Un plan para manejar, auditar y reportar el estado de configuraciones actuales parece ser “un puente muy lejano” para muchos especialistas en configuraciones. Pero, dadas algunas de las dificultades involucradas, ¿hay alguna metodología defendible, escalable que podemos desarrollar que puede proveer administración de configuración comprensiva de terminales? Yo diría que sí, pero primero veamos algunos de los problemas.
Problema: Los Dispositivos y Redes Cambian Al Pasar el Tiempo
No importa cuánto aspiremos a una red e infraestructura ideal, las redes continúan en constante flujo mientras los usuarios y administradores estén involucrados. Los dispositivos son agregados y removidos con el paso del tiempo como usuarios que vienen y van, cambian trabajo o consiguen nuevo hardware. En ocasiones, los viejos dispositivos son dejados de lado o perdidos administrativamente, dejando máquinas no parchadas en la red o manteniendo cuentas de usuarios/permisos accesibles durante un periodo mayor al que deberían de estar. Los dispositivos pueden temporalmente dejar el dominio y permanecer sin monitoreo durante ese tiempo.
Los administradores de redes también cambian la red durante el trabajo diario. Constantemente cambian configuraciones como parte del parcheo y actualización. Las nuevas tecnologías provistas a los usuarios hacen que potencialmente se pueda transferir y almacenar todo tipo de datos creados por el usuario en la red o en la nube. Las nuevas versiones de las aplicaciones con frecuencia requieren nuevas configuraciones o cambios a las políticas de seguridad.
Los usuarios también pueden ser parte del problema. Los usuarios con frecuencia crean maneras de compartir documentos, abrir rutas que no siempre están cubiertas por las herramientas de seguridad para que éstas tengan acceso a las carpetas para trabajar en casa o ver la manera más fácil de compartir información mientras están haciendo su trabajo.
Estas actividades hacen que las redes se asemejen a un organismo vivo más que una definición estática en un documento de políticas. La administración de configuración comprehensiva necesita ser adaptable a los diferentes estados en los que se puede transformar una red.
Problema: Los Elementos Básicos de Administración de Configuración No Siempre Son Simples
La administración de configuración siempre tiene preocupaciones sobre tres estados:
1) La configuración actual aprobada
2) La próxima configuración aprobada
3) La configuración en sí
El #1 y #2 son más que todo trabajo administrativo que requiere investigación y documentación. El problema es que una configuración aprobada de dispositivo puede cambiar una vez un usuario comienza a usar la máquina.
Conocer el número total de dispositivos a ser protegidos y mantener el rastro físico de las máquinas en sí durante un ciclo entero de vida es sólo una parte del reto. Mantenerse seguro significa rastreo, auditoría y reportar parches de software como también versiones de aplicaciones. Las aplicaciones desconocidas crean riesgo sin importar si al final son consideradas “seguras”, “malware” o “instaladas por el usuario y maliciosas”. Las aplicaciones aprobadas que se quedan sin parches pueden ser tan peligrosas a la red como el malware.
La configuración requerida para identificar malware, vulnerabilidades o indicadores de fraude por parte de empleados, debería estar también definida regularmente, auditada y medida. Es un poco menos útil la identificación del riesgo que una aplicación de antivirus que el usuario ha deshabilitado a través del tiempo, por ejemplo.
Finalmente, los usuarios con frecuencia realizarán actividades fuera de su dominio asignado. Los usuarios pueden llevarse sus portátiles a casa o trabajar en viajes de negocios, con frecuencia pueden iniciar sesión como usuarios locales, o por otro lado, estar fuera de las políticas establecidas con el controlador de dominio o las herramientas de seguridad de TI que requieren la membresía del dominio. Estos usuarios menos tradicionales necesitan estar protegidos y auditados sin importar dónde ocurre la actividad en sus dispositivos.
EnCase Como Una Herramienta de Administración de Configuraciónes y de Auditoría de TI
En esta publicación de blog, hemos identificado muchos de los retos de proveer configuración comprehensiva en los dispositivos. EnCase Cybersecurity y EnCase Analytics, juntos pueden proveer una auditoría, reporte y capacidad de monitoreo a cualquier tipo de organización en las áreas claves de la administración de las configuraciónes:
- Administración de Cambios
- Administración de Parche
- Identificación de Malware
- Identificación de Vulnerabilidad y Mitigación
La administración de configuración y auditoría de TI son trabajos difíciles del mismo tipo. Los dos equipos necesitan visibilidad completa del dispositivo, recolección rápida de datos, ayuda con el análisis y una capacidad de reporte con todas las características.
EnCase tienen todo esto. La rama de ventajas de EnCase va desde la visibilidad de dispositivos desarrollados desde una herencia forense como también la habilidad de escalar y analizar miles de puntos de datos. EnCase puede ayudar a las organizaciones a identificar cambios no autorizados, código desconocido, máquinas “olvidadas”, versiones de software sin parches, cuentas de usuarios huérfanas y otras oportunidades de riesgo para la organización.
Esta serie de publicaciones de blog para auditores de TI ya ha cubierto cómo EnCase puede ayudar a auditar a nivel de permisos de usuarios a nivel de archivos. Las futuras publicaciones de blog de esta serie cubrirán cada una de las áreas de administración de cambio, administración de parches, identificación de malware e identificación de vulnerabilidades con mayor detalle, especialmente en el contexto de administración de configuraciones y auditoría de TI. Verá que EnCase puede ayudar a equipos de administración de configuración a esquivar las configuraciones del mundo real y los equipos de TI podrán rápidamente identificar y reportar riesgos de configuración de administración deficientes.
RELACIONADOS
EnCase para Auditores de TI #1: Auditando y Validando Cuentas de Usuarios (Windows)
Hacks RDP: Frustrando La Red De Los Chicos Malos
Casos de Uso: EnCase Cybersecurity Complementando un Antivirus
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
No hay comentarios :
Publicar un comentario