Matriz estado seguridad
El presente trabajo, es simplemente una propuesta a analizar, con pocos parámetros a tener en cuenta para poder evaluar el estado de seguridad de un sistema y realizar el seguimiento del mismo tratando de minimizar las subjetividades y fuertemente basado en herramientas de detección de vulnerabilidades e intrusiones. Como todo trabajo “Libre” de Internet, es susceptible a todas las mejoras que puedan surgir (que seguramente serán muchas) y que permitan mejorar el mismo.
Desde hace tiempo existen en Internet, numerosos métodos para poder evaluar el estado de seguridad en que se encuentra un sistema informático, entendiéndose por sistema informático, el conjunto de componentes que hacen posible la sistematización a través de computadoras del trabajo de una organización, es decir: Servidores, hosts, bases de datos, componentes de red, etc.
Basado en la experiencia de trabajo cotidiano, se llegó a la conclusión que es imprescindible poder obtener valores, que permitan evaluar el nivel alcanzado en seguridad en un momento dado, como así también realizar las comparativas correspondientes para poder determinar si se ha mejorado o empeorado a lo largo del tiempo y corroborar o no, que las medidas que se adoptan son las adecuadas. Este detalle es de particular interés tanto para los administradores de sistemas como para los directivos, pues permite generar informes periódicos que justifiquen el trabajo y las inversiones realizadas demostrando el destino final de los mismos.
Luego de analizar y poner en práctica muchos de ellos, se ha llegado a la conclusión que presentan casi todos una serie de factores que hacen poco útil su empleo, algunos de ellos son:
- Subjetividad en la asignación de valores.
- Complejidad en su confección y cálculo.
- Dificultad en su mantenimiento y actualización.
- Generación de alta resistencia al cambio para los administradores.
- Falta de integración con herramientas de detección de eventos reales.
Buscando alguna forma práctica de llevar a cabo esta actividad, que se considera fundamental, se planteó definir inicialmente los conceptos que pueden hacer que esta tarea llegue a buen puerto, para luego avanzar a su desarrollo. Bajo esta idea, se propuso lo siguiente:
- Solo lo simple promete éxito.
- Eliminar toda subjetividad.
- Poder obtener índices de seguimiento y evolución.
Bajo estos conceptos rectores, se trató de acotar el problema a lo siguiente:
- El sistema debe estar organizado por zonas de seguridad, respetando rigurosamente la colocación de cada elemento en su zona, acorde al impacto que este puede ocasionar en el sistema, valorado por la criticidad de la información que controla.
- Se debe conocer claramente sus límites y puntos de acceso.
- Se deben integrar las herramientas de detección y escucha con esta tarea.
- Se supone que se mantienen actualizados todos los plugins necesarios para estar al día con detección de eventos y vulnerabilidades en las herramientas a emplear.
- Se centra la atención exclusivamente en servidores y elementos de red, dejándose a un lado los hosts cliente.
- Se tendrá en cuenta para su bastionado y calificación todo servidor y elemento de red, es decir Servidores de todo tipo, FWs, Routers, NIDS y HIDS, Puntos de acceso, etc. De aquí en más denominado “Elemento”
Para pasar al desarrollo, se definieron los siguientes conceptos:
Zonas:
Si bien se pueden diferenciar algunas otras, en este caso se limitarán a las tres siguientes:
a. Internet: En esta zona se encontrará todo elemento que puede ser accedido por cualquier usuario de Internet. Cabe aclarar, que en otro estudio que es motivo de mi tesis, esta zona suelo dividirla en dos (Internet y lo que denominé “Customnet”). La última de ellas, me pareció adecuado tratarla por separado en un estudio profundo, pues la característica que la diferencia es la posibilidad del usuario de interactuar con cierta libertad sobre un servidor en esa zona, como por ejemplo, disponer de un espacio de disco duro, personalizar páginas web, etc. Estas características generan algunos puntos débiles que no existen en el caso de un servidor que sólo permite realizar “consultas pasivas”, por así llamarlas, es más ya hay disponibles servidores que operan sobre CDs, sin la necesidad de disco duro. No cabe duda que este último caso es de muy difícil alteración, no sucediendo lo mismo sobre un servidor que me permite acceder a su disco y realizar operaciones sobre el mismo. En resumen esta zona, puede ser subdividida por razones de seguridad, y a ambas podrá acceder un usuario totalmente desconocido desde Internet, pero cada una de ellas deberá ser tratada de forma diferente por parte del administrador de seguridad. En este trabajo, por razones de simplificar el ambiente de trabajo, no se subdividirá, pero puede hacerse sin ningún problema
b. Intranet: A esta zona sólo accederán usuarios de la empresa. Se pueden considerar también aquí a los partners y clientes, si los mismos están debidamente autenticados y registrados. Si no se los desea incluir aquí, al igual que en el punto anterior, se puede ampliar este trabajo con otra zona más denominada comúnmente “Extranet” y realizar el tratamiento de la misma, bajo esta metodología. A los efectos de acotar el problema, en este trabajo no se dividirá esta zona, pero se puede realizar sin mayores inconvenientes.
c. Core: Como su palabra lo dice, es el corazón de la empresa. Esta zona debe ser tratada con especial atención y claramente diferenciada de Intranet. En esta zona sólo accederán ciertos usuarios de la Empresa y con los máximos controles de seguridad. Se encuentran aquí las bases de datos de facturación, personal, I+D, etc.
Una vez definidas y acotadas estas tres zonas, se especifican los parámetros con los que se va a confeccionar la matriz.
Cada parámetro es tenido en cuenta desde dos posibilidades de ocurren
Desde hace tiempo existen en Internet, numerosos métodos para poder evaluar el estado de seguridad en que se encuentra un sistema informático, entendiéndose por sistema informático, el conjunto de componentes que hacen posible la sistematización a través de computadoras del trabajo de una organización, es decir: Servidores, hosts, bases de datos, componentes de red, etc.
Basado en la experiencia de trabajo cotidiano, se llegó a la conclusión que es imprescindible poder obtener valores, que permitan evaluar el nivel alcanzado en seguridad en un momento dado, como así también realizar las comparativas correspondientes para poder determinar si se ha mejorado o empeorado a lo largo del tiempo y corroborar o no, que las medidas que se adoptan son las adecuadas. Este detalle es de particular interés tanto para los administradores de sistemas como para los directivos, pues permite generar informes periódicos que justifiquen el trabajo y las inversiones realizadas demostrando el destino final de los mismos.
Luego de analizar y poner en práctica muchos de ellos, se ha llegado a la conclusión que presentan casi todos una serie de factores que hacen poco útil su empleo, algunos de ellos son:
- Subjetividad en la asignación de valores.
- Complejidad en su confección y cálculo.
- Dificultad en su mantenimiento y actualización.
- Generación de alta resistencia al cambio para los administradores.
- Falta de integración con herramientas de detección de eventos reales.
Buscando alguna forma práctica de llevar a cabo esta actividad, que se considera fundamental, se planteó definir inicialmente los conceptos que pueden hacer que esta tarea llegue a buen puerto, para luego avanzar a su desarrollo. Bajo esta idea, se propuso lo siguiente:
- Solo lo simple promete éxito.
- Eliminar toda subjetividad.
- Poder obtener índices de seguimiento y evolución.
Bajo estos conceptos rectores, se trató de acotar el problema a lo siguiente:
- El sistema debe estar organizado por zonas de seguridad, respetando rigurosamente la colocación de cada elemento en su zona, acorde al impacto que este puede ocasionar en el sistema, valorado por la criticidad de la información que controla.
- Se debe conocer claramente sus límites y puntos de acceso.
- Se deben integrar las herramientas de detección y escucha con esta tarea.
- Se supone que se mantienen actualizados todos los plugins necesarios para estar al día con detección de eventos y vulnerabilidades en las herramientas a emplear.
- Se centra la atención exclusivamente en servidores y elementos de red, dejándose a un lado los hosts cliente.
- Se tendrá en cuenta para su bastionado y calificación todo servidor y elemento de red, es decir Servidores de todo tipo, FWs, Routers, NIDS y HIDS, Puntos de acceso, etc. De aquí en más denominado “Elemento”
Para pasar al desarrollo, se definieron los siguientes conceptos:
Zonas:
Si bien se pueden diferenciar algunas otras, en este caso se limitarán a las tres siguientes:
a. Internet: En esta zona se encontrará todo elemento que puede ser accedido por cualquier usuario de Internet. Cabe aclarar, que en otro estudio que es motivo de mi tesis, esta zona suelo dividirla en dos (Internet y lo que denominé “Customnet”). La última de ellas, me pareció adecuado tratarla por separado en un estudio profundo, pues la característica que la diferencia es la posibilidad del usuario de interactuar con cierta libertad sobre un servidor en esa zona, como por ejemplo, disponer de un espacio de disco duro, personalizar páginas web, etc. Estas características generan algunos puntos débiles que no existen en el caso de un servidor que sólo permite realizar “consultas pasivas”, por así llamarlas, es más ya hay disponibles servidores que operan sobre CDs, sin la necesidad de disco duro. No cabe duda que este último caso es de muy difícil alteración, no sucediendo lo mismo sobre un servidor que me permite acceder a su disco y realizar operaciones sobre el mismo. En resumen esta zona, puede ser subdividida por razones de seguridad, y a ambas podrá acceder un usuario totalmente desconocido desde Internet, pero cada una de ellas deberá ser tratada de forma diferente por parte del administrador de seguridad. En este trabajo, por razones de simplificar el ambiente de trabajo, no se subdividirá, pero puede hacerse sin ningún problema
b. Intranet: A esta zona sólo accederán usuarios de la empresa. Se pueden considerar también aquí a los partners y clientes, si los mismos están debidamente autenticados y registrados. Si no se los desea incluir aquí, al igual que en el punto anterior, se puede ampliar este trabajo con otra zona más denominada comúnmente “Extranet” y realizar el tratamiento de la misma, bajo esta metodología. A los efectos de acotar el problema, en este trabajo no se dividirá esta zona, pero se puede realizar sin mayores inconvenientes.
c. Core: Como su palabra lo dice, es el corazón de la empresa. Esta zona debe ser tratada con especial atención y claramente diferenciada de Intranet. En esta zona sólo accederán ciertos usuarios de la Empresa y con los máximos controles de seguridad. Se encuentran aquí las bases de datos de facturación, personal, I+D, etc.
Una vez definidas y acotadas estas tres zonas, se especifican los parámetros con los que se va a confeccionar la matriz.
Cada parámetro es tenido en cuenta desde dos posibilidades de ocurren
