Abhilash
Abhilash

Desarrollador de Android, diseñador de UI / UX aficionado, desarrollador web y gerente de TI.

Comprender qué auditar en una red puede resultar caótico y confuso. La creación de una lista de verificación de seguridad de red completa es crucial para las organizaciones con computadoras conectadas a Internet o entre sí. Piense en ello como un escaneo antivirus que podría ejecutar en su computadora para encontrar troyanos o malware, excepto que está escaneando toda su red para encontrar algo que pueda paralizarla.
 El objetivo de este blog es proporcionar información suficiente para ayudarlo a comenzar a crear una lista de verificación básica que cubra los aspectos críticos de la seguridad de la red. Puede modificarlo en función de los componentes que necesita auditar en su red. ¿Ya tienes una lista de verificación? ¡Estupendo! Eche un vistazo de todos modos, nunca se sabe lo que se está perdiendo.
Definición del alcance de su lista de verificación de auditoría
Empiece fácil. Aquí hay tres preguntas simples que debe hacerse antes de comenzar a planificar su lista de verificación:

  • ¿Dónde se alojan los datos críticos en su red?
  • ¿Qué usuarios tienen acceso a los datos?
  • ¿Qué configuraciones, es decir, configuraciones de servidor o políticas de seguridad, determinan directamente la seguridad de sus datos?


El objetivo final de cada ataque de seguridad, interno o externo, es obtener acceso a los datos confidenciales de su empresa. Cada configuración incorrecta de la red, cada permiso inapropiado otorgado a un usuario, todos estos son peldaños para llegar a la joya de la corona: sus datos.
Averiguar dónde están los datos
Es posible que ya sepa dónde se almacenan sus datos, pero desglosémoslos de todos modos.
 Los datos pueden almacenarse en servidores de archivos como Windows Server o Cluster; bases de datos como SQL u Oracle; en la nube en cuentas de almacenamiento de Azure o buckets S3 de Amazon Web Services (AWS); en servidores miembros y estaciones de trabajo por usuarios; u otros medios de almacenamiento de datos como NetApp, EMC o NAS.
 Ahora que conoce todos los lugares donde se pueden almacenar sus datos, examinemos cómo los usuarios finales pueden obtener acceso a estos datos.
 ¿Quién tiene las llaves de la caja fuerte?
Piense en sus datos como objetos de valor almacenados en una caja fuerte y los permisos como claves para ellos. La forma más común en que los usuarios obtienen acceso a los datos es a través de permisos mal configurados. Además de los permisos asignados explícitamente en los servidores de archivos y otros dispositivos de almacenamiento de datos, aquí hay algunas otras formas en que las cosas pueden salir mal:

  • Acceso a través de permisos de grupos anidados: un usuario aleatorio al que se le otorga acceso a una carpeta es algo que puede notar. Sin embargo, un usuario anónimo atrapado en un grupo de seguridad con acceso a una carpeta es algo que probablemente no captará.

    • Credenciales de usuario expuestas: las credenciales de VPN de un usuario remoto están expuestas en una infracción del sitio web. Un atacante utiliza estas credenciales para iniciar sesión en la red y ahora puede acceder a los archivos como usuario autorizado. La única forma de detectar intentos de ataque como este es monitoreando los inicios de sesión no autorizados y los accesos a archivos de fuentes desconocidas.
    • Datos filtrados en la nube: un desarrollador que trabaja con Azure inserta accidentalmente las claves en una cuenta de almacenamiento en un archivo de script cargado en un repositorio público de GitHub. Dejar contraseñas y claves para el almacenamiento en plataformas en la nube es más común de lo que cree, así que verifique que no estén presentes antes de que los datos se hagan públicos. A veces, el almacenamiento en la nube puede tener aplicados permisos amplios innecesarios. Por ejemplo: en un bucket de AWS S3, el parámetro "bloquear el acceso público" está deshabilitado.
    • Políticas de grupo mal configuradas: un usuario o un grupo de seguridad tiene el privilegio de tomar posesión de archivos y carpetas. Este es fundamentalmente un privilegio que puede impedir que el propietario real acceda a su carpeta, así que considere estos permisos con cuidado.


    • Roles incorrectos asignados a los usuarios: a un usuario final se le otorga un rol en un servidor SQL, lo que lleva a la creación de un nuevo inicio de sesión no autorizado.
    • Con tantas formas diferentes de que los permisos no se controlen o se asignen incorrectamente, el compromiso de datos a gran escala no se queda atrás. Una vez que un actor de amenazas descubre un permiso vulnerable en una cuenta de usuario o un servidor, trabaja lateralmente hasta que se adquieren los datos.
       Para evitar esto, supervise varios recursos en su red junto con los permisos asignados o modificados en las cuentas de usuario las 24 horas del día, los 7 días de la semana. El cambio de permiso puede ser genuino, malicioso o desencadenado debido a un error de proceso. De cualquier manera, las modificaciones de permisos deben registrarse y examinarse.
      ¿Está la caja fuerte incluso cerrada?
      Si bien perder las llaves de una caja fuerte es un riesgo de seguridad, la caja fuerte también debe ser lo suficientemente fuerte como para resistir la fuerza externa. En comparación, aquí es cuando la configuración de los dispositivos conectados a la red juega un papel crucial.
       En palabras sencillas, un nivel adecuado de acceso para los usuarios y una configuración de red segura juntos constituyen la seguridad de su red. Echemos un vistazo a algunos ejemplos:

      • Cambios a nivel de SO:
      • Es posible que se hayan detenido los servicios cruciales de Windows, los procesos de copia de seguridad, los procesos de registro de eventos, etc. Alternativamente, se iniciaron nuevos procesos y servicios Se modificaron las reglas del cortafuegos o las claves de registro; Los sistemas Windows se restauraron a una versión anterior Se instalaron nuevos paquetes en sistemas Linux ejecutando comandos SUDO o Yum Se realizaron cambios de configuración en archivos de seguridad del sistema como archivos de programa (x86)  

        • Cambios de configuración en dispositivos conectados a una red:
        • Cambios de configuración en los servicios VPN que se ejecutan en su red Monitorear el tráfico del firewall puede ayudar a detectar intentos de intrusión Cambios en la base de datos, como la eliminación de tablas o la ejecución de comandos o consultas para recuperar algo de una base de datos existente Cambios de configuración en servidores web como Microsoft Internet Information Services (IIS) o Apache Máquinas virtuales reconfiguradas con IP de dispositivo modificadas o clústeres y almacenes de datos modificados  Los casos de uso anteriores deberían darle una buena idea de los cambios de permisos y configuración que pueden ocurrir en su red. La supervisión de estos cambios en la red puede ayudarlo a detectar y prevenir posibles ataques de seguridad antes de que causen daños generalizados.
           Sin embargo, niveles tan intensos de monitoreo pueden parecer abrumadores, especialmente si depende de las capacidades nativas de su sistema operativo o aplicación. La mayoría de las herramientas de monitoreo nativas tienen limitaciones similares; consulte la imagen de abajo.

          Para obtener una herramienta que pueda superar estas limitaciones y ayudarlo a desarrollar su lista de verificación de seguridad, consulte nuestra solución integrada de gestión de eventos e información de seguridad (SIEM), Log360 . Con Log360, puede examinar los diversos registros de configuración y seguridad producidos por los dispositivos conectados a su red en una sola pantalla. Proporciona capacidades de búsqueda granular para encontrar instantáneamente cualquier actividad sensible, sospechosa o maliciosa. También notifica instantáneamente al personal autorizado de esta actividad y ayuda a iniciar los pasos de mitigación para manejar un incidente de seguridad.
           ¿Quiere ver por sí mismo cómo los cambios de seguridad discutidos anteriormente podrían conducir a una violación de seguridad a gran escala? Visite nuestra página de seguridad de TI bajo ataque para ver demostraciones en vivo de ataques en entornos de TI como Active Directory (AD), Azure y AWS, y sistemas operativos como Windows y Linux, y una estrategia de defensa completa con cree Log360 .

Visitas: 11

ARTICULOS RELACIONADOS

Ransomware en 2021: ¿Qué ha cambiado?

El ransomware es un error del que no podemos deshacernos.

ramsomware seguridad en la nube trabajo remoto Seguir leyendo keyboard_arrow_right
Jun 2021 Visitas: 35

¿Cómo protegerse del ransomware Snake?

Tome el control y evita que los datos de tu organización sean rehenes.

cibersecurity ransomware seguridad de la información Seguir leyendo keyboard_arrow_right
Apr 2021 Visitas: 71

El aumento de los ataques cibernéticos en el contexto de la pandemia de COVID-19

El miedo, la incertidumbre los hackers atacan.

ciberseguridad coronavirus trabajo remoto Seguir leyendo keyboard_arrow_right
Dec 2020 Visitas: 54

COMENTARIOS