Checklist per Auditoria de Seguretat Informàtica

Passos per a realitzar una auditoria i elaborar un informe de seguretat més o menys complet

Auditoria de Xarxes Informàtiques a Madrid
Auditoria de Xarxes Informàtiques a Madrid. Un servei per assegurar-se que els sistemes informàtics de la seva empresa són professionals, fiables, escalables i sobre tot, segurs.

En aquest document s’analitzen els mètodes (o “checklist”) per dur a terme una auditoria de seguretat exhaustiva i efectiva d’un sistema informàtic o xarxa. No es tracta de discutir específicament els detalls tècnics de la prevenció en els sistemes informàtics específics, sinó que proporcionarà una llista de verificació general per examinar la seguretat d’un sistema informàtic. Encara que aquest document el vam fer fa temps i ha envellit una mica, el checklist per al qüestionari que hauríem de fer són encara molt vigents. La seguretat informàtica és una àrea en què hem d’invertir temps per evitar possibles problemes i després haver de reparar danys.

Aquest document no és una guia tècnica detallada que s’hagi de prendre com a definitiva o integral, hauria de comparar amb la política de gestió de seguretat de la informació de la seva empresa en particular per als passos a seguir per assegurar el seu sistema. L’autor d’aquest document no serà responsable dels danys, directes o indirectes, incorreguts en el seguiment d’aquest consell. Si ha patit una fallada de seguretat, hauria de contactar amb un professional amb experiència en seguretat per avaluar les opcions de recuperació.

Si està interessat en que fem una auditoria de seguretat informàtica a la seva empresa, si us plau demaneu-nos pressupost d’una auditoria de seguretat. La nostra empresa, Impulso Tecnológico, està disponible per a certs tipus de serveis de consultoria de seguretat.

CONTINGUT

  1. Seguretat Física
  2. Seguretat de Xarxes
  3. Protocols / Serveis
  4. Seguretat de l’usuari
  5. Emmagatzematge de Dades de Seguretat
  6. Contrasenyes
  7. Administració del sistema

1. SEGURETAT FÍSICA

La seguretat física és la part més important de l’manteniment de la seguretat d’un sistema informàtic, i és sovint passada per alt pels administradors de sistemes descuidats que assumeixen que cal fer de tant en tant un cop d’ull ràpid als sistemes, és protecció suficient . Això pot ser suficient per a alguns sistemes, però en la majoria dels casos, hi ha més factors que s’han de considerar abans de que un sistema pot donar-se per segur físicament.

  • Es troba el sistema en una superfície sòlida i estable el més a prop de terra possible?
  • Està el sistema fora de perill de la llum solar excessiva, vent, pols, aigua o temperatures extremes de fred / calor?
  • Està el sistema situat en un lloc on pugui tenir un seguiment, aïllat i amb poc trànsit humà?
  • Està la sala / edifici en el qual es troba el sistema securitzat amb un pany o sistema d’alarma perquè només personal autoritzat accedeixi? Estan les portes tancades amb clau i les alarmes activades fora d’horari d’oficina?
  • Està el terminal de sistema bloquejat per evitar que algú per casualitat passi pel sistema i el faci servir (encara que només sigui per uns segons)? Estan tots els usuaris desconnectats del terminal?
  • Estan els interruptors del terminal bloquejats o protegits?
  • Existeixen dispositius d’entrada a el sistema no assegurats / deshabilitats: unitats de disc bloquejades / deshabilitades? Estan els ports paral·lel / sèrie / infraroig / USB / SCSI assegurats o deshabilitats? Hi ha discs durs connectats físicament a el sistema sense bloquejar?

2. SEGURETAT DE XARXES

La seguretat de xarxes és la segona part més important de l’manteniment d’uns sistemes segurs. Si bé la seguretat física juga un paper important, si opera en els seus sistemes en un entorn de xarxa / multiusuari, el sistema és molt més susceptible als atacs externs que un sistema autònom. La seguretat de la xarxa també és més difícil d’avaluar, ja que requereix un coneixement profund dels diversos components i capes del seu sistema i tots els serveis externs que interactuen amb el sistema.

  • Xarxa Física: ¿hi ha la xarxa segura sense perill de connexió no autoritzada? Té només el personal autoritzat accés a la xarxa física a la qual està connectat el sistema? Coneix i confia en tots els diversos punts on es gestiona la connexió de xarxa física / administrats per una altra persona o entitat?
  • Estan els altres sistemes de la mateixa xarxa física i electrònicament securitzats? Si el sistema és raonablement segur, però un altre sistema de la xarxa no ho és, la vulnerabilitat del seu sistema augmenta en gran mesura.
  • Trànsit de xarxa aprovat:
    • ¿Coneix els noms dels proveïdors, la funcionalitat i la naturalesa del programari en el seu sistema que participa en qualsevol activitat de la xarxa? Ha comprovat que no hi hagi pegats de seguretat del programari i rep regularment les actualitzacions de seguretat / vulnerabilitats del programari que utilitza a la xarxa?
    • Ha provat a fons qualsevol servei que funcioni a la xarxa per assegurar-se que per defecte no proporciona a algun usuari no autoritzat informació de seguretat que es podria utilitzar per atacar el sistema?
    • Es limiten les capacitats dels usuaris perquè la informació sensible sobre el sistema no estigui disponible a la xarxa?
    • Es permet l’execució de la consola de sistema (o línia de comandes) només a usuaris autoritzats?
    • És conscient dels forats de seguretat creats per cert programari que interactua amb altres?
    • Manté suficients registres (logs) de l’activitat de xarxa aprovada?
    • Coneix tot el programari que pot interactuar amb la xarxa, els números de port que utilitzen, la mida i la ubicació dels executables, etc.?
    • Es canvien les contrasenyes dels comptes d’usuari de la xarxa amb regularitat?
    • Es xifren les dades confidencials que es transfereixen a través de la xarxa?
  • Trànsit de xarxa no aprovat:
    • Acostuma a buscar intents repetits de connexió no autoritzats per connectar al seu sistema a través d’una xarxa? Manté registres suficients de tota l’activitat de xarxa relacionada amb el seu sistema?
    • Acostuma a comprovar si els programes no autoritzats que s’executen en el seu sistema que potencialment podria permetre a un usuari connectar-se a través de la xarxa?
    • Monitoritza l’activitat de xarxa a la recerca de tràfic excessiu o inusual que arriba al seu sistema?

3. PROTOCOLS / SERVEIS

Un cop auditats les capes físiques i de xarxa del seu sistema, la següent categoria en el nostre checklist d’una auditoria de seguretat informàtica és potser una de les més complexes. Els ordinadors estan fets per calcular i, depenent del propòsit del seu sistema, es va a executar diferent programari i programes en qualsevol moment. És probable que en la majoria dels casos, ja que tot el programari va ser desenvolupat per diferents persones amb diferents concepcions de la seguretat (i perque sempre hi ha gent que en sap més sobre la seguretat), al menys un d’aquests programes té algun tipus de problema de seguretat que podria ser explotat.

  • Tot i que en general és segur assumir que el programari que ve preinstal·lat en un nou sistema és raonablement segur, sempre s’ha de consultar amb els desenvolupadors del programari sobre pegats de seguretat, notes de versió i altra informació rellevant per a la seva configuració particular.
  • Per a qualsevol programari que s’instal·la en un nou sistema, assegureu-vos que està plenament segur de les credencials del desenvolupador, tots els pegats de seguretat, vulnerabilitats existents i notes de la versió que existeixen. Hauria de fer-ne un hàbit el consultar als desenvolupadors periòdicament per comprovar que no hi hagi nous llançaments que puguin tenir pegats de seguretat. També és una bona idea subscriure’s als butlletins de notícies del seu programari, o llistes de correu generals, que puguin anunciar forats de seguretat.
  • Una configuració errònia és probablement la causa més comuna perque algú exploti un forat de seguretat. La majoria del programari està desenvolupat per ser raonablement segur, però fins i tot el programari més segur pot ser utilitzat per a fins no desitjats si està mal configurat. Sempre seguiu les instruccions del proveïdor per a la instal·lació de programari i sempre prengui apunts sobre qualsevol problema que trobi en el procés de configuració. Si un programa requereix de privilegis especials per instal·lar o executar (per exemple, executar com a administrador a Windows), assegureu-vos d’entendre totes les implicacions d’haver de fer-ho i els possibles efectes secundaris creat en el procés. Comprovar la configuració del programari a fons, tractar de trencar-la, tractar d’introduir-s’hi (hackejar), i veure si els altres poden fer el mateix.
  • Si un programa té accés a dades sensibles, assegurar-se que només pot ser executat per usuaris autoritzats, i assegureu-vos que els registres i la informació que s’emmagatzema temporalment, sigui en un lloc segur i decideixi ràpid on. Alguna gent pot fer coses sorprenents amb la informació que es troba en un arxiu de registre de sistema.
  • Si un programa s’executa com un “daemon” (dimoni) (és a dir, està en constant funcionament i respon a les peticions dels usuaris a nivell local o a la xarxa), comproveu que manipula correctament desbordaments de memòria intermitja, atacs de denegació de servei i de sobrecàrrega general del sistema. És generalment una bona idea tenir tan pocs serveis com sigui possible executant com dimonis, ja que permeten l’accés continu i sense control en general al seu sistema.
  • Estigui al corrent de tots els serveis que se suposa que han d’estar en execució en el sistema, la quantitat típica dels recursos (CPU per exemple, temps, memòria, espai en disc) que ocupen. Comproveu si els dimonis no identificables o programari, o programes que no són habituals en el seu consum de recursos. Recordeu que la majoria de les violacions de seguretat, ocorren amb la configuració actual del sistema en lloc d’instal·lar un de nou. Per molt que vagi amb compte, un intrús pot manipular el sistema al seu gust i no notar res fora del comú.
  • Feu un recompte dels processos per a realitzar un seguiment dels patrons típics d’ús de programari dels usuaris.

4. SEGURETAT D’USUARI

Les particularitats de la seguretat dels usuaris varia molt depenent del sistema que s’estigui fent servir. En alguns casos, el sistema serà una màquina aïllada, realitzant principalment les funcions de servidor amb molt pocs usuaris que realment iniciïn sessió i facin servir directament el sistema, per tant, els usuaris interactuen amb les funcions del servidor. En altres casos, un sistema pot tenir centenars d’usuaris accedint directament a el sistema de manera simultània. Òbviament, el grau en què la seguretat de l’usuari és una inquietud depèn en gran mesura de la tipologia dels seus usuaris i tingueu en compte que un usuari que intenti violar la seguretat, o que tingui males pràctiques de seguretat, pot afectar i possiblement posar en perill tot el sistema.

  • Desenvolupi un mètode estàndard per a la creació i manteniment de comptes d’usuari. Desenvolupar polítiques acceptables d’ús clares i concises i comunicar-ho així als usuaris. No crear comptes d’usuari per a persones o organitzacions amb els que no ha interactuat d’alguna manera, o que han estat coneguts per tenir problemes de seguretat en altres sistemes.
  • Ha de fixar límits a la quantitat de recursos que un usuari pot consumir, des del nombre d’inicis de sessió a la quantitat d’espai en disc, assegureu-vos que l’usuari no pot causar una fallada de seguretat o acabar amb el sistema per una estupidesa ( per exemple, una rutina en bucle, que crea un arxiu de 10 MB cada vegada).
  • En alguns casos, és possible que vulgueu limitar la forma en què un usuari pot connectar-se a la xarxa, si vostè està proporcionant un inici de sessió de terminal, assegureu-vos que el propi terminal sigui segur i és mantingut. Si proporciona accés directe a través de protocols com telnet, consideri executar serveis com tcp_wrappers o identd per a verificar que l’usuari es connecta des del sistema que diu estar fent servir.
  • Mantenir registres detallats de l’activitat de l’usuari, en concret, l’hora de connexió, la durada i el lloc des d’on ha entrat al sistema. En alguns casos és possible que desitgi registrar amb més detall amb el recompte de processos, historial de comandes d’usuari i control de l’activitat.
  • Ha de revisar periòdicament l’activitat inusual de l’usuari, hi ha molts programes disponibles que constantment revisen els intents fallits per part dels usuaris d’obtenir permisos d’administrador, accés a arxius que no deurien, o realitzar altres tasques no autoritzades.

5. SEGURETAT DE DADES

Les dades i l’emmagatzematge d’arxius, en principi no sembla presentar-se com un risc de seguretat, ja que els usuaris tenen accés als arxius o no en tenen. Resulta que hi ha moltes formes, i algunes complicades, d’accedir a les mateixes dades en un sistema, i un bon administrador de sistemes hauria de ser conscient de tot això.

  • Conegui l’esquema de propietat dels arxius que el sistema implementa: està basat en grups, usuaris, rols o alguna combinació d’aquests? Conegui els diferents nivells de protecció que es poden aplicar als arxius i directoris i sigui conscient de qui té accés per fer canvis en aquestes proteccions.
  • Conegui l’estructura general dels sistemes d’arxius, quant s’emmagatzema, on, i qui accedeix normalment a quines parts d’ells. Mantingui registres d’activitat del disc (per exemple, canvis significatius en l’espai del disc utilitzat) i dels problemes del disc.
  • Assegureu-vos que els usuaris només poden tenir accés a les parts del sistema a les que haurien de tenir; el seu esquema de protecció ha d’incloure de forma clara i fàcil una separació lògica i conceptual dels arxius d’usuari i les dades dels arxius del sistema.
  • Assegureu-vos que els règims de propietat dels arxius són compatibles per a diversos directoris (és a dir, que el propietari d’un directori és titular de tots els fitxers d’aquest directori, etc)
  • Assegureu-vos que els usuaris no poden tenir accés a més recursos del disc dels previstos; sovint la millor solució per controlar això és establir quotes de disc.
  • Si els sistemes d’arxius estan disponibles a través de qualsevol xarxa o protocol d’ús compartit, revisi amb cura la seguretat d’aquests protocols (veure secció de “protocols / serveis” més amunt). Sempre comprovi la configuració d’aquests serveis per assegurar-se que només els usuaris i equips autoritzats se’ls permet accedir a les dades compartides; moltes configuracions per defecte permeten l’accés no autoritzat.
  • Manteniu sempre còpies de seguretat dels sistemes, el mètode més habitual és fer còpies de seguretat d’arxius a una cinta i després guardar-la per protegir contra la pèrdua de dades per incendi, inundació, etc. En el cas dels sistemes operatius, és una bona idea mantenir una còpia bona coneguda de la configuració del seu sistema operatiu en un mitjà de només lectura, com un DVD-ROM o algun altre sistema.
  • Si manté bases de dades, assegureu-vos que la base de dades és accessible només pels usuaris autoritzats, tant a la banda del client (a través d’una eina de consulta de dades com SQLnet) com en el costat del servidor (és a dir, els arxius de bases de dades reals emmagatzemades al disc del seu sistema). A l’igual que amb altres serveis, comproveu que les bases de dades tenen la seguretat adequada.

6. CONTRASENYES

Les contrasenyes són els components centrals en la majoria dels esquemes de seguretat; els comptes d’usuari, els llocs web sensibles i els serveis del sistema estan protegits per elles. Si coneix les contrasenyes correctes, pot obtenir privilegis d’administrador en un sistema en el qual ni tan sols sigui un usuari, o infiltrar-se en un entorn en el que mai ha treballat abans. Tradicionalment s’han acceptat com una bona manera d’implementar la seguretat, ja que poden ser incorporats fàcilment en la majoria dels sistemes operatius i el programari sensible i, no obstant això, es poden fer prou complexes com per ser difícils de “desxifrar”, mentre sigui recordada per l’usuari. La seva debilitat com a mesura de seguretat està en el seu poder, una clau és tot el que necessita per tenir accés complet a tot un sistema i les contrasenyes es PODEN desxifrar. El millor que pot fer és tractar de fer que aquestes dues coses siguin molt poc probables.

  • Requerir contrasenyes úniques i complexes de tots els comptes d’usuari en el sistema, no és acceptable tenir comptes de “convidats” o altres comptes que no requereixen cap tipus d’autenticació. Si un compte no s’ha fet servir per a la connexió (és a dir, que aquest compte mai serà utilitzat), tregui la seva possibilitat d’iniciar sessió per complet.
  • La contrasenya ha de contenir al menys 8 caràcters i una combinació de lletres i números, majúscules i minúscules. Les contrasenyes no han de semblar-se a qualsevol paraula, nom, idea o concepte que pugui aparèixer en qualsevol diccionari d’arreu del món. Un bon exemple: jY2EHxq#y
  • Obligar la rotació (diferent a les anteriors) i caducitat de contrasenyes. Els usuaris mai haurien de poder mantenir una contrasenya més d’uns pocs mesos, ja que algú fàcilment podria (de manera imperceptible) trencar per força bruta una clau durant un llarg període de temps. També ha d’assessorar als usuaris contra l’ús de la mateixa contrasenya en altres llocs.
  • L’arxiu de contrasenyes o mecanisme que s’utilitzi per a emmagatzemar les contrasenyes hauria d’estar encriptat, i no hauria d’estar disponible per a l’usuari mitjà. Si un usuari pogués obtenir l’arxiu de contrasenyes, podria utilitzar-lo en un altre sistema per intentar desxifrar les contrasenyes sense que te n’adonis.
  • No escriviu les contrasenyes i no les guardi en una altra cosa que no sigui la memòria humana, si és possible.
  • Les contrasenyes de sistema s’han de canviar al menys un cop a el mes i no s’haurien de compartir amb més gent que la necessària.

7. ADMINISTRACIÓ DEL SISTEMA

Unes tècniques d’administració de sistemes de qualitat poden marcar la diferència en la seguretat. No hi ha un munt de coses que calgui fer en la majoria dels sistemes moderns, ja que fan comprovacions automàtiques i mantenen a l’administrador del sistema informat de qualsevol canvi sospitós. Però encara hi ha alguns consells generals a seguir:

  • Periòdicament navegar a través del seu sistema, mirar el contingut dels directoris del sistema, registres i altres arxius. Anoteu les ubicacions i mides d’arxius. Observi els patrons d’ús de les màquines i els seus usuaris.
  • Executeu eines de cracking (com “CRACK” i “Satanàs” a l’entorn Unix) amb regularitat per comprovar si hi ha vulnerabilitats a la configuració del sistema.
  • Intenti trencar la seguretat manualment a través de diferents mitjans.
  • Sigui conscient de les persones o grups que puguin tenir intencions de penetrar en el seu sistema.
  • Mantingui als seus usuaris informats de les seves tècniques de seguretat i el que s’espera d’ells per a mantenir la seguretat.

Potser també t’interessi veure el nostre article de com fer el Manteniment a un servidor Windows.