O nosso artigo de hoje: “Hardening: porquê, como planejar e qual o padrão recomendado!” procura trazer até o nosso leitor uma visão geral não só do que é o hardening, mas também uma visão macro de como começar ao planejamento e implementação deste processo e onde obter a principal referência de padrão a ser utilizado. Espero que gostem, que seja útil e compartilhem com seus comandados. Então vamos lá!

Quando se trata de proteger uma rede, as organizações geralmente implantam vários controles e processos técnicos para criar uma abordagem de “defesa em camadas”. Essa abordagem ajuda a limitar pontos únicos de falha e exposição. No entanto, um processo importante que geralmente é ignorado é o fortalecimento do sistema, que inclui alterações nas configurações padrão do sistema, para que o sistema fique mais seguro contra ameaças à segurança da informação. Além disso, esse processo ajuda a reduzir a quantidade de vulnerabilidades inerentes que existem em todos os sistemas.

Com o avanço tecnológico, surge novas tecnicas de exploração e ameaças, gerando problemas de vazamento de informações, invasão e furto de informações que naturalmente são causados pela má administração dos serviços e sistemas que estão agregados às estruturas computacionais empresariais.

No meio tecnológico, o principal causador desses problemas são pessoas denominadas como Hacker ou Crackers (aqui não vou entrar no mérito de qual é bom e ruim, isto seria assunto de um outro artigo), caracterizados por possuírem certo nível específico de conhecimentos informáticos, e utilizam este para invadir sistemas, coletar dados e informações, por brechas e lacunas que na maioria das vezes são desprezadas pelos administradores de sistemas. Normalmente eles executam teste de segurança, explorando as vulnerabilidades, pontos falhos e, a partir daí, iniciam seus ataques através da internet, passando assim a adquirir informações sigilosas utilizando-as para beneficio próprio.

Com a constante evolução das tecnologias e das técnicas de ataques há  necessidade de resguardar os dados e informações que estão atrelados aos sistemas, efetuando rotinas de segurança, implementando serviços e instrumentos com o principal intuito de minimizar ataques e tentar aumentar o nível de segurança da informação nos sistemas operacionais.

Assim, torna-se necessário a aplicação de de técnicas adicionais de proteção a fim de “blindar” o sistema operacional, aplicativos, banco de dados e equipamentos usando técnicas chamadas de Hardening 

O que é hardening ?

Hardening, ou blindagem, é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura e objetivo principal de torná-la preparada para enfrentar tentativas de ataque.

Normalmente, o processo inclui remover ou desabilitar nomes ou logins de usuários que não estejam mais em uso, além de serviços desnecessários.

Outras providências que um processo de hardening pode incluir: limitar o software instalado àquele que se destina à função desejada do sistema; aplicar e manter os patches atualizados, tanto de sistema operacional quanto de aplicações; revisar e modificar as permissões dos sistemas de arquivos, em especial no que diz respeito a escrita e execução; reforçar a segurança do login, impondo uma política de senhas fortes.

Em outras palavras, o hardening consiste em fazer a remoção dos meios de acesso e parâmetros desatualizados, inutilizados e desnecessários que permitam o acesso de fora para dentro e de dentro para fora, dimunindo assim as chances de ataques são menores.

Com essa técnica, é possível remover completamente o acesso de usuários não autorizados, bem como que eles coloquem scripts maliciosos nos servidores da rede. Também pode ser feito o bloqueio do login, logout de usuários inativos há muito tempo, remoção de permissões e muito mais.

Um dos principais benefícios é que as brechas de segurança e as vulnerabilidades dos sistemas são descobertas, fazendo com que a empresa consiga não somente administrar melhor, mas também fazer as mudanças que forem necessárias em sua estrutura. Por exemplo, se for notado que os softwares utilizados estão muito desatualizados, a organização pode imediatamente investir nesse setor e resolver o problema.

Como implementar o Hardening

Um processo de proteção do sistema deve estar em vigor para todos os dispositivos conectados a uma rede. Isso inclui estações de trabalho, servidores, dispositivos de rede, impressoras etc. Se a sua organização não possui atualmente um processo de proteção do sistema, abaixo estão algumas recomendações gerais sobre o que deve incluir um forte processo de proteção do sistema.

1 – Renomear ou desativar contas internas

Desabilitar ou renomear credenciais padrão para contas internas é fundamentalmente uma das etapas mais importantes no fortalecimento do sistema. A Internet contém centenas de milhares de credenciais padrão que podem ser obtidas com algumas teclas e cliques do mouse. Geralmente, esse é o primeiro vetor de ataque que um invasor tentará ao tentar comprometer um sistema. Renomear ou desativar contas internas dificultará o acesso não autorizado ao sistema.

Evite usar uma convenção de nomenclatura que divulgue que a conta possui direitos administrativos. Renomear a conta interna como “administrador” para “itadmin” é útil, no entanto, seria ineficaz se um invasor conseguir fazer o sistema enumerar ou listar contas de usuário. É provável que um invasor direcione contas que revelam que têm privilégios administrativos primeiro. Em vez disso, renomeie as contas internas usando nomes de contas exclusivos e não descritivos.

Por fim, verifique se as contas recém-renomeadas usam senhas complexas. Uma senha complexa é geralmente considerada uma que inclui o uso de caracteres alfanuméricos e não alfanuméricos de maiúsculas e minúsculas e tem pelo menos oito caracteres, e se possível caracteres especiais. Não se esqueça de alternar essas senhas regularmente e de não deixá-la anotada em arquivos txt ou xls de fácil acesso (mesmo com senhas estes arquivos são facilmente abertos, a internet está cheia de programas para isto).

2 – Determinar protocolos necessários

Os sistemas geralmente vêm pré-configurados com as configurações de protocolo padrão. Um exemplo é o SNMP (Simple Network Management Protocol), que é ativado em praticamente todos os sistemas. O SNMP geralmente é configurado com o valor padrão da cadeia de comunidade “PUBLIC” ou “PRIVATE”. Se esse valor da cadeia de comunidade for usado em uma rede de produção, um invasor poderá obter informações confidenciais ou fazer alterações não autorizadas no sistema, negativamente. impactando as operações de negócios.

Outra área de preocupação são os sistemas configurados para usar protocolos não criptografados. Protocolos comuns não criptografados incluem HTTP, TELNET e FTP. Se um sistema estiver usando um protocolo não criptografado, informações confidenciais, como nomes de usuário e senhas, poderão ser enviadas em texto não criptografado pela rede. Um invasor que está monitorando o tráfego de rede pode interceptar essas informações.

Como parte do processo de proteção do sistema, uma organização deve determinar quais protocolos são necessários para as operações comerciais. Se possível, os valores padrão do protocolo devem ser alterados para algo único e não facilmente adivinhado. Protocolos não criptografados devem ser desativados em favor de protocolos criptografados que incluem HTTPS, SSH e FTPS.

3 – Proteger os sistemas básicos de entrada / saída (“BIOS”)

Todos os sistemas operacionais possuem uma solução de gerenciamento de inicialização também conhecida como “BIOS”. O BIOS permite que sejam feitas alterações em um sistema, incluindo a sequência de inicialização. Essa é outra maneira de um invasor comprometer um sistema. Por exemplo, um invasor pode alterar a sequência de inicialização do disco rígido para um dispositivo USB para inicializar em um sistema operacional malicioso. Para aumentar a segurança da rede, a proteção do sistema deve incluir a configuração de uma senha complexa para acessar o BIOS.

4 – Identifique e remova aplicativos e serviços desnecessários

Os sistemas comprados em “grandes lojas” são famosos por serem pré-instalados com aplicativos “bloatware”. Esses aplicativos requerem a execução de recursos críticos do sistema e podem prejudicar o desempenho do sistema. Além disso, os aplicativos “bloatware” geralmente permitem que os serviços sejam executados em segundo plano. Isso coloca um sistema em risco de vulnerabilidades de segurança indesejadas e aumenta os diferentes vetores de comprometimento. Para reduzir possíveis vetores de ataque, a proteção do sistema deve incluir a identificação e remoção de aplicativos e serviços desnecessários para operações comerciais.

5 – Documentando o processo de proteção do sistema

Um componente essencial de um forte processo de proteção do sistema é garantir que o processo seja completamente documentado. Isso ajuda não apenas a garantir que cada sistema seja configurado e implantado corretamente, mas também cria um nível mais alto de responsabilidade dentro da organização.

CIS Security

O CIS® (Centro de Internet Security, Inc.) é uma entidade sem fins lucrativos que utiliza o poder de uma comunidade global de TI para proteger organizações públicas e privadas contra ameaças cibernéticas.

O CIS Controls® e o CIS Benchmarks ™ são o padrão global e as melhores práticas reconhecidas para proteger sistemas e dados de TI contra os ataques mais difundidos. Essas diretrizes comprovadas são continuamente refinadas e verificadas por uma comunidade global voluntária de profissionais de TI experientes.

Os benchmarks do CIS são práticas recomendadas para a configuração segura de um sistema de destino. Disponível para mais de 140 tecnologias, os CIS Benchmarks são desenvolvidos por meio de um processo único baseado em consenso, composto por profissionais de segurança cibernética e especialistas no assunto em todo o mundo. Os Benchmarks da CIS são os únicos guias de configuração de segurança de práticas recomendadas, baseados em consenso, desenvolvidos e aceitos pelo governo, negócios, setor e academia.

Como são desenvolvidos os benchmarks da CIS?

Os Benchmarks da CIS são desenvolvidos por meio de esforços voluntários de especialistas no assunto, fornecedores de tecnologia, membros da comunidade pública e privada e a equipe de Desenvolvimento de Benchmark da CIS.

O processo inicial de desenvolvimento de benchmark define o escopo do benchmark e inicia o processo de discussão, criação e teste de rascunhos de trabalho. Usando o site da comunidade CIS WorkBench, são estabelecidos tópicos de discussão para continuar o diálogo até que seja alcançado um consenso sobre as recomendações propostas e os rascunhos de trabalho. Quando o consenso é alcançado na comunidade de benchmark da CIS, o benchmark final é publicado e divulgado on-line.

Os CIS Benchmarks podem ser baixados gratuitamente em formato PDF, com formatos de arquivo adicionais (XCCDF, Word etc.) disponíveis para os membros do CIS SecureSuite.

A maioria dos benchmarks do CIS inclui vários perfis de configuração. Uma definição de perfil descreve as configurações atribuídas às recomendações de benchmark.

O perfil de nível 1 é considerado uma recomendação básica que pode ser implementada com bastante rapidez e foi projetado para não ter um amplo impacto no desempenho. A intenção do benchmark de perfil de nível 1 é diminuir a superfície de ataque da sua organização, mantendo as máquinas utilizáveis ​​e não prejudicando a funcionalidade dos negócios.

O perfil de nível 2 é considerado “defesa em profundidade” e é destinado a ambientes onde a segurança é fundamental. As recomendações associadas ao perfil de nível 2 podem ter um efeito adverso na sua organização se não forem implementadas adequadamente ou sem o devido cuidado.

Todas as recomendações em cada Benchmark da CIS estão associadas a pelo menos um perfil. Independentemente de qual perfil de nível você planeja implementar em seu ambiente, e recomendável a aplicação das diretrizes do CIS Benchmark em um ambiente de teste primeiro para determinar o impacto potencial.

Por: Kleber Melo - Redor Blog Minuto da Segurança, Sócio Consultor da MindSec Segurança e tecnologia e COO da CYB3R Operations Brasil

Fonte: CIS Security & Viva o Linux & Administradores.com & TraceSecurity