O teu servizo é seguro? Cres que aprobarás unha auditoría? Cres que a túa xestión de acceso é a proba de balas? Quizais teña razón, pero se é honesto consigo mesmo, sabe que a seguridade sempre paga a pena comprobalo de novo e por iso escribo isto para compartir a miña opinión e experiencias.
Traballando en ambientes máis alá das pequenas e medianas empresas, decateime de que os aspectos de seguridade adoitan pasar por alto, incluso nas empresas máis grandes. Pode haber políticas anotadas nalgures nun Microsoft SharePoint non xestionado, pero para que serven os documentos se non se aplican nin se consideran ao instalar ou cambiar dispositivos na infraestrutura? Ademais, coñecín empresas produtoras de dispositivos que parecían ter un foco limitado en aspectos de seguridade. Mesmo se a solución de tal empresa destaca no prezo, características ou ambas cousas, ás veces simplemente non se pode tomar unha decisión positiva para esa empresa se está claro desde o principio que a solución non cumprirá as políticas de seguridade.
Neste artigo, quero amosar algúns puntos en cuestións de seguridade que moitas veces se pasan por alto; quizais incluso aprendas algunhas cousas aquí antes de que un mal auditor te ensine sobre iso.
Nome de usuario predeterminado / contrasinal predeterminado
Dende o momento de sacar un dispositivo da caixa ou instalar software nun servidor, o programador normalmente ten unha conta "de fábrica" que moitas veces se basea nun nome de usuario e contrasinal predeterminados para iniciar sesión por primeira vez (tamén é é posible que non haxa ningunha protección por contrasinal). Nesta fase, tes algunhas opcións en función do nivel de seguridade ou das políticas ás que teñas que cumprir. A opción 1 é ter unha conta de administrador xenérica cun contrasinal personalizado para evitar ataques de persoas que están a explotar o seu dispositivo coa axuda de páxinas web como "a lista de contrasinais predeterminada ”. A opción 2 implica que todos os usuarios administrativos obteñan o seu propio nome de usuario e escollan un contrasinal que só el ou ela coñece. En resumo, pódese dicir que a opción 1 impedirá que persoas alleas ao equipo administrativo accedan ao seu dispositivo e a opción 2 evitará ataques desde o equipo, sempre que o contrasinal non se comparta con ninguén.
Enxeñaría social
Aínda que a enxeñaría social forma parte da maioría dos adestramentos sobre sensibilidade á información, moitos empregados seguen fracasando ao ser probados nun ataque de enxeñaría social. Un enxeñeiro social pode ser un home ou unha muller que pretende formar parte do equipo ou da organización e involucrará virtualmente ou físicamente aos usuarios para compartir información crítica como as credenciais de inicio de sesión. Non hai configuracións técnicas que poidan evitar que isto suceda mentres empregas humanos e non robots, pero podes formar empregados que manexan información crucial e realizar campañas de sensibilización.
Contas de convidado
Nalgúns escenarios, o programador implementou contas de invitados ou espazo público que se pode usar ou ver sen iniciar sesión. Se non está a empregar estas funcións, debería estar ao tanto delas e desactivar estas contas de invitados para evitar que os usuarios accedan aos datos que non están destinados a acceder.
Protocolos e servizos inseguros
Moitas veces a configuración predeterminada é habilitar todos os protocolos dispoñibles. Non obstante, moitos destes non son seguros (como HTTP, FTP, Telnet, SNMP) e deberían estar desactivados permanentemente. Se é posible, debería empregar a alternativa segura dun protocolo. Se un protocolo só é necesario temporalmente (por exemplo, cando se fai unha copia de seguridade vía FTP) e non hai ningunha alternativa segura dispoñible, pode habilitalo durante a duración da tarefa e desactivar de novo o servizo.
Rexistros
Calquera cambio e tipo de acción debe rexistrarse dun xeito adecuado; esta función chámase a miúdo rexistro de auditoría ou rexistro de usuario. Nalgúns casos, é posible que un dispositivo borre o seu rexistro ao reiniciar ou que o rexistro se poida eliminar ou modificar manualmente. Para evitalo, pode traballar cun servidor syslog onde esta información de rexistro se almacena lonxe do propio dispositivo e pode comprobarse despois dun posible ataque.
Criptografía
A criptografía é un conxunto de tecnoloxías para ocultar información. Sempre que sexa posible, debería empregarse unha función de cifrado para que os datos non poidan filtrarse ao seren transferidos. Unha solución común para o cifrado é AES (Estándar de cifrado avanzado).
Fortalidade do contrasinal e frecuencia de cambio
No mellor dos casos, un contrasinal de gardar debe conter caracteres especiais aleatorios, números, maiúsculas e letras normais e debe ser o máis longo posible. Non debe seguir un patrón no teclado nin para evitar forza bruta ataques, non debe conter palabras que se poidan atopar nun dicionario. O contrasinal non se debe anotar físicamente e definitivamente non debe acabar nunha nota post-it pegada na parte frontal do monitor ou debaixo do teclado. Se hai políticas activas que impoñen un contrasinal bastante difícil de memorizar, debería solicitar ao seu responsable de seguridade da información o software de xestión de contrasinais aprobado na súa organización.
A frecuencia de cambio (ou o cambio de contrasinais en xeral) é un asunto aberto a discusión, pero se é política cambiar o contrasinal cada tres meses, só hai que facelo. Aínda ten sentido facelo, aínda que o cambio de contrasinais incentive aos usuarios a escoller contrasinais máis débiles para memorizalos mellor. A vida útil dun contrasinal é de aproximadamente menos de 100 días e iso débese a que tardaría aproximadamente 100 días en romper un contrasinal cunha intensidade normal.
Resumo
Estes puntos son só as miñas suxestións e, por suposto, sempre debe consultar ao persoal de seguridade da información da súa organización e comprobar se hai políticas activas. Se tes comentarios ou pensas que esquecín un tema importante, non dubides en escribir un comentario a continuación e podemos traballar para completar xuntos.
Grazas pola lectura e moita sorte coa auditoría.
Esta publicación publicouse orixinalmente no blogue Radical Logic en outubro de 2011 pero agora transferiuse aquí xa que a antiga plataforma xa non se mantén.
Crédito da foto: Nicolás Raimundo / Stock de Athena
