Supervisión de la integridad de los archivos: por qué la gestión de cambios es la mejor medida de seguridad que puede implementar

Introducción

Con la creciente conciencia de que la seguridad cibernética es una prioridad urgente para cualquier empresa, existe un mercado listo para las defensas de seguridad inteligentes y automatizadas. La bala de plata contra el malware y el robo de datos aún se está desarrollando (¡lo prometo!), Pero mientras tanto hay hordas de proveedores que le venderán la mejor alternativa.

El problema es, ¿a quién recurres? Según, digamos, el chico del cortafuegos de Palo Alto, su dispositivo es lo principal que necesita para proteger mejor la propiedad intelectual de su empresa, aunque si luego habla con el chico que vende el sandbox de FireEye, es muy posible que no esté de acuerdo, diciendo que necesita uno de sus cajas para proteger su empresa del malware. Incluso entonces, el tipo de McAfee le dirá que la protección de endpoints es donde se encuentra: su enfoque de Inteligencia de amenazas global debería cubrirlo para todas las amenazas.

En un aspecto, están bien, todos al mismo tiempo: necesita un enfoque en capas para las defensas de seguridad y casi nunca puede tener «demasiada» seguridad. Entonces, ¿la respuesta es tan simple como «comprar e implementar tantos productos de seguridad como pueda»?

Defensas de seguridad cibernética: ¿puede tener demasiado de algo bueno?

Antes de elaborar su lista de compras, tenga en cuenta que todo esto es realmente caro, y la idea de comprar un firewall más inteligente para reemplazar el actual, o de comprar un dispositivo sandbox para aumentar lo que su MIMEsweeper ya ofrece en gran medida, exige una pausa. para el pensamiento. ¿Cuál es el mejor retorno de la inversión disponible, considerando todos los productos de seguridad que se ofrecen?

Podría decirse que el producto de seguridad con la mejor relación calidad-precio no es realmente un producto. No tiene luces intermitentes, ni siquiera un estuche de aspecto atractivo que se verá bien en su gabinete de comunicaciones, y las características de la hoja de datos no incluyen ninguna clasificación de rendimiento impresionante de paquetes por segundo. Sin embargo, lo que le brindará un buen proceso de Gestión de cambios es una visibilidad y claridad completas de cualquier infección de malware, cualquier debilitamiento potencial de las defensas y también control sobre el rendimiento de la prestación de servicios.

De hecho, muchas de las mejores medidas de seguridad que puede adoptar pueden parecer un poco aburridas (en comparación con un nuevo kit para la red, ¿qué no parece aburrido?) Pero, para proporcionar un entorno de TI verdaderamente seguro. , las mejores prácticas de seguridad son esenciales.

Gestión del cambio: lo bueno, lo malo y lo feo (y lo francamente peligroso)

Hay cuatro tipos principales de cambios dentro de cualquier infraestructura de TI

  • Buenos cambios planificados (esperados e intencionales, que mejoran el rendimiento de la prestación de servicios y / o mejoran la seguridad)
  • Cambios mal planificados (intencionales, esperados, pero implementados de manera deficiente o incorrecta que degradan el rendimiento de la prestación de servicios y / o reducen la seguridad)
  • Buenos cambios no planificados (inesperados e indocumentados, generalmente cambios de emergencia que solucionan problemas y / o mejoran la seguridad)
  • Cambios no planeados incorrectos (inesperados, indocumentados y que involuntariamente crean nuevos problemas y / o reducen la seguridad)

Una infección de malware, intencionalmente por parte de un hombre interno o un pirata informático externo, también se incluye en la última categoría de cambios no planeados incorrectos. Del mismo modo, un desarrollador deshonesto que implanta una puerta trasera en una aplicación corporativa. El miedo a una infección de malware, ya sea un virus, un troyano o la nueva palabra de moda en el malware, una APT, suele ser la principal preocupación del CISO y ayuda a vender productos de seguridad, pero ¿debería ser así?

Un mal cambio no planificado que involuntariamente hace que la organización sea más propensa a ataques es una ocurrencia mucho más probable que una infección de malware, ya que cada cambio que se realiza dentro de la infraestructura tiene el potencial de reducir la protección. Desarrollar e implementar un estándar de compilación reforzado requiere tiempo y esfuerzo, pero deshacer un trabajo de configuración minucioso solo requiere que un ingeniero torpe tome un atajo o ingrese un error tipográfico. Cada vez que un cambio no planeado no se detecta, la infraestructura que alguna vez fue segura se vuelve más vulnerable a los ataques, de modo que cuando su organización se ve afectada por un ciberataque, el daño será mucho, mucho peor.

Con este fin, ¿no deberíamos tomarnos la gestión del cambio mucho más en serio y reforzar nuestras medidas de seguridad preventivas, en lugar de confiar en otro dispositivo que seguirá siendo falible en lo que respecta a las amenazas de día cero, el spear phishing y la incompetencia de seguridad directa?

El proceso de gestión del cambio en 2013: circuito cerrado y visibilidad total del cambio

El primer paso es obtener un proceso de gestión de cambios: para una organización pequeña, solo una hoja de cálculo o un procedimiento para enviar un correo electrónico a todos los interesados ​​para informarles que se realizará un cambio, al menos brinda cierta visibilidad y trazabilidad si surgen problemas posteriormente. La causa y el efecto generalmente se aplica cuando se realizan cambios; lo que sea que haya cambiado en último lugar suele ser la causa del último problema experimentado.

Es por eso que, una vez implementados los cambios, se deben realizar algunas verificaciones de que todo se implementó correctamente y que se han logrado las mejoras deseadas (que es lo que marca la diferencia entre un Cambio Bien Planificado y un Cambio Mal Planificado).

Para cambios simples, digamos que se implementa una nueva DLL en un sistema, esto es fácil de describir y sencillo de revisar y verificar. Para cambios más complicados, el proceso de verificación es igualmente mucho más complejo. Los cambios no planificados, buenos y malos, presentan un desafío mucho más difícil. Lo que no puede ver, no puede medir y, por definición, los cambios no planificados generalmente se realizan sin documentación, planificación o conocimiento.

Los sistemas de gestión de cambios contemporáneos utilizan la supervisión de la integridad de los archivos, lo que proporciona tolerancia cero a los cambios. Si se realiza un cambio, en el atributo de configuración o en el sistema de archivos, los cambios se registrarán.

En los sistemas FIM avanzados, el concepto de ventana de tiempo o plantilla de cambio se puede predefinir antes de un cambio para proporcionar un medio de alinear automáticamente los detalles de la RFC (Solicitud de cambio) con los cambios reales detectados. Esto proporciona un medio sencillo para observar todos los cambios realizados durante un cambio planificado y mejora en gran medida la velocidad y facilidad del proceso de verificación.

Esto también significa que cualquier cambio detectado fuera de cualquier Cambio Planificado definido se puede categorizar inmediatamente como Cambios No Planificados y, por lo tanto, potencialmente dañinos. La investigación se convierte en una tarea prioritaria, pero con un buen sistema FIM, todos los cambios registrados se presentan claramente para su revisión, idealmente con «¿Quién hizo el cambio?» datos.

Resumen

La gestión de cambios siempre se presenta en gran medida en cualquier estándar de seguridad, como PCI DSS, y en cualquier marco de mejores prácticas como SANS Top Twenty, ITIL o COBIT.

Si la Gestión del Cambio es parte de sus procesos de TI, o su proceso existente no es adecuado para su propósito, ¿tal vez esto debería abordarse como una prioridad? Junto con un buen sistema de Monitoreo de Integridad de Archivos Empresariales, la Gestión de Cambios se convierte en un proceso mucho más sencillo, y esta puede ser una mejor inversión en este momento que cualquier dispositivo nuevo y llamativo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *