Controles del CIS: novedades de la versión 7.1

El pasado mes de abril se publicó la versión 7.1 de los CIS Controls, un marco de seguridad aún poco implantado en España, pero muy interesante por la transversalidad y la exigencia de sus requisitos.
En este artículo recorreremos los controles que lo componen y, especialmente, las novedades introducidas en su última actualización.

El origen de los CIS Controls:

Sus comienzos se remontan al año 2008, cuando el instituto SANS inició un proyecto con el objetivo de crear un marco de seguridad para el ámbito informático. Sin embargo, unos años después esta iniciativa se transfirió al Council on Cyber Security (CCS) y, del mismo modo, fue a parar al Center for Internet Security (CIS) en 2015, que es quien gestiona dicho proyecto desde entonces.

Este marco de seguridad o mejores prácticas, que cuenta con un total de 20 controles, también ha conocido distintos nombres a lo largo de su vida, como CIS 20 o SANS Top 20, o el ya oficial CIS Controls™.

Al contrario de lo que sucede en otros estándares, como puede ser PCI DSS, la publicación de nuevas versiones no sigue un calendario de plazos cerrados:



Este año, en abril 2019, se publicó la versión 7.1, que pese a no introducir cambios en el contenido de los controles respecto a la 7.0, introduce una novedad de calado sobre la aplicación y priorización de los mismos, como veremos en este artículo.

CIS Controls: cinco principios de efectividad

El objetivo de los controles del CIS es establecer distintas capas de protección, a todos los niveles, con sistemas proactivos de defensa y sistemas reactivos capaces de dar una respuesta rápida cuando se detecte un problema, así como garantizar que los empleados de la organización están concienciados con la seguridad y realizan su trabajo siguiendo una serie de procesos bien definidos.

Para ello, estos controles han seguido los cinco “principios críticos” (o tenets) en los que debe apoyarse cualquier sistema de defensa que quiera ser efectivo:
  1. El ataque informa a la defensa: Se usarán los conocimientos adquiridos tras sufrir ataques reales para establecer un sistema de defensa efectivo.
  2. Priorización: Se priorizarán aquellos controles que más reduzcan los riesgos y que brinden una protección mayor.
  3. Mediciones y métricas: Se establecerán sistemas de medición y métricas comunes para evaluar la efectividad de los controles, y éstas se expresarán en un lenguaje homogéneo y entendible por todos (directivos, especialistas en TI, auditores, equipo de seguridad, …).
  4. Diagnóstico y mitigación continuos: Las mediciones se realizarán de forma continua, de modo que si se detecta una situación anormal pueda trabajarse en su mitigación cuanto antes.
  5. Automatización: Los sistemas de defensa se automatizarán, de modo que las organizaciones puedan lograr mediciones confiables, escalables y continuas de su adecuación a los controles.
CIS Controls: tres grandes categorías

Siguiendo todo lo descrito hasta ahora, los 20 controles del CIS se agrupan en 3 grandes categorías de forma desigual:

  • Basic
    Incluye los 6 primeros controles y cubre aquellas acciones más elementales que una organización debería hacer en materia de seguridad: conocer en todo momento cuáles son sus activos (inventariar), comprobar de forma periódica qué vulnerabilidades podrían afectarles, establecer configuraciones seguras y mantener los registros de auditoría.
  • Foundational
    Es la categoría que más controles abarca, concretamente 10, e incluye una serie de prácticas que van un paso más allá y dotan a una organización de herramientas capaces de prevenir un ataque dirigido o reponerse de él si éste llega a suceder: defensa perimetral, control de puertos y protocolos en la red, control de las cuentas de acceso, e incluso la recuperación de datos gracias a las copias backup de los sistemas.
  • Organizational
    Este grupo de 4 controles se ocupa, como su nombre indica, de acciones a nivel organizativo que involucran distintos departamentos o equipos interdisciplinares, como pueden ser los programas de formación y concienciación o el plan de respuesta ante incidentes de seguridad en la compañía.
CIS Controls: 20 controles y 171 subcontroles.

La norma actualizada, con todo el detalle, puede descargarse de forma gratuita en la web del CIS, tras introducir algunos datos personales y un email de contacto. Su formato puede sorprender, pues huye de esquemas y epígrafes anidados y se enfoca en facilitar la lectura con un texto ameno y bien estructurado. Precisamente, gracias a esta estructura, leer los CIS Controls resulta una tarea muy didáctica.

El título de cada control es bastante ilustrativo:

Basic Control 1: Inventario y control de dispositivos hardware.
Control 2: Inventario de software autorizado y no autorizado.
Control 3: Gestión continua de vulnerabilidades.
Control 4: Uso controlado de privilegios administrativos.
Control 5: Configuración segura para hardware y software en dispositivos móviles, portátiles, estaciones de trabajo y servidores.
Control 6: Mantenimiento, monitorización y análisis de logs de auditoría.
Foundational Control 7: Protección de correo electrónico y navegador web.
Control 8: Defensa contra malware.
Control 9: Limitación y control de puertos de red, protocolos y servicios.
Control 10: Capacidad de recuperación de datos.
Control 11: Configuración segura de los equipos de red, tales como cortafuegos, enrutadores y conmutadores.
Control 12: Defensa perimetral.
Control 13: Protección de datos.
Control 14: Control de acceso basado en la necesidad de conocer.
Control 15: Control de acceso inalámbrico.
Control 16: Monitorización y control de cuentas.
Organizational Control 17: Implementar un programa de formación y concienciación en seguridad.
Control 18: Seguridad del software de aplicación.
Control 19: Respuesta ante incidentes.
Control 20: Pruebas de penetración y ejercicios de red team.

Cada uno de estos 20 controles se divide en subcontroles mucho más específicos, que se complementan y aportan más detalle sobre cómo lograr el objetivo final. Dependiendo del control, el número de subcontroles varía desde 5 hasta 13, pero la media está en 8 ó 9, haciendo un total de 171.

Versión 7.1: aplicabilidad de los subcontroles

Como adelantábamos al principio de este artículo, la nueva versión 7.1 no altera el contenido de los controles, sino que aporta una novedad en cuanto a la aplicación de los mismos, estableciendo prioridades y relacionándolos con el nivel de madurez de cada organización.

De este modo, una organización nueva o poco madura en el campo de la seguridad, podría optar por aplicar los subcontroles del CIS de una forma priorizada, abordando así varios proyectos más manejables.

La categorización de entidades que hace la versión 7.1 es muy intuitiva y no es cerrada, es decir, no hay un cuestionario o lista de requisitos para determinar de forma objetiva a qué grupo pertenece una organización concreta: son las propias empresas quienes deben juzgar en qué nivel están, dónde se sitúan y dónde quieren llegar.



Grupo de Implementación 1 (IG1)
Una organización cuyos recursos disponibles y conocimientos en ciberseguridad son limitados. Es el nivel más básico y puede corresponder, por ejemplo, a una empresa familiar o una empresa con menos de 10 empleados, donde la información que manejan no es especialmente sensible.

A este grupo le corresponde cumplir con un primer lote de 43 subcontroles, elegidos de entre casi todos los controles (por ejemplo, no hay ninguno del #18 Seguridad del software de aplicación ni del #20 Pruebas de penetración).

Por poner un ejemplo, a continuación, vemos la aplicabilidad de los subcontroles del Control 9 por Grupo de Implementación: En este caso sólo el 9.4 aplica al IG1.

Grupo de Implementación 2 (IG2)
Una organización cuyos recursos disponibles y conocimientos en ciberseguridad son moderados. Es el nivel medio y aquí encajarían, por ejemplo, empresas un poco más grandes, que operan regiones geográficas más amplias.

Supone un salto cuantitativo importante, pues este tipo de organizaciones deberían cumplir con 140 subcontroles de los 171 existentes (es decir, un 82% del contenido total de este marco de seguridad).

De nuevo veamos un ejemplo, en este caso de la aplicabilidad de los subcontroles del Control 6 por Grupo de Implementación: para las organizaciones que se encuadren en el IG2, sólo el 6.8 no les aplicaría:


Grupo de Implementación (IG3)
Una organización más madura, cuyos recursos disponibles y conocimientos en ciberseguridad son significativos. Es el nivel avanzado, donde etiquetaríamos a cualquier empresa multinacional con miles de empleados.

La diferencia con respecto al IG2 no es significativa, se solicitan 31 subcontroles más que en el IG2, de forma que se completa el 100% de los CIS Controls. Se trata básicamente de aquellos requisitos para los que se requieren unos procesos más detallados y unas soluciones de seguridad más avanzadas y específicas.

Implantar CIS Controls v7.1 en mi organización


Pese a sus bondades, uno de los puntos débiles en los CIS Controls es la ausencia de una definición clara de alcance dentro de una organización.

Es decir, supongamos el caso de una empresa con presencia internacional, oficinas centrales en distintos países, comercios a pie de calle en todos ellos, con sus respectivos sitios de e-commerce, etc. Encaja con la descripción de Grupo de Implementación 3, pero ¿dónde debe aplicar los 20 controles? ¿Qué sistemas y personas concretas estarán en su alcance y cuáles no? ¿Cuáles son más críticos?

CIS Controls v7.1, gracias a los nuevos grupos de implementación, da una primera idea sobre qué requisitos son más prioritarios, pero a la hora de iniciar un proyecto de adecuación, largo en el tiempo y que supone un esfuerzo económico, sería muy interesante contar con una guía para poder priorizar también los activos dentro una compañía.

En cualquier caso, la organización debe realizar un trabajo de reflexión en este sentido y puede apoyarse en algunas de las tareas que ya exige el CIS. Por ejemplo, debe confeccionar inventarios detallados de hardware (Control 1.4) y software (Control 2.1), que pondrán sobre la mesa qué máquinas y aplicaciones son críticas para el negocio, y puede cruzar esta información con el resultado de la categorización e inventariado de la información sensible de la compañía (exigida en el Control 13.1).

A grandes rasgos, deberíamos ser capaces de definir estos 4 puntos antes de iniciar la implantación los CIS Controls en nuestra compañía:
  1. Identificación del Grupo de Implementación (IG1, IG2, IG3) al que corresponde la organización.
  2. GAP Análisis: evaluación del grado de cumplimiento actual de cada uno de los controles que le apliquen.
  3. Establecer una priorización de controles por impacto en la seguridad. Si bien los controles que corresponde al IG1 deberían ser los más prioritarios y los exclusivos al IG3 los menos urgentes, el impacto depende completamente de la naturaleza de la compañía.
  4. Establecer un alcance priorizado para cada control.
Como puede verse, algunos de estos puntos conllevan un trabajo notable y el resultado de todos ellos condicionarán los trabajos posteriores, por lo que se recomienda contar siempre con el apoyo de una compañía externa experta en Seguridad, quien será capaz de definir prioridades y alcances de una forma mucho más objetiva.

Conclusiones

En definitiva, CIS Controls resulta un marco de seguridad especialmente interesante por ser muy completo y estar bien descrito, aunque echamos en falta una definición clara de alcance dentro de una organización. Sin embargo, con esta última versión 7.1, gracias a los nuevos grupos de implementación, CIS Controls da un importantísimo primer paso para determinar qué requisitos son más prioritarios y provee una valiosa señalización del camino a seguir a la hora de implementar este marco en una compañía.



Autor: Daniel Fuertes - CISSP, PCIP, ISO 27001 L.A.
Dpto. Consultoría

Carlos Seisdedos y Vicente Aguilera ponentes en las XIII Jornadas STIC CCN-CERT 2019

Las Jornadas STIC CCN-CERT, organizadas por el Departamento de Ciberseguridad del Centro Criptológico Nacional, se celebran ininterrumpidamente desde el año 2007. Desde sus orígenes hace 13 años, este encuentro ha sido el principal evento en materia de ciberseguridad celebrado en España, tanto por el número de asistentes, como por la calidad de sus ponencias. En su última edición, asistieron 2.464 personas y fue respaldado por 43 de las principales empresas del sector. Además, se contó con 82 ponentes de reconocido prestigio que abordaron las últimas tendencias en amenazas, ataques, retos tecnológicos y en prevención en ciberseguridad.

Este año, en su decimotercera edición, Carlos Seisdedos y Vicente Aguilera participarán como con un taller práctico: "OSINT - De la información a la inteligencia". Dónde se mostrarán técnicas y herramientas que ayudan en procesos de investigación en fuentes abiertas con escasos datos donde se requiere obtener inteligencia procesable para labores como la identificación de personas o la correlación y complemento con información disponible.

Las Jornadas se celebrarán los días 11 y 12 de diciembre en Kinépolis (Ciudad de la Imagen), en Madrid.

Destacada participación de Gonzalo Carrasco en el Congreso Nacional de Ingeniería Informática de Buenos Aires

 Los pasados 14 y 15 de noviembre se celebró en la Universidad Nacional de La Matanza, en San Justo (Argentina) el Congreso Nacional de Ingeniería Informática – Sistemas de Información (CoNaIISI), donde participaba Gonzalo Carrasco, del dpto. de auditoría, como ponente.

La charla que realizó tuvo tanto éxito que el diario online: El Ciudadano (Diario de Mendoza) ha querido dedicarle un artículo con imagen en primer plano, destacando la ponencia y la nominación a mejor expositor del congreso, y ganador del mismo.

¡Felicidades, Gonzalo!

Más información:
https://www.ciudadanodiario.com.ar/nota/2019-11-24-12-21-15-destacada-participacion-mendocina-en-el-congreso-nacional-de-ingenieria-informatica

Crónica No cON Name 2019


Otro año más hemos tenido la oportunidad de asistir a la última edición del congreso No cON Name, el congreso público de seguridad más longevo de España (nacido en 1999, en Palma de Mallorca), que en esta edición cumple 20 años. Durante el discurso de apertura, la organización presentó los nuevos cambios de esta edición, fruto de su apuesta por avanzar hacia un formato de congreso más internacional, con charlas paralelas en espacios autogestionados, y que dependa principalmente de los ingresos derivados de las entradas de los participantes.

A continuación, podéis encontrar un resumen de las presentaciones que se llevaron a cabo durante su segunda jornada:

“NIDS for malware hunting and classification” (Tatyana Shishkova)
Tatyana empezó su charla realizando una introducción a los NIDS (Network Intrusion Detection System), exponiendo sus distintas tipologías: los basados en el escaneo de tráfico en vivo (scanning traffic), y los de análisis de volcados de tráfico a posteriori (dumps). Así como los basados en firmas (signature-based), y los basados en la detección de anomalías en el comportamiento del tráfico (anomaly-based).

Después, centró su charla en los NIDS basados en firmas, presentando algunas de las principales soluciones disponibles actualmente, como son Snort, Suricata y Zeek. Así como la existencia de las diferentes fuentes de firmas tanto públicas (ej. Emerging Threats), como comerciales.

Posteriormente, presentó varios ejemplos de malware (Dinihou worm, HQWar dropper, Sauron Locker, etc), y el proceso de caracterización llevado a cabo, para generar firmas capaces de detectarlos. A su vez, expuso cómo evoluciona el malware en respuesta a la implementación de las firmas, utilizando técnicas de codificación y cifrado para hacer más difícil su detección.

Finalmente, Tatyana resumió que los NIDS son actualmente una de las mejores soluciones para detectar amenazas multiplataforma (multiplatform threats), pero que para mantener sus capacidades de detección es necesario actualizar periódicamente sus firmas, y realizar suficientes pruebas de tráfico.

“Practical LoRaWAN auditing and exploitation” (Cesar Cerrudo, Matías Sequeira)

Cesar y Matías iniciaron su charla presentando el protocolo de comunicaciones IoT LoRaWAN. Se trata de un protocolo abierto ubicado por encima del protocolo cerrado de capa MAC (Medium Access Control) LoRA, que a su vez es promovido por las organizaciones que forman la LoRa Alliance. LoRaWAN es un protocolo robusto, de largo alcance (de 1 hasta 20 km de distancia), con velocidades de transmisión de datos de 0.3 hasta 50 Kbps, que utiliza la banda de frecuencias de uso libre (unlicensed spectrum). LoRaWAN se caracteriza por disponer de mecanismos de control de integridad y de confidencialidad a través de cifrado simétrico punto a punto.

Actualmente, es utilizado por más de 100 proveedores de servicios y operadores de telecomunicaciones, en más de 100 países. Este 2018 ha experimentado un crecimiento de uso del 60%, y las proyecciones de mercado apuntan a la incorporación de 100 millones de nuevos dispositivos cada año para 2021.

Posteriormente, Cesar y Matías expusieron los resultados de su análisis de vulnerabilidades de la versión de LoRaWAN 1.0.4, llevado a cabo mediante un gateway basado en un transmisor-receptor RAK831 y una Raspberry Pi 3, con un coste de aproximadamente 230$.

Destacaron, la vulnerabilidad de dicha versión del protocolo frente a ataques de replay, debido a no forzar la renegociación de las claves de cifrado de sesión una vez desbordado el contador de paquetes. Así como a ataques de eavesdropping, que con poco conocimiento sobre el payload de los mismos permitirían su descifrado, y de bitflipping, derivados de una falta de comprobación de integridad de los paquetes más allá del servidor de red de la arquitectura LoRaWAN.

Finalmente, expusieron otros problemas de implementación, como la debilidad, reutilización, diseminación y desprotección de las claves de cifrado (harcoded en el código fuente, firmware de los dispositivos, ficheros de configuración de APPs móviles, etc), que una vez establecidas no pueden ser modificadas. Por todo ello, recomendaron cambiar las claves por defecto, estableciendo una clave única para cada dispositivo y protegerlas almacenándolas en módulos HSM (Hardware Security Module) y SE (Secure Element), especialmente en aplicaciones sensibles. Así como realizar auditorías periódicas de claves para detectar aquellas que sean débiles, y también de toda la infraestructura LoRaWAN.

“Attacks on IVR-systems and Call-centers in 2019” (Aleksandr Kolchanov)

Aleksandr, inició su presentación introduciéndonos en los IVR-systems y Call-centers, sistemas ampliamente utilizados en muchos sectores como el bancario, operadoras de telefonía, etc. Se trata de sistemas importantes que nos permiten llevar a cabo una gran cantidad de operaciones en nuestro día a día, como la efectuación de pagos, transferencias de dinero, el bloqueo de tarjetas de crédito, cambios de tarifas, etc.

Destacó que las regulaciones normativas de los diferentes países, acerca de la ilegalidad de la suplantación de identidad en dichos sistemas, no ofrece garantías suficientes y proporciona en muchos casos una falsa sensación de seguridad. Esto se debe a que la legalidad de dichas acciones no es una de las principales barreras para los hackers, para llevar este tipo de ataques. 

Entre los principales problemas de seguridad detectados en su investigación, apuntó a la ausencia de procesos de autorización completa (full authorisation), sumado a la existencia de sistemas no seguros (en los que es fácil suplantar el Caller ID, con códigos por defecto o conocidos -well-known-, códigos de 4 dígitos sin sistemas de protección ante ataques de fuerza bruta, etc). Así, como las filtraciones y errores de los gestores de estos sistemas, en los que en muchas ocasiones utilizando técnicas de ingeniería social y disponiendo de menos información de la necesaria, de relativamente fácil acceso (ej. números de pasaporte), es posible obtener acceso a dichos sistemas y efectuar operaciones.

Finalmente, Aleksandr compartió su preocupación acerca de cómo conseguir motivar a las operadoras de telefonía y al resto de empresas, para que protejan suficientemente también este tipo de sistemas.

“Sitel, ETI A/S, ‘Lawful’ interception in Spain and Europe” (Claudio Chifa)

Para acabar la jornada, Claudio nos presentó su charla sobre la escucha activa (legal interception) de las comunicaciones electrónicas por parte de los Estados miembro de la Unión Europea, a través los sistemas SITEL (Integrated Telephone Interception System) y ETI A/S. Esta interceptación se basó entre 2006 y 2014 en la Data Retention Directive 2006/24/EC hasta que el Tribunal de Luxemburgo la declaró inválida. Esta Directiva, establecía que los Estados miembro debían almacenar los datos de las comunicaciones electrónicas de sus ciudadanos, durante un período mínimo de 6 meses y un máximo de 24 meses. Destacó el posicionamiento inicial que adoptó Rumanía, una vez aprobada la Directiva, de oposición a adaptarla a su legislación estatal, declarando que esta medida resultaba inconstitucional.

Posteriormente, expuso que todos los países disponen de Unidades militares o policiales de escucha activa. Y que, disponiendo de una orden judicial, las Fuerzas y Cuerpos de seguridad pueden disponer de todas las medidas que consideren necesarias, para interceptar las comunicaciones de personas que estén siendo investigadas. A su vez, expuso que los principales fabricantes de dispositivos de comunicaciones (CISCO, Juniper Networks, Huawei, etc), disponen de guías públicas de configuración de sus dispositivos para la escucha activa, así como repositorios públicos de Lawful Intercept MIBs (Management Information Base).

También, recordó que en España es ilegal levantar una BTS (Base Transceiver Station) si no se dispone de licencia de emisión, debido a que la banda de frecuencias utilizada es de pago (licensed spectrum). A su vez, destacó el riesgo de poder interferir en llamadas de emergencia efectuadas por personas en situación de riesgo, que se puedan encontrar dentro del alcance de la BTS.

Finalmente, Claudio recomendó no tomar excesivas medidas de seguridad en relación a la escucha activa (lawful interception), porque ello puede acabar afectando negativamente a nuestras vidas. En su lugar recomendó, pensar antes en cada situación y tomar medidas comunes de seguridad para preservar nuestra privacidad.



Carlos Sans García - CISSP, CISA, ISO 27001 LA, ISO22301 LA
Depto. de Consultoría