En 2017, el Centro de Seguridad Cibernética de Australia (ACSC) publicó un conjunto de estrategias de mitigación diseñadas para ayudar a las organizaciones a protegerse contra los incidentes de seguridad cibernética. Estas estrategias, que se conocieron como los ocho esencialesestán diseñados específicamente para su uso en redes de Windows, aunque las variaciones de estas estrategias se aplican comúnmente a otras plataformas.
¿Qué es el Ocho Esencial?
The Essential Eight es esencialmente un marco de seguridad cibernética que se compone de objetivos y controles (cada objetivo incluye múltiples controles). Inicialmente, el gobierno australiano solo ordenó que las empresas se adhirieran a cuatro de los controles de seguridad que se incluyeron en el primer objetivo. Sin embargo, a partir de junio de 2022, las 98 entidades no corporativas de la Commonwealth (NCCE) serán requerido para cumplir con todo el marco.
Los no australianos toman nota
Aunque Essential Eight es específico de Australia, las organizaciones fuera de Australia deben tomar nota. Después de todo, Essential Eight está «basado en la experiencia de ACSC en la producción de inteligencia de amenazas cibernéticas, respondiendo a incidentes de seguridad cibernética, realizando pruebas de penetración y ayudando a las organizaciones a implementar Essential Eight» (fuente). En otras palabras, los Ocho Esenciales podrían considerarse como un conjunto de mejores prácticas que se basan en la propia experiencia del ACSC.
Otra razón para que aquellos fuera de Australia presten atención a los Ocho Esenciales es porque la mayoría de las naciones desarrolladas tienen regulaciones de seguridad cibernética que imitan de cerca a los Ocho Esenciales. Si bien inevitablemente habrá diferencias en las regulaciones, la mayoría de los conjuntos de regulaciones de seguridad cibernética parecen estar de acuerdo con los mecanismos básicos que deben implementarse para permanecer seguros. Examinar los Ocho Esenciales de Australia puede ayudar a las organizaciones en el extranjero a comprender mejor lo que se necesita para mantener sus sistemas seguros.
Los Ocho Esenciales se dividen en cuatro niveles de madurez, donde el Nivel de Madurez 0 indica que la organización no es del todo segura. El nivel de madurez 1 proporciona un nivel de protección muy básico, mientras que el nivel de madurez 3 tiene requisitos que son mucho más estrictos. Se alienta a las organizaciones a evaluar sus riesgos generales y recursos de TI al elegir un nivel de madurez objetivo.
Objetivo 1: Control de aplicaciones
El objetivo de Application Control está diseñado para evitar que se ejecute código no autorizado en los sistemas. El nivel de madurez 1 está diseñado principalmente para evitar que los usuarios ejecuten ejecutables, secuencias de comandos, herramientas y otros componentes no autorizados en sus estaciones de trabajo, mientras que el nivel de madurez 2 agrega protecciones para los servidores con acceso a Internet. El nivel de madurez 3 agrega controles adicionales, como restricciones de controladores y cumplimiento de las listas de bloqueo de Microsoft.
Objetivo 2: Aplicaciones de parches
El segundo objetivo se centra en aplicar parches a las aplicaciones. Los proveedores de software entregan parches de seguridad de forma rutinaria a medida que se descubren vulnerabilidades. El objetivo de las aplicaciones de parches establece (para todos los niveles de madurez) que los parches para vulnerabilidades en los servicios de Internet deben parchearse dentro de dos semanas, a menos que exista un exploit, en cuyo caso los parches deben aplicarse dentro de las 48 horas posteriores a su disponibilidad. Este objetivo también prescribe orientación para otros tipos de aplicaciones y para el uso de escáneres de vulnerabilidad.
Objetivo 3: configurar los ajustes de macros de Microsoft Office
El tercer objetivo es deshabilitar el uso de macros en Microsoft Office para los usuarios que no tienen una necesidad empresarial legítima para el uso de macros. Las organizaciones también deben asegurarse de que las macros estén bloqueadas para cualquier archivo de Office que se origine en Internet y que los usuarios finales no puedan modificar la configuración. Las organizaciones también deben usar software antivirus para buscar macros. Los niveles de madurez más altos agregan requisitos adicionales, como ejecutar macros en ubicaciones de espacio aislado.
Objetivo 4: Usar endurecimiento de aplicaciones
El cuarto objetivo se llama Application Hardening, pero en un nivel de madurez de 1, este objetivo se relaciona principalmente con bloquear el navegador web en las PC de los usuarios. Más específicamente, los navegadores deben configurarse para que no procesen Java, ni puedan procesar anuncios Web. Además, Internet Explorer 11 no se puede usar para procesar contenido de Internet (los niveles de madurez más altos exigen eliminar o deshabilitar Internet Explorer). Los ajustes del navegador deben configurarse de modo que los usuarios no puedan modificarlos.
Los niveles de madurez más altos se enfocan en fortalecer otras aplicaciones más allá del navegador. Por ejemplo, se debe evitar que los lectores de Microsoft Office y PDF creen procesos secundarios.
Objetivo 5: Restringir los privilegios administrativos
El Objetivo 5 se trata de mantener las cuentas privilegiadas a salvo. Este objetivo establece reglas tales como cuentas privilegiadas que no pueden acceder a Internet, correo electrónico o servicios web. Asimismo, se debe prohibir que las cuentas sin privilegios inicien sesión en entornos privilegiados.
Cuando un atacante busca comprometer una red, una de las primeras cosas que hará es tratar de obtener acceso privilegiado. Como tal, es extraordinariamente importante proteger las cuentas privilegiadas contra compromisos. Una de las mejores herramientas de terceros para hacerlo es Specops Secure Service Desk, que evita el restablecimiento no autorizado de contraseñas tanto para cuentas privilegiadas como no privilegiadas. De esa forma, un atacante no podrá obtener acceso a una cuenta privilegiada simplemente solicitando un restablecimiento de contraseña.
Objetivo 6: parchear los sistemas operativos
Así como los proveedores de aplicaciones lanzan periódicamente parches para solucionar vulnerabilidades conocidas, Microsoft lanza parches de Windows con regularidad. Estos parches normalmente llegan el «martes de parches», pero a veces se implementan parches fuera de banda cuando se reparan vulnerabilidades graves.
El objetivo Parchear el sistema operativo establece los requisitos básicos para mantener Windows parchado. Además, este objetivo requiere que las organizaciones busquen parches faltantes con regularidad.
Objetivo 7: autenticación multifactor
El séptimo objetivo define cuándo se debe utilizar la autenticación multifactor. El nivel de madurez 1 es relativamente indulgente y requiere autenticación multifactor principalmente cuando los usuarios acceden a aplicaciones basadas en Internet o basadas en la Web (entre otras cosas). Los niveles de madurez más altos requieren que la autenticación multifactor se use en un número cada vez mayor de situaciones.
Requerir autenticación multifactor es una de las cosas más efectivas que una organización puede hacer para mantener seguras las cuentas de los usuarios. Specops uReset permite la autenticación multifactor para las solicitudes de restablecimiento de contraseña, lo que ayuda a mantener seguras las cuentas de los usuarios.
Objetivo 8: Copias de seguridad periódicas
El objetivo del octavo es crear copias de seguridad periódicas. Además de crear copias de seguridad, las organizaciones deben realizar restauraciones de prueba y evitar que las cuentas sin privilegios eliminen o modifiquen las copias de seguridad, o que accedan a copias de seguridad que no sean propias. Los niveles de madurez más altos establecen restricciones de acceso adicionales en cuentas sin privilegios y en cuentas privilegiadas (aparte de los administradores de respaldo y las cuentas de emergencia).