el SANS Institute es un socio en el proyecto Critical Security Controls para definir las tareas más importantes para la seguridad de la red. SANS ofrece un gran curso titulado » implementación y Auditoría de los controles de seguridad críticos (SEC566)», pero ¿qué curso se debe tomar después de asistir a SEC566?,
el curso SEC566 define las recomendaciones de una manera neutral para el proveedor, pero de hecho la mayoría de los entornos ejecutan Microsoft Windows y la mayoría de estas máquinas Windows están unidas a dominios de Active Directory. ¿Hay un curso SANS que ofrezca una inmersión profunda en los controles de seguridad críticos, ya que se relacionan específicamente con Windows y Active Directory?
sí, el curso de seis días asegurando Windows con los controles de seguridad críticos en SANS (número de curso SEC505) está específicamente escrito para proporcionar una cobertura en profundidad de solo aquellos controles críticos que afectan a los servidores y clientes de Windows.,
¿qué controles están cubiertos en SEC505 y cuáles no?
para cada uno de los controles críticos, a continuación se describe lo que se cubre en el curso seguridad de Windows (SEC505) que puede ayudarlo a implementar los controles en sistemas Windows, no solo a auditarlos. También ofrece sugerencias para otros cursos SANS después de tomar SEC566.
Puede abrir otra pestaña en su navegador a la página controles críticos para ver un resumen de los controles para la comparación.
Control 1: inventario de dispositivos de Hardware
SEC505 no cubre las aplicaciones de inventario de hardware., Sin embargo, al recopilar datos de inventario con Nmap y otras herramientas, inevitablemente se topa con problemas de cómo organizar, almacenar, buscar, comparar y generar informes a partir de las montañas de datos recopilados. Ya sea que utilice bases de datos, hojas de cálculo, XML o simplemente archivos de texto delimitados por comas para almacenar los datos, PowerShell es un excelente shell de comandos y lenguaje de scripting para manipular esos datos. Muchas tareas de seguridad no se realizan porque los administradores carecen de habilidades de scripting, y las tareas de inventario son ejemplos perfectos. Debido a esto, SEC505 incluye un día completo en scripts de PowerShell.,
Control 2: inventario de Software
SEC505 no cubre las aplicaciones de inventario de software, aunque hay mejoras de terceros para la directiva de grupo para este propósito, y PowerShell puede consultar sistemas remotos a través de la interfaz WMI.
sin embargo, más importante que solo el inventario, este control también aconseja bloquear las configuraciones de software, usar listas blancas de aplicaciones, registrar el uso de aplicaciones y evitar la instalación de aplicaciones no deseadas., En SEC505 se dedica un día entero a la Política de grupo y hay muchas tecnologías de políticas de grupo para este tipo de problemas, por ejemplo, AppLocker, políticas de auditoría/registro, administración de permisos NTFS, configuración de casi todos los aspectos de Internet Explorer y las aplicaciones de Microsoft Office, requisitos de firma de código para scripts/macros, restricción de la instalación de paquetes MSI, ejecución de scripts para identificar software no estándar, etc. SEC505 analiza específicamente las técnicas de endurecimiento para Java, Internet Explorer, Google Chrome, Adobe Reader y Microsoft Office.,
Control 3: configuraciones seguras para sistemas informáticos
Las máquinas Windows no se endurecen a mano, sino mediante la aplicación de plantillas de seguridad INF/XML, como las proporcionadas con Microsoft Security Compliance Manager. Estas plantillas se aplican mediante la directiva de grupo SECEDIT.EXE, el complemento MMC de configuración y análisis de seguridad o el Asistente de configuración de seguridad (todos los cuales están cubiertos en SEC505)., Para las pocas configuraciones que no se pueden configurar a través de una plantilla o Directiva de grupo, es probable que se use un script para que los cambios se puedan automatizar (de nuevo PowerShell).
Control 4: evaluación y corrección de vulnerabilidades
SEC505 no cubre los escáneres de vulnerabilidades, que se cubren en otros cursos, como Security Essentials (SEC401). Por otro lado, la corrección de vulnerabilidades se cubre muy bien en las secciones sobre administración de parches, Directiva de grupo, endurecimiento de aplicaciones, etc.,
Control 5: defensas de Malware
las técnicas antimalware se discuten a lo largo de la semana, como el Control de cuentas de usuario, los sumideros DNS, el endurecimiento de Internet Explorer y Chrome, Java, Adobe Reader, el uso de servidores jump, la reproducción automática/ejecución automática, etc. Pero una comparación de productos de escaneo av en particular o un debate sobre dónde instalarlos, eso no está cubierto.
Control 6: Application-Layer Software Security
SEC505 no cubre la codificación segura, las pruebas de aplicaciones web o la seguridad de la base de datos., Sin embargo, SEC505 dedica medio día al endurecimiento del servidor (día 5), como para los servidores web de IIS.
Control 7: Wireless Device Control
SEC505 le guía a través de los pasos para configurar una PKI, enviar certificados inalámbricos (o tarjetas inteligentes), instalar servidores RADIUS, configurar la configuración inalámbrica en computadoras portátiles a través de la directiva de grupo y hacer cumplir el uso de WPA2, cifrado AES y autenticación PEAP en los servidores RADIUS. A través de la directiva de grupo también puede bloquear y luego ocultar las otras opciones inalámbricas de los usuarios no administrativos, p. ej.,, puede evitar que se conecten a redes ad hoc. También se discute el problema de los puntos de acceso fraudulentos, el tethering y los ordenadores BYOD. SANS tiene una gran pista de una semana de duración en la seguridad inalámbrica (SEC617), pero ese curso no es para las redes de Windows específicamente, SEC505 es.
Control 8: Capacidad de recuperación de datos
SEC505 no cubre cómo realizar copias de seguridad y recuperación, consulte Security Essentials (SEC401) o póngase en contacto con su proveedor de soluciones de copia de seguridad.,
Control 9: evaluación de habilidades y capacitación
SEC505 no cubre la capacitación en seguridad o las pruebas de conciencia en detalle, consulte asegurando al humano (MAN433).
Control 10: configuraciones seguras para dispositivos de red
SEC505 no cubre el diseño de firewall o la configuración de enrutadores y conmutadores; consulte protección perimetral en profundidad (SEC502).
Control 11: Control de puertos de red, protocolos y servicios
la directiva de grupo y la administración de línea de comandos de IPSec y el Firewall de Windows se cubren en SEC505 con gran detalle., La combinación de IPSec + Firewall de Windows + Directiva de grupo otorga un control muy preciso y flexible sobre qué usuarios y equipos pueden acceder a qué puertos/servicios en qué máquinas. El cuarto día de SEC505 está dedicado a IPSec, Firewall de Windows, servicio Microsoft RADIUS para la autenticación 802.1 x de clientes inalámbricos y Ethernet.
Control 12: privilegios administrativos
cada recomendación en este control con respecto a las cuentas de usuario administrativas se discute o se demuestra en SEC505 (día 2)., El día de PKI de SEC505 (día 3) también guía al asistente a través del proceso de configuración de una PKI de Windows y la emisión de tarjetas inteligentes y otros certificados a los usuarios administrativos para la autenticación multifactor segura. La gestión segura de las credenciales administrativas, que incluye las cuentas de servicio, es una de las tareas más difíciles e importantes. SEC505 pasa casi un día entero en solo este control debido a su importancia para Windows en particular.,
Control 13: Boundary Defense
SEC505 no cubre el diseño de firewall o IDS, consulte protección perimetral en profundidad (SEC502) y detección de intrusos en profundidad (SEC503).
Control 14: registros de auditoría
la directiva de auditoría y registro de Windows se configura a través de plantillas de seguridad y directiva de grupo, como se mencionó anteriormente, ya que cada máquina tiene sus propios registros de eventos. SEC505 también cubre cómo habilitar el registro en los servidores RADIUS que controlan el acceso remoto, como para puertas de enlace VPN y puntos de acceso inalámbricos (en el día 4)., Todos estos datos deberán consolidarse en una ubicación central, generalmente con un SIEM de terceros, pero cuando se necesita el toque humano para ir más allá de las consultas e informes enlatados de su SIEM, ¿cómo pueden extraerse y analizarse esos datos de manera eficiente? Una vez más, los scripts de PowerShell que utilizan expresiones regulares y consultas SQL funcionan muy bien. ¿Qué pasa con la configuración de productos SIEM de terceros? No cubierto en SEC505.
Control 15: Acceso Controlado basado en la necesidad de saber
está muy bien hablar del principio de la necesidad de saber, pero ¿dónde se encuentra el caucho con la carretera?, ¿Cómo se implementa realmente este principio en los servidores de una empresa? Este control se aplicaría en gran medida a través de grupos de usuarios de Windows, plantillas de seguridad, Directivas de grupo y directivas de Control de acceso dinámico. Las pruebas también se pueden automatizar a través de scripts de PowerShell que se autentican en la red como usuarios diferentes con privilegios diferentes. El control de acceso dinámico (DAC) es algo nuevo con Server 2012 específicamente para la prevención de pérdida de datos (DLP) y la aplicación de las reglas necesarias. Todos estos temas están cubiertos en SEC505.,
Control 16: supervisión y Control de cuentas
La mayoría de las recomendaciones de este control se implementarían mediante una combinación de Permisos de Active Directory, configuraciones de directiva de grupo y consultas de anuncios personalizadas, como con scripts de PowerShell. Y estos temas están cubiertos en SEC505.,
Control 17: prevención de pérdida de datos
SEC505 cubre muchas de las recomendaciones de este control para DLP, incluido el cifrado de unidad completa de BitLocker, «BitLocker To Go» para unidades flash USB, Control de directiva de grupo del uso del dispositivo USB y algo nuevo incorporado en Server 2012 y posterior llamado Control de acceso dinámico. El control de acceso dinámico (DAC) es específicamente para hacer cumplir las reglas necesarias y DLP, y ya está integrado en Server 2012. Para buscar información de identificación personal (PII) en los sistemas, también se puede usar un script personalizado de PowerShell., El monitoreo de la red para la fuga de datos, por otro lado, no está cubierto en SEC505 (intente SEC503).
Control 18: Incident Response
SEC505 no cubre la planificación de la respuesta a incidentes, este tema se discute en otros cursos, como técnicas de hackers, Exploits y manejo de incidentes (SEC504) y también Análisis Forense informático avanzado y respuesta a incidentes (FOR508).
Control 19: ingeniería de redes seguras
El diseño de cortafuegos está cubierto en un curso diferente en SANS, pero este control Es más amplio que solo cortafuegos perimetrales., Como se mencionó anteriormente, tenemos control de directiva de grupo sobre la configuración de Firewall de IPSec y Windows para una respuesta rápida a los ataques. También cubrimos DNSSEC, sumideros DNS, actualizaciones dinámicas seguras DNS, eliminando NetBIOS y LLMNR, y el registro DHCP es fácil de habilitar. También se puede usar PowerShell para extraer datos de grandes registros DHCP/DNS. Por lo tanto, la mayoría de las recomendaciones en este control están cubiertas en SEC505, y luego algunas.,
Control 20: pruebas de penetración
SEC505 no cubre las pruebas de penetración, que se discuten en otros cursos, como las pruebas de penetración de redes y el Hacking Ético (SEC560).
Gobierno Australiano cuatro controles
El gobierno australiano ha determinado que cuatro de los 20 controles críticos son los más efectivos para bloquear intrusiones., Los cuatro se discuten y se demuestran en profundidad en SEC505: utilizamos políticas de grupo y WSUS para la administración de software, AppLocker para la lista blanca, y dedicamos casi un día entero a uno de los controles más difíciles de implementar, a saber, controlar los privilegios administrativos.
automatización: Directiva de grupo + PowerShell
El Proyecto 20 controles críticos enfatiza la importancia de la automatización. La automatización y la escalabilidad se logran en SEC505 al proporcionar capacitación sobre directivas de grupo y PowerShell., La directiva de grupo es un sistema de administración empresarial (EMS) integrado en Active Directory que puede administrar más o menos todos los ajustes de configuración de Windows y las aplicaciones de usuario, incluidos Chrome y Java. PowerShell no es solo un lenguaje de scripting, es un marco de administración remota que se puede escalar a redes muy grandes, como la propia infraestructura de nube de Microsoft. La combinación de directiva de grupo y PowerShell es un multiplicador de fuerza para la automatización de los 20 controles críticos., Y cuando estos se quedan cortos, SEC505 también incluye recomendaciones para productos de terceros, como escáneres de vulnerabilidades, sistemas SIEM y bloqueadores de dispositivos USB.
pregunte al autor del curso
Si tiene alguna pregunta sobre el curso Securing Windows (SEC505), la descripción completa del curso está en línea, y no dude en ponerse en contacto con el autor del curso también: Jason Fossen (jason – at- sans.org).