo, las Fuerzas Armadas de Estados Unidos requieren que los resulta-
dos de los exploradores locales se carguen en su sistema de Recursos de
seguimiento de activos y vulnerabilidades (Asset & Vulnerability Tracking
Resource, A&VTR). Sin embargo, esta carga de información está basada en la
ejecución manual de los exploradores locales y luego en cargar manualmente
los resultados en el sistema A&VTR.
6 Por ejemplo, los lineamientos de auditoría de consenso (CAG), cuyos detalles
se pueden ver aquí: http://www.sans.org/cag/guidelines.php
7
Por ejemplo, la lista de procesos de CAG y NIST FDCC, cuyos detalles se
pueden ver aquí: http://nvd.nist.gov/fdcc/index.cfm
8
Por ejemplo, la Guía de CAG y NIST para autorización de seguridad de siste-
mas federales de información, SP800-37 (borrador), cuyos detalles se pueden
ver aquí: http://csrc.nist.gov/publications/drafts/800-37-Rev1/SP800-37-rev1-
IPD.pdf
4 Protección de la empresa
Agentes o exploradores
Agentes o exploradores
El uso de agentes ha sido complicado tradicionalmente para el personal de
seguridad de TI. En general, el personal de seguridad no tiene acceso a las
máquinas anfitrionas que se requieren para instalar un agente. Por desgra-
cia, recurrir a exploradores para determinar las vulnerabilidades de la
empresa se está volviendo una operación cada vez más difícil y manual.
Los exploradores se basan en el descubrimiento de puertos abiertos y en
deducir qué servicios y aplicaciones se ejecutan en las máquinas anfitrio-
nas. Este método por sí solo produce a menudo muchos errores como falsos
positivos o parámetros de configuración faltantes. Si la exploración puede
obtener permisos de administrador en el anfitrión, y acceder al registro
local y a servicios para compartir archivos, puede determinar las aplica-
ciones y vulnerabilidades con mayor precisión.
Como las prácticas normales de las redes limitan la mayor parte del tráfico
a LANs locales, los exploradores sólo pueden examinar el segmento de red
local a menos que se les concedan derechos de atravesar los firewalls y
9
El programa SCAP de NIST incluye muchos estándares de enumeración de la
seguridad de TI, como CVE (vulnerabilidades y exposiciones comunes, Com-
mon Vulnerabilities and Exposures), CPE (enumeración de plataforma común,
Common Platform Enumeration) y otros. Para conocer los detalles, consulte la
GUÍA PARA ADOPTAR Y USAR EL PROTOCOLO DE AUTOMA-
TIZACIÓN DEL CONTENIDO DE SEGURIDAD (SECURITY CONTENT
AUTOMATION PROTOCOL, SCAP) (BORRADOR) borrador de NIST Draft
SP800-117.
10 Aunque Wake-On-LAN puede ser de utilidad, la coordinación de su uso para el
monitoreo de la empresa no resulta práctico.
Protección de la empresa 5
Agentes o exploradores
Los agentes tampoco son una solución mágica, pero en el entorno empre-
sarial actual ofrecen algunos beneficios críticos y únicos. Como el agente
se ejecuta en la máquina anfitriona como servicio, puede ser muy preciso
con respecto a la configuración del sistema anfitrión, lo que da como resul-
tado un menor número de falsos positivos o parámetros de configuración
faltantes. Asimismo, si el sistema anfitrión está encendido o conectado a
una red, puede pasar desapercibido por el agente. El agente puede estar dis-
eñado para cargar automáticamente sus resultados cuando el sistema
anfitrión está encendido o cuando tiene una conexión de red.
Para que sean de utilidad, las empresas necesitan ver los datos de configu-
ración resultantes basados en su estructura organizacional interna. Por
ejemplo, puede ser por unidades organizacionales (OUs) de Active Direc-
11
Los agentes pueden identificar de manera única los sistemas anfitriones utili-
zando el UUID (Universally Unique Identifier, identificador universalmente
único) en la motherboard del sistema anfitrión.
12 En general se admiten protocolos http o https (puerto 80 o 443) en la red interna
de la empresa sin que se requieran cambios a la configuración. Naturalmente, si
los agentes utilizan la intranet de la organización, necesitan estar bien maneja-
dos para que no interfieran con el tráfico normal de la red. Esto significa un
tamaño compacto y la posibilidad de programarse de forma aleatoria de modo
que no afecte a la red.
13 Por ejemplo, si los rangos de direcciones IP cambian en las subredes, esto
afectará en general los exploradores, aunque no tendrán impacto en los agentes
que usan un protocolo WAN.
6 Protección de la empresa
Agentes o exploradores
Los agentes necesitan instalarse en los sistemas anfitriones, pero esto suele
poder hacerse de manera automática empleando cualquier herramienta de
instalación, como SMS, Active Directory IntelliMirror, PSExec o muchas
otras. Una vez instalado el agente, no se requiere administración adicional.
Agentes o exploradores
El personal de seguridad de TI ha utilizado exploradores
Uso histórico históricamente, mientras que el personal de operaciones de
TI ha utilizado agentes.
Para grandes empresas u organizaciones con sitios
distribuidos, los agentes ofrecen más automatización que los
exploradores. Una vez instalados, los agentes se ejecutan
Automatización automáticamente, mientras que los exploradores requieren
esfuerzos manuales en su programación, configuración para
ejecución con privilegios administrativos, permisos a través
de firewalls y ruteadores, etc.
Los exploradores suelen requerir mucho ancho de banda y se
ejecutan manualmente. No son propicias para el monitoreo
Monitoreo continuo de configuraciones. Los agentes se ejecutan como
continuo un servicio en la máquina anfitriona y se pueden configurar
para que descubran automáticamente y carguen datos de
configuración de manera regular.
Los exploradores suelen estar limitadas al segmento de red
local. La información resultante se debe enviar entonces a un
servidor local y luego se debe subir a una base de datos
A nivel de toda central. Esto requiere a menudo esfuerzos manuales. Los
la empresa agentes pueden estar diseñados para ejecutarse en la
intranet de la organización y cargar automáticamente sus
datos de configuración del anfitrión en un repositorio central
para toda la empresa.
Protección de la empresa 7
Arquitectura basada en WAN
Agentes y Para hacer esto aún más interesante, existen hoy agentes que son también
exploradores exploradores.14 En muchas formas, esto permite tener lo mejor de ambos
mundos, es decir, explorar todos los dispositivos en la red como ruteadores,
impresoras en red y máquinas infiltradas, al tiempo de mantener las car-
acterísticas de automatización del agente.
Sin embargo, para obtener una vista a nivel de toda la empresa del estado
de la seguridad, los resultados de estos exploradores locales se deben
enviar a un sitio central. Si la empresa es grande, a menudo se envían a
servidores regionales, que luego se agregan en un sitio central. La eje-
cución de los exploradores y la carga de los resultados pueden implicar
esfuerzos manuales considerables. Además, es posible que el repositorio
resultante no esté en un formato de base de datos relacional estándar, de
modo que puede ser difícil de consultar o de integrar con otros sistemas.
14 El sistema BelManage 2009 de Belarc utiliza agentes que pueden explorar tam-
bién sus segmentos de red local, o subredes. Uno de los agentes de cada subred
es seleccionado automáticamente para realizar la exploración local y envía sus
resultados al servidor central junto con sus datos de configuración normales. El
servidor agrega los datos de la subred para toda la empresa.
8 Protección de la empresa
Arquitectura basada en WAN
No remote laptops
ZZ ZZ ZZ
Country 2 Server
∗∗∗
No pow ered off hosts
Arquitectura basada en En contraste, una arquitectura basada en WAN funciona con agentes livia-
WAN nos de recopilación de datos que utilizan la intranet de la empresa y requi-
ere sólo un servidor y una base de datos (vea la Figura 2). Los agentes se
comunican directamente con el servidor, prescindiendo de la necesidad de
una jerarquía de servidores y de la replicación de bases de datos.
Protección de la empresa 9
Arquitectura basada en WAN
Div./Country Workstations/Laptops/Servers
∗∗∗
HQ Server
Intranet
∗∗∗
Escalabilidad en toda Un sistema basado en WAN correctamente diseñado con puntos extremos
la empresa instrumentados, o agentes, puede escalar al tamaño de cualquier empresa.16
Lo que ayuda a hacer esta arquitectura exitosa para la empresa son los
siguientes elementos:
• Uso de la intranet existente de la empresa, que suele ser dominante en
toda la organización. Esto permite que los datos de configuración se
agreguen automáticamente en un servidor y repositorio central sin la
necesidad de configurar manualmente firewalls y ruteadores.
15
Se cuenta con soporte para inicios de sesión seguros CAC/PKI y operan con los
estándares CAC/PKI del Departamento de Defensa y del Gobierno Federal de
Estados Unidos.
16 El sistema de Belarc en la Marina de Estados Unidos es un ejemplo de más de
100,000 perfiles de configuración que se actualizan todos los días. El sistema
se ejecuta en hardware promedio de servidor y base de datos.
10 Protección de la empresa
Prueba Positiva
Prueba Positiva
Todos los productos de Belarc incorporan la arquitectura de Portal en TI y
estos productos han sido utilizados exitosamente por grandes clientes
durante los pasados cinco años. Se incluyen breves descripciones de tres de
nuestros clientes.
17
Los agentes de Belarc suelen enviar cargas de menos de 30 KB.
18 La Marina de Estados Unidos maneja su sistema BelManage con menos de 2
FTEs.
Protección de la empresa 11
El futuro ahora es posible
U.S. Coast Guard Los Guarda Costas de los Estados Unidos, USCG, utilizan BelManage en
sus 40,000 activos de TI distribuidos a través del país. Ellos están usando
BelManage para ayudar a administrar sus contratos de licenciamiento de
software, procesos de renovación de hardware, parches en seguridad, hot-
fixes y demás. Ambos administradores, locales y corporativos, tienen
acceso inmediato a la información actualizada que necesitan para tomar
decisiones correctas. Para más detalles, clique aquí.
U.S. Marine Corps Los Marines de los Estado Unidos, USMC, han implementado BelManage
en una red mundial de mas de 100,000 computadoras, incluyendo servi-
dores, equipos de escritorio y portátiles. BelManage es ejecutado en un
servidor Windows único, utilizando una base de datos Oracle en Quantico,
VA y los perfiles se actualizan diariamente. El sistema es utilizado diaria-
mente por cientos de administradores remotos alrededor del mundo y el
grupo de TI corporativo utiliza BelManage para administración de licen-
cias, auditorias en seguridad, consolidación de aplicaciones, planear reno-
vaciones de hardware, consolidación de servidores y para la administración
diaria de activos informáticos. BelManage es utilizado en ambas redes del
USMC la NIPRNet y SIPRNet,† y han comprobado que menos de la mitad
del tiempo de un administrador es requerido para administrar el sistema.
Para información adicional clique aquí.
12 Protección de la empresa
El futuro ahora es posible
Métricas de seguridad La seguridad se mide a menudo por la frecuencia con la que se menciona a
la organización en la prensa. Cuantas menos noticias, que siempre son
acerca de un ataque exitoso, mejor. Aunque siempre es conveniente man-
tener a su jefe y a la organización aislados de mala publicidad, existen for-
mas más efectivas de medir y mejorar las operaciones de seguridad de TI.
El Centro para la Seguridad de Internet (CIS, por sus siglas en inglés) ha
desarrollado una serie detallada de métricas que permitirán a las organiza-
ciones medir la efectividad y los costos de sus operaciones de seguridad de
TI con el tiempo y por último les permitirán comparar sus operaciones con
las operaciones de seguridad de otras organizaciones similares.19 Las
métricas de CIS incluyen medidas de efectividad para el manejo de inci-
dentes, manejo de vulnerabilidades, manejo de parches, seguridad de las
aplicaciones, manejo de la configuración y métricas financieras o de cos-
tos.
19
Para obtener información y para descargar una copia del documento de
métricas de seguridad de CIS, visite los sitios: http://www.cisecurity.org/securi-
tymetrics.html y https://community.cisecurity.org/download/. (No necesita ser
miembro de CIS para descargar el documento.)
Protección de la empresa 13
Resumen
Resumen
Las mejores prácticas de seguridad están cambiando de sustentarse en pro-
cesos estáticos de C&A con auditorías poco frecuentes al monitoreo con-
tinuo de importantes controles de seguridad. Como la seguridad perimetral
por sí sola no es suficiente para proteger los activos de TI de la empresa,
los controles de seguridad deben incluir comprobaciones de las configura-
ciones detalladas de los sistemas anfitriones. La información de configu-
ración resultante necesita estar disponible en un repositorio central para
toda la empresa al que puedan acceder con facilidad los administradores
locales, el personal de las oficinas centrales y otras aplicaciones. Belarc
sugiere que la mejor manera de lograr esto es con un sistema automatizado
basado en estándares que utilice una arquitectura de WAN con puntos
extremos instrumentados.
14 Protección de la empresa
Contáctenos:
Contáctenos:
Para información adicional y para una descripción de nuestras capacidades,
sírvase ponerse en contacto con nosotros.
Belarc, Inc.
Two Clock Tower Place, Suite 520
Maynard, MA 01754 USA
Tel: (+1) 978-461-1100
Email: info@belarc.com
Web: http://www.belarc.com
Copyright© 2009 Belarc, Inc. Todos los derechos reservados. Belarc, Bel-
Manage y BelSecure son marcas registradas o comerciales de Belarc, Inc.
Todas las otras marcas que se mencionan en este documento son propiedad
de sus respectivos dueños.
Protección de la empresa 15
Contáctenos:
16 Protección de la empresa