System Hardening: porque requerimos fortalecer la ciberseguridad en nuestros sistemas

Hoy se requiere confianza digital dentro y fuera de una organización, por lo que se deben implementar herramientas, con métodos y mejores prácticas de ciberseguridad en cada capa de nuestros sistemas y su infraestructura: aplicaciones, sistemas operativos, usuarios, tanto en la infraestructura local como en la nube. Esto es lo que llamamos System Hardening o fortalecimiento de sistemas, una práctica esencial que establece las bases para una infraestructura informática segura. Su objetivo es reducir en lo posible la superficie de ataque, fortaleciendo los sistemas para poder enfrentar posibles ataques de seguridad y eliminar en lo posible los puntos de apoyo de entrada para el cibercrimen.

Enfoque integral para la seguridad organizacional

Para implementar la seguridad organizacional, indudablemente se requiere de un enfoque integral, ya que se debe considerar dispositivos (endpoints, sensores, IoT), hardware, software, ambientes locales, entornos cloud (e híbridos), junto con políticas de seguridad y el cumplimiento regulatorio local e incluso el internacional. Cabe recordar que hoy, y en un futuro, no solo debemos proteger los activos digitales de una organización, sino que también evitar tiempos de inactividad y las posibles sanciones regulatorias (asociadas a incumplimiento de GDPR y leyes sobre protección de datos). También el Hardening contribuye a sentar la base sólida sobre la cual implementar soluciones de seguridad avanzadas. Más adelante, en Tipos de Hardening veremos dónde es posible implementar el fortalecimiento de la seguridad.

Beneficios del Hardening en Ciberseguridad

• Mejora de la funcionalidad del sistema: Las medidas de hardening contribuyen a optimizar los recursos del sistema, además de eliminar servicios y software innecesarios y aplicar parches y actualizaciones de seguridad. Las consecuencias de acciones conducen a un mejor rendimiento del sistema, ya que también se desperdician menos recursos en componentes no utilizados o vulnerables.
• Mayor nivel de seguridad: En un sistema fortalecido se reduce la superficie de un potencial ataque y se fortalecen las defensas contra amenazas (ejemplo, malware, acceso no autorizado y filtraciones de datos). Se protege la información confidencial y se garantiza la privacidad de los usuarios.
• Simplificación de la conformidad y auditoría: Las organizaciones deben cumplir con estándares y regulaciones de seguridad específicas para su industria, con el fin de proteger datos confidenciales. El hardening ayuda a cumplir con estos requisitos y garantiza el cumplimiento de estándares específicos de la industria, como GDPR (protección de datos personales), el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) o la ley de responsabilidad y portabilidad de seguros médicos (HIPAA, para proteger datos de un usuario de seguros de salud).

Otros beneficios incluyen el aseguramiento de la continuidad del negocio (sin interrupciones o fricciones), la defensa en diversas capas (controles de acceso, cifrado, firewalls, sistemas de detección de intrusiones y auditorías de seguridad periódicas) y la posibilidad de asumir una postura más proactiva en la seguridad, con evaluaciones y actualizaciones periódicas para prepararse ante amenazas y vulnerabilidades emergentes.
Todo sistema seguro ha debido ser securizado antes, y esto es, precisamente, en lo que consiste el hardening.

Tipos de Hardening

En el conjunto de la infraestructura IT, existen varios subconjuntos que requieren diferentes enfoques de seguridad:

1. Hardening de la gestión de la configuración

Implementación y configuración de la seguridad para varios componentes del sistema (incluyendo hardware, sistemas operativos y aplicaciones de software). También implica deshabilitar servicios y protocolos innecesarios, configuración de controles de acceso, implementación del cifrado y protocolos de comunicación seguros. Cabe mencionar que los equipos de seguridad y de TI a menudo mantienen agendas encontradas. La política de hardening debe tomar en cuenta las discusiones entre las dos partes. Se recomienda también implementar:

• Evaluación de elementos configurables: Desde cuentas de usuario e inicios de sesión, componentes y subsistemas del servidor, qué actualizaciones y vulnerabilidades de software y aplicaciones realizar, redes y firewalls, acceso remoto y gestión de registros, etc.
• Encontrar el equilibrio entre seguridad y funcionalidad: La política de Hardening debe considerar tanto los requisitos del equipo de seguridad como la capacidad del equipo de TI para implementarla utilizando los niveles de tiempo y mano de obra asignados actualmente. También se debe decidir qué desafíos deben enfrentarse y cuáles no valen la pena por cuestiones de tiempo y costos operativos.
• Gestión de cambios y prevención de «configuration drift»: El hardening implica implementar la monitorización continua, donde las herramientas de automatización contribuyen al cumplimiento de requerimientos en cualquier momento, eliminando la necesidad de escaneo constante. También, en los cambios no deseados, se puede reforzar las políticas de hardening que puede suceder en el entorno de producción. Por último, en caso de cambios no autorizados, las herramientas de automatización ayudan a detectar anomalías y ataques para implementar acciones preventivas.

2. Hardening de aplicaciones

Protección de las aplicaciones de software que se ejecutan en el sistema, mediante eliminación o inhabilitación de características y funcionalidades innecesarias, aplicación de parches y actualizaciones de seguridad específicos para la aplicación, junto con las prácticas de codificación segura y controles de acceso, además de mecanismos de autenticación a nivel de aplicación. La importancia de la seguridad de las aplicaciones radica en que los usuarios de la organización demandan ambientes seguros y estables; por parte de los empleados, la aplicación de parches y actualizaciones permite reaccionar ante amenazas e implementar medidas preventivas. Hay que recordar que los usuarios son muchas veces el punto de entrada a la organización para el cibercrimen. Entre las técnicas más comunes, podemos mencionar:

• Instalación de aplicaciones solo desde repositorios confiables.
• Parches de automatizaciones de aplicaciones estándar y de terceros.
• Instalación de cortafuegos, antivirus y programas de protección contra malware o spyware.
• Cifrado de datos basado en software.
• Aplicaciones de gestión y cifrado de contraseñas

3.Hardening de Sistema Operativo (OS)

Configuración del sistema operativo para minimizar las vulnerabilidades, ya sea deshabilitando servicios innecesarios, el cierre de puertos no utilizados, implementación de firewalls y sistemas de detección de intrusos, aplicación de políticas de contraseñas seguras y aplicación periódica de parches y actualizaciones de seguridad. Entre los métodos más recomendables, encontramos los siguientes:

• Aplicar las últimas actualizaciones publicadas por el desarrollador del sistema operativo.
• Habilitar funciones de seguridad integradas (Microsoft Defender o software de plataformas de Protección de Endpoint o EPP, Endpoint Detection Rate o EDR de terceros). Esto realizará una búsqueda de malware en el sistema (caballos de troya, sniffer, capturadores de contraseñas, sistemas de control remoto, etc).
• Eliminar controladores innecesarios y actualizar los que se utilizan.
• Eliminar software instalado en la máquina innecesario.
• Habilitar el arranque seguro.
• Restringir los privilegios de acceso al sistema.
• Usar biometría o autenticación FIDO (Fast Identity Online) además de las contraseñas.

También, se puede implementar una política de contraseñas segura, proteger datos confidenciales con cifrado AES o unidades de autocifrado, tecnologías de resiliencia de firmware y/o autenticación multifactor.

4.Hardening de Servidor

Eliminación de vulnerabilidades (también conocidos como vectores de ataque) que un pirata informático podría utilizar para acceder al servidor. Se centra en asegurar datos, puertos, componentes y funciones del servidor, implementando protocolos de seguridad a nivel de hardware, firmware y software. Se recomienda:

• Parchear y actualizar los sistemas operativos periódicamente.
• Actualizar el software de terceros necesario para ejecutar los servidores de acuerdo con los estándares de seguridad de la industria.
• Exigir a los usuarios crear y mantener contraseñas complejas que consten de letras, números y caracteres especiales, además de actualizar estas contraseñas con frecuencia.
• Bloquear una cuenta después de un número determinado de intentos fallidos de inicio de sesión.
• Desactivar ciertos puertos USB cuando se arranca un servidor.
• Aprovechar la autenticación multifactor (MFA)
• El uso de cifrado AES o unidades autocifradas para ocultar y proteger información crítica para el negocio.
• Utilizar protección antivirus y firewall, así como otras soluciones de seguridad avanzadas.

5.Hardening de red

Protección de la infraestructura de la red y los canales de comunicación. Implica configurar firewalls, implementar sistemas de prevención de intrusiones (IPS) y sistemas de detección de intrusiones (IDS), protocolos de cifrado como SSL/TLS, y segmentar la red para reducir el impacto de una infracción e implementar fuertes controles de acceso a la red. Se recomienda combinar los sistemas IPS y de IDS, además de:

• Configurar adecuadamente los firewalls de red.
• Auditorías de reglas de red y privilegios de acceso.
• Deshabilitar puertos de red y protocolos de red innecesarios.
• Deshabilitar servicios y dispositivos de red no utilizados.
• Cifrar el tráfico de red.

Cabe mencionar que la implementación de mecanismos sólidos de monitorización y registro es esencial para fortalecer nuestro sistema. Implica configurar un registro de eventos de seguridad, monitorizar los registros del sistema en busca de actividades sospechosas, implementar sistemas de detección de intrusiones y realizar auditorías y revisiones de seguridad periódicas para identificar y responder a posibles amenazas de manera oportuna.

Aplicación práctica de Hardening en 9 Pasos

Aun cuando cada organización tiene sus particularidades en los sistemas empresariales, existen tareas de hardening generales y aplicables a la mayoría de los sistemas. A continuación, se muestra una lista de las tareas más importantes a modo de checklist básica:

1. Administrar el acceso: Asegúrate de que el sistema está físicamente seguro y que el personal está informado sobre los procedimientos de seguridad. Configura roles personalizados y contraseñas seguras. Elimina los usuarios innecesarios del sistema operativo y evita el uso de cuentas raíz o de “superadministrador” con privilegios excesivos. También, hay que limitar los permisos de grupos de administradores: sólo otorga privilegios elevados cuando sea necesario.

2. Controlar el tráfico de la red: Instala sistemas reforzados detrás de un firewall o, si es posible, aislados de las redes públicas. Se debe requerir un VPN o proxy inverso para conectarse. También, se deben cifrar las comunicaciones y establecer reglas de firewall para restringir el acceso a rangos de IP conocidos.

3. Aplicar parches en las vulnerabilidades: Mantén actualizados los sistemas operativos, los navegadores y cualquier otra aplicación y aplica todos los parches de seguridad. Se recomienda realizar un seguimiento de los avisos de seguridad de los proveedores y los CVE más recientes.

4. Eliminar el software innecesario: Desinstala cualquier software innecesario y elimina los componentes redundantes del sistema operativo. Hay que desactivar los servicios innecesarios y cualquier componente o función de la aplicación que no sea necesario y que pueda ampliar la superficie de amenazas.

5. Implementa la monitorización continua: Revisa periódicamente los registros para detectar actividades anómalas, con especial atención a las autenticaciones, al acceso de los usuarios y a la escalada de privilegios. Refleja los registros en una ubicación separada para proteger la integridad de los registros y evitar manipulaciones. Realiza análisis periódicos de vulnerabilidades y malware y, si es posible, realiza una auditoría externa o una prueba de penetración.

6. Implementar comunicaciones seguras: Asegura la transferencia de datos mediante cifrados seguros. Cierra todos los puertos de red excepto los esenciales y desactiva protocolos no seguros como SMBv1, Telnet y HTTP.

7. Realizar copias de seguridad periódicas: Los sistemas reforzados son, por definición, recursos sensibles y se les debe realizar copias de seguridad periódicamente utilizando la regla 3-2-1 (tres copias de la copia de seguridad, en dos tipos de medios, con una copia almacenada fuera del sitio).

8. Fortalecer las sesiones remotas: Si debe permitirse Secure Shell o SSH (protocolo de administración remota), asegúrate de que se use una contraseña o certificado seguro. Hay que evitar el puerto predeterminado, además de deshabilitar los privilegios elevados para el acceso SSH. Supervisa los registros SSH para identificar usos anómalos o escalada de privilegios.

9. Monitorizar las métricas importantes para la seguridad: Monitoriza logs, accesos, número de conexiones, carga de servicios (CPU , Memoria) o crecimiento del disco. Todas estas métricas y muchas más son importantes para saber si estás sufriendo un ataque. Tenerlas monitorizadas y conocerlas en tiempo real puede librarte de muchos ataques o degradaciones del servicio.

Hardening en Pandora FMS

Pandora FMS incorpora una serie de funcionalidades específicas para monitorizar el hardening de servidores, tanto Linux como Windows. Para ello, ejecuta un plugin especial que realizará una serie de verificaciones, puntuando si pasa o no el registro. Dichas comprobaciones se programan para que se ejecuten cada cierto tiempo. La interfaz gráfica estructura lo encontrado en diferentes categorías, y se puede analizar visualmente la evolución de la seguridad del sistema a lo largo del tiempo, como una gráfica temporal. Además, se pueden generar informes técnicos detallados de cada máquina, por grupos o realizar comparativas.

Es importante abordar las tareas de securización de los sistemas de una manera metódica y organizada, atendiendo primero a lo más crítico y siendo metódico, para poder hacerlo en todos los sistemas por igual. Uno de los pilares fundamentales de la seguridad informática es el hecho de no dejar grietas, si hay una puerta de entrada, por pequeña que sea, y por más que tengamos securizado el resto de máquinas, puede ser suficiente para tener una intrusión en nuestros sistemas.

El Centro para la Seguridad en Internet (CIS) lidera el desarrollo de normas internacionales de hardening y publica directrices de seguridad para mejorar los controles de ciberseguridad. Pandora FMS utiliza las recomendaciones del CIS para implementar un sistema de auditoría de seguridad, integrado con la monitorización para observar la evolución del hardening en toda tu organización, sistema por sistema.

Utilización de categorías CIS para verificaciones de seguridad

Existen más de 1500 comprobaciones individuales para garantizar la seguridad de los sistemas gestionados por Pandora FMS. A continuación, mencionamos las categorías CIS auditadas por Pandora FMS y algunas recomendaciones:

• Inventario y control de activos hardware y software
  Se refiere a todos los dispositivos y software en tu organización. Se recomienda mantener un inventario actualizado de tus activos tecnológicos y usar la autenticación para bloquear los procesos no autorizados.
• Inventario y control de dispositivos
  Consiste en identificar y gestionar tus dispositivos de hardware para que solamente los autorizados tengan acceso a los sistemas. Para ello, hay que mantener un inventario adecuado, minimizar riesgos internos, organizar tu entorno y brindar claridad a tu red.
• Gestión de vulnerabilidades
  Análisis de los activos de forma continua para detectar vulnerabilidades potenciales y solucionarlas antes de que se conviertan en la entrada a un ataque. Se debe asegurar la actualización de parches y medidas de seguridad en el software y los sistemas operativos.
• Uso controlado de privilegios administrativos
  Consiste en la supervisión de los controles de acceso y el comportamiento de los usuarios con cuentas privilegiadas para evitar cualquier acceso no autorizado a sistemas críticos. Se debe asegurar que solamente las personas autorizadas tengan privilegios elevados para evitar cualquier mal uso de los privilegios administrativos.
• Configuración segura de hardware y software
  Configuración y mantenimiento de seguridad basadas en estándares aprobados por tu organización. Se debe crear un sistema de gestión de configuraciones riguroso que detecte y alerte sobre cualquier configuración incorrecta, junto con un proceso de control de cambios para evitar que los atacantes se aprovechen de servicios y configuraciones vulnerables.
• Mantenimiento, supervisión y análisis de logs y registros de auditoría
  Recopilación, administración y análisis de los logs de auditoría de eventos para identificar posibles anomalías. Se requieren registros detallados para comprender a fondo los ataques y poder responder de manera eficaz a los incidentes de seguridad.
• Defensas contra malware
  Supervisión y control de instalación y ejecución de código malicioso en varios puntos de la organización para prevenir ataques. Se debe configurar y usar software antimalware y aprovechar la automatización para garantizar actualizaciones rápidas de defensas y una acción correctiva ágil en caso de ataques.
• Protección del correo electrónico y los navegadores web
  Protección y administración de tus navegadores web y sistemas de correo electrónico contra amenazas en línea para reducir la superficie de ataque. Hay que desactivar complementos de correo electrónico no autorizados y asegurarse de que los usuarios solo accedan a sitios web de confianza mediante filtros de URL basados en la red. Recuerda mantener seguras estas puertas de entrada más comunes para los ataques.
• Capacidades de recuperación de datos
  Procesos y herramientas para asegurar que la información crítica de tu organización esté respaldada adecuadamente. Asegúrate de contar con un sistema de recuperación de datos confiable para restaurar la información en caso de ataques que pongan en peligro los datos críticos.
• Defensa de límites y protección de datos
  Identificación y clasificación de los datos sensibles, junto con una serie de procesos que incluyan la codificación, planes de protección contra la infiltración de datos y técnicas de prevención de pérdida de datos. Establece barreras sólidas para prevenir el acceso no autorizado.
• Supervisión y control de cuentas
  Supervisión de todo el ciclo de vida de tus sistemas y cuentas de aplicaciones, desde su creación hasta su eliminación, pasando por su uso e inactividad. Considera que esta gestión activa previene que los atacantes se aprovechen de cuentas de usuarios legítimos pero inactivos para fines maliciosos y permite mantener un control constante sobre las cuentas y sus actividades.
  Cabe mencionar que no todas las categorías son aplicables en un sistema, pero existen controles para verificar si se aplican o no. Veamos algunas pantallas a manera de ejemplo de visualización.

Ejemplo de detalle en un control de hardening de un servidor Linux (Debian)

Este control explica que es recomendable desactivar el reenvío de paquetes ICMP, tal como se contempla en las recomendaciones de CIS, PCI_DSS, NIST y TSC.

Ejemplo de listado de chequeos por grupo (en este caso, securización de red)

Ejemplo de controles, por categoría en un servidor:

La separación de los controles por categorías es clave para poder organizar el trabajo y para delimitar el alcance, por ejemplo, habrá sistemas no expuestos a la red donde podremos “ignorar” la categoría de red, o sistemas sin usuarios, donde podemos evitar el control de usuarios.

Ejemplo de evolución del hardening de un sistema a lo largo del tiempo:

Esto nos permite ver la evolución de la securización en un sistema (o en un grupo de sistemas). La securización no es un proceso fácil ya que son docenas de cambios, por lo que es importante abordarlo de una forma gradual, es decir, planificando por etapas la corrección de los mismos, esto debería producir una tendencia a lo largo del tiempo, como la que podemos ver en la imagen adjunta. Pandora FMS es una herramienta útil no solo de auditoría, si no de seguimiento del proceso de securización de los sistemas.

Otras medidas de seguridad adicionales relacionadas con el hardening

• Monitorización de vulnerabilidades permanente. Pandora FMS integra además un sistema de detección de vulnerabilidades continuo, basado en las bases de datos de Mitre (CVE, Common Vulnerabilities and Exposure, vulnerabilidades y exposición comunes) y NIST para poder realizar auditorías de software vulnerable en toda tu organización de manera continuada. Se usan tanto los agentes como el componente remoto Discovery para determinar en cuáles de tus sistemas hay software con vulnerabilidades. Más información aquí.
• Flexibilidad en el inventariado: Ya sea que utilices sistemas Linux de varias distribuciones o cualquier versión de Windows, lo importante es conocer y mapear bien nuestra infraestructura: software instalado, usuarios, rutas, direcciones, IP, hardware, discos, etc. La seguridad no se puede tener si no disponemos de un inventario detallado.
• Monitorización constante de la infraestructura de seguridad: Es importante monitorizar el estado de las infraestructuras específicas de seguridad, como backups, antivirus, VPN, firewalls, IDS/IPS, SIEM, honeypots, sistemas de autenticación, sistemas de almacenamiento, recogida de logs, etc.
• Monitorización permanente de la seguridad en servidores: Verificando en tiempo real la seguridad del acceso remoto, de las contraseñas, de los puertos abiertos y del cambio sobre ficheros clave del sistema.
• Alertas proactivas: No solo es preciso detectar posibles brechas de seguridad, sino que también es necesario ejecutar alertas proactivas y recomendaciones para abordar cualquier problema antes de que se convierta en una amenaza real.

Te invito a ver este video sobre Hardening en Pandora FMS.

Impacto positivo en la seguridad y operatividad

Como hemos visto, el hardening es parte de los esfuerzos para garantizar la continuidad del negocio. Se debe asumir una postura proactiva sobre la protección del servidor, priorizando riesgos identificados en el entorno tecnológico y aplicando cambios de manera gradual y lógica. En forma constante, se deben aplicar los parches y realizar actualizaciones como prioridad, apoyándose en herramientas de monitorización y gestión automatizadas que aseguren la rápida corrección de posibles vulnerabilidades. También se recomienda seguir las mejores prácticas específicas para cada área de hardening con el fin de garantizar la seguridad de toda la infraestructura tecnológica con un enfoque integral.

Recursos Adicionales

Accede a la documentación de Pandora FMS o consulta las referencias a las directrices de seguridad del CIS: ver entrevista a Alexander Twaradze, representante de Pandora FMS ante países que implementan estándares CIS.