====== Hardening ======

{{indexmenu_n>20}}

<wrap #ks1 />
===== Monitorización de hardening =====

Se han fusionado las recomendaciones del <wrap :en>**Center for Internet Security**</wrap> (**CIS**) con la [[:es:documentation:pandorafms:monitoring:01_intro_monitoring|tecnología de monitorización de Pandora FMS]] para ofrecer un sistema de auditoría de aseguramiento integrado. Esto permite rastrear y evaluar a lo largo del tiempo la evolución de las medidas de //hardening// (fortalecimiento de la seguridad) en los entornos utilizados y monitorizados.

El //system hardening// (o endurecimiento del sistema) es un proceso que utilizado para mejorar la seguridad de un sistema informático al reducir su superficie de ataque y fortalecer sus defensas. Consiste en hacer más difícil que posibles atacantes exploren fallos de configuración, ya sea por configuraciones por defecto, malas configuraciones o configuraciones indebidas.

El //system hardening//  es un proceso continuo ya que las amenazas de seguridad y las vulnerabilidades evolucionan con el tiempo. Requiere un monitoreo constante, evaluaciones de riesgos y ajustes en las configuraciones de seguridad para adaptarse a las circunstancias cambiantes. Además, las organizaciones a menudo siguen estándares y mejores prácticas específicas de la industria, como los controles del **CIS** o las pautas del <wrap :en>**National Institute of Standards and Technology**</wrap> (**NIST**), para garantizar un //system hardening// integral.

Pandora FMS utiliza varias categorías del CIS para agrupar los chequeos que realiza.

<wrap #ks2 />
===== Categorías CIS Auditadas por Pandora FMS =====

Hemos llevado las recomendaciones del CIS un paso más allá al implementar más de 1500 comprobaciones individuales en una variedad de categorías cruciales para la seguridad.

**Inventario y control de activos hardware y software**: Supervise y gestione todos los dispositivos y software en su organización. Mantenga un inventario actualizado de sus activos tecnológicos y use la autenticación para bloquear los procesos no autorizados.

**Inventario y control de dispositivos**: identificar y gestionar sus dispositivos de hardware para que solamente los autorizados tengan acceso, bloqueando los demás. Mantener un inventario adecuado minimiza riesgos internos, organiza su entorno y brinda claridad a su red.

**Gestión de vulnerabilidades**: Analice sus activos de forma continua en el tiempo para detectar vulnerabilidades potenciales y solucionelas antes de que se conviertan en la entrada a un ataque. Refuerce la seguridad de red asegurándose de que el software y los sistemas operativos en la organización estén siempre actualizados con las últimas medidas de seguridad y //parches//. Ayude a gestionar su software para asegurar que solamente el software autorizado esté instalado y sea ejecutado. Evite vulnerabilidades y riesgos al mantener un inventario preciso y gestionar su software.

**Uso controlado de privilegios administrativos**: Supervise de cerca los controles de acceso y el comportamiento de los usuarios con cuentas privilegiadas para evitar cualquier acceso no autorizado a sistemas críticos. Asegúrese de que solamente las personas autorizadas tengan privilegios elevados para evitar cualquier mal uso de los privilegios administrativos. Establece políticas estrictas para prevenir el uso indebido de privilegios.

**Configuración segura de hardware y software**: Establezca y mantenga configuraciones de seguridad basadas en los estándares aprobados por su organización. Crea un sistema de gestión de configuraciones riguroso que detecte y alerte sobre cualquier configuración incorrecta, y establece un proceso de control de cambios para evitar que los atacantes se aprovechen de servicios y configuraciones vulnerables.

**Mantenimiento, supervisión y análisis de //logs// y registros de auditoría**: Recopile, administre y analice los //logs// de auditoría de eventos para identificar posibles anomalías. Mantenga registros detallados para comprender a fondo los ataques y poder responder de manera eficaz a los incidentes de seguridad.

**Defensas contra //malware//**  : Supervise y controle la instalación y ejecución de código malicioso en varios puntos de su organización para prevenir ataques. Configure y utiliza //software antimalware// y aproveche la automatización para garantizar actualizaciones rápidas de defensas y una acción correctiva ágil en caso de ataques.

**Protección del correo electrónico y los navegadores web**: Proteja y administre sus navegadores web y sistemas de correo electrónico contra amenazas en línea para reducir su superficie de ataque. Desactive complementos de correo electrónico no autorizados y asegúrese de que los usuarios solo accedan a sitios web de confianza mediante filtros de URL basados en la red. Mantenga seguras las puertas de entrada más comunes para ataques.

**Capacidades de recuperación de datos**: Establece procesos y herramientas para asegurar que la información crítica de tu organización esté respaldada adecuadamente. Asegúrese de contar con un sistema de recuperación de datos confiable para restaurar la información en caso de ataques que pongan en peligro los datos críticos. Prepare su organización para hacer frente a la pérdida de datos de manera efectiva.

**Defensa de límites y protección de datos**: Identifica y separa los datos sensibles, y establece una serie de procesos que incluyan la codificación, planes de protección contra la infiltración de datos y técnicas de prevención de pérdida de datos. Establece barreras sólidas para prevenir el acceso no autorizado.

**Supervisión y control de cuentas**: Supervisa de cerca todo el ciclo de vida de sus sistemas y cuentas de aplicaciones, desde su creación hasta su eliminación, pasando por su uso e inactividad. Esta gestión activa previene que los atacantes se aprovechen de cuentas de usuarios legítimos pero inactivos para fines maliciosos y permite mantener un control constante sobre las cuentas y sus actividades.

<wrap #ks3 />
===== Auditorías de hardening detalladas de cada máquina =====

Los chequeos son realizados por el [[:es:documentation:pandorafms:monitoring:02_operations|EndPoint]] que corre en cada máquina. Habitualmente toma una auditoría cada semana, pero ese período puede ser configurado a más tiempo, por ejemplo un mes. De esta forma se puede tomar una //fotografía del aseguramiento// del sistema, calcular y asignar un índice de seguridad (una valoración numérica, definida como el porcentaje de chequeos realizados y aprobados versus los chequeos que no pasan las pruebas) y ver la evolución de ese índice de seguridad a lo largo del tiempo.

Ejemplo de una "fotografía" del estado del //hardening// de un sistema:

{{  :wiki:pfms-hardening-snapshot.png  }}

Ejemplo de evolución del //hardening// de un sistema a lo largo del tiempo:

{{  :wiki:pfms-hardening-evolution.png  }}

El sistema nos permite ver, desglosado por categorías, los chequeos que se han ejecutado:

{{  :wiki:pfms-hardening-summary_of_categories.png  }}

Y de cada grupo de elementos, ver el detalle, para poder trabajar sobre su corrección:

{{  :wiki:pfms-hardening-results_for_audit.png  }}

{{  :wiki:pfms-hardening-results_for_audit-details.png  }}

<wrap #ks4 />
===== Configuración de la monitorización de hardening =====

Se han desarrollado controles, dependiendo de cada sistema si son aplicables, que ayudarán a determinar si son relevantes en el entorno a monitorizar. Actualmente esta funcionalidad está disponible para servidores MS Windows® y Linux®.

<WRAP center round info 90%>

Está funcionalidad está disponible con los EndPoints 773 o posteriores. **Si los EndPoints son de una versión anterior a 773 [[:es:documentation:pandorafms:management_and_operation:17_endpoints_deployment#ks1|se deberán de actualizar]]**.

</WRAP>

Para ello se tendrá que activar el //plugin// correspondiente en la configuración del EndPoint. Se podrá realizar manualmente o a través de [[:es:documentation:pandorafms:complex_environments_and_optimization:02_policy#ks4_8_1|políticas de monitorización]] en grupos de máquinas.

En MS Windows®:

<code>
module_begin
module_plugin "%PROGRAMFILES%\Pandora_Agent\util\pandora_hardening.exe -t 150"
module_absoluteinterval 7d
module_end
</code>

Linux®:

<code>
module_begin
module_plugin /usr/share/pandora_agent/plugins/pandora_hardening -t 150
module_absoluteinterval 7d
module_end

</code>

<WRAP center round info 90%>

En estos ejemplos se ejecutará la auditoría de //hardening// cada 7 días, con un //timeout// de 150 segundos para cada comando que se lance durante la auditoría. Puede incrementar este valor a 30 días, pero no recomendamos que lo haga cada menos días pues generará datos innecesarios de inventario.

</WRAP>

De manera predeterminada el <wrap :en>**Hardening plugin**</wrap> aplica un [[https://marketplace.pandorafms.com/entries/hardening-default-policies|conjunto de políticas condensadas en formato YAML]] las cuales están integradas en el mismo.

Para personalizar dichas políticas de <wrap :en>**Hardening**</wrap> se pueden descargar y descomprimir en un directorio para proceder a su edición. Una vez se tengan editadas a conveniencia se debe copiar el directorio con todos sus subdirectorios y ficheros a una ubicación a la que pueda acceder el <wrap :en>**Hardening plugin**</wrap> de cada EndPoint y agregar el parámetro \\ ''<nowiki>--policy-dir</nowiki>'' y la ruta hacia ese directorio.

<code>
module_plugin /usr/share/pandora_agent/plugins/pandora_hardening -t 150 --policy-dir POLICY_DIRECTORY
</code>

<wrap #ks5 />
===== Monitorización de los datos de hardening =====

Además de //[[#ks8|dashboard]]// y vistas específicas para poder analizar esos datos en sistemas concretos o a nivel global, se dispone de algunos módulos generados por el sistema de //hardening//  que permitirán tratar los datos de la evaluación del //hardening//  como otros datos de Pandora FMS, para establecer alertas, generar gráficas o cualquier otro uso que se necesite. Estos módulos son generados o actualizados automáticamente cada vez que se ejecuta una auditoría de //hardening// y pertenecen al <wrap :en>**Module group**</wrap> denominado <wrap :en>**Security**</wrap>.

  * **Hardening - Failed checks**: Muestra el número total de chequeos que no han aprobado la prueba de //aseguramiento//.
  * **Hardening - Not applied checks**:Muestra el número total de chequeos que no se han ejecutado porque no aplican (por ejemplo, chequeos para otra versión de su distribución Linux o versión Windows, o porque buscan un determinado componente que no está instalado).
  * **Hardening - Passed checks**: Muestra el número total de chequeos que han aprobado la prueba de //aseguramiento//.
  * **Hardening - Score**: Muestra el porcentaje de los chequeos que han pasado. Se puede establecer un umbral aquí para mostrar cuando el sistema está en estado ''Warning''  o ''Critical''  respecto a la //aseguramiento//.

{{  :wiki:pfms-hardening-modules.png  }}

<wrap #ks6 />
===== Visualización de los datos de hardening =====

<WRAP left round box 50%>

Menú <wrap :en>**Operation → Monitoring → Views → Agent detail**</wrap>

</WRAP>
\\ \\ \\ \\ \\ 
Una vez que los EndPoints ejecuten por primera vez el módulo de //hardening//, la información llegará y se podrá ver en el detalle de cada EndPoint haciendo clic en su nombre respectivo. Luego en <wrap :en>**Agent main view**</wrap>, en el cuadro <wrap :en>**Agent Contact**</wrap>, tres elementos resumen el estado de la seguridad (<wrap :en>**SecurityMon**</wrap>, al colocar el puntero encima mostrará el número de módulos de seguridad), el porcentaje de seguridad alcanzado (<wrap :en>**Hardening**</wrap>) y el estado de la vulnerabilidad (<wrap :en>**Vulnerability**</wrap>, al colocar el puntero encima mostrará el puntaje alcanzado):

{{  :wiki:pfms-operation-monitoring_views-agent_detail-agent_main_view-agent_contact-security_overview.png  }}

También se habilitará una sección específica para el //hardening// de dichos EndPoints:

{{  :wiki:pfms-resources-view_agents-security_hardening-agent_main_view.png  }}

Además, podrá ver una sección en el menú de operación llamada “Seguridad” (<wrap :en>**Security**</wrap>), donde existe un //dashboard//  específico para los datos de <wrap :en>**Hardening**</wrap> donde podrá filtrar por grupos, EndPoints, categorías del CIS y otros detalles.

{{  :wiki:pfms-security_menu.png  }}

{{  :wiki:pfms-operation-hardening-historical_summary.png  }}

<wrap #ks7 />
===== Informes de hardening =====

Se han creado nuevos [[:es:documentation:pandorafms:technical_annexes:22_pfms_report_types#ks16|tipos de informe]] para mostrar la información de //hardening//:

  * **Top N EndPoints con peor puntuación.** Filtrada por grupos.
  * **Top N de chequeos que no pasan más frecuentes.** Filtrada por grupos.
  * **Gráfica de tarta con Vulnerabilidades por tipo.** Eligiendo una categoría CIS, se agrupan los //fails//, //passed//  y //skipped//  (opcional) de todos los EndPoints (o solo el grupo seleccionado) por categoría.
  * **Top N de chequeos que no pasan por categoría,** se agrupan los últimos datos de todos los EndPoints (o solo el grupo seleccionado) por categorías del //hardening// y se listan las categorías con mayor número de //fails//  entre todos los EndPoints.
  * **Listado de chequeos de //securización//,** es un informe técnico y exhaustivo con todos los detalles, se listan los últimos chequeos de un EndPoint filtrado por grupo, categoría y estado.
  * **Scoring,** se muestran los últimos //scoring//  de los EndPoints del grupo seleccionado o de todos dentro del rango de tiempo seleccionado en el filtro por defecto de los informes. Siempre se coge el último scoring de cada EndPoint dentro del rango temporal, es decir si se coloca un rango de un mes, se buscará el último scoring de los EndPoints dentro de ese mes.
  * **Evolution,** se muestra una evolución global del //hardening// haciendo la media de los //test// que han pasado y los que han fallado agrupando por día, de todos los EndPoints o de los que estén dentro del grupo seleccionado.

Estos son algunos ejemplos de informes en PDF:

{{  :wiki:pfms-hardening_resport-example_1.png  }}

{{  :wiki:pfms-hardening_resport-example_2.png  }}

<wrap #ks8 />
===== Dashboard de hardening =====

Un nuevo //widget// en los [[:es:documentation:pandorafms:management_and_operation:09_dashboard#ks2_1_42|Dashboard de Pandora FMS]] agrupa la mayoría de informes de //hardening//:

{{  :wiki:security_hardening.png  }}

Opciones de configuración:

{{  :wiki:pfms-dashboard-security_hardening_widget_options.png  }}

<wrap #ks9 />
===== Vista de seguridad de los agentes =====

Menú <wrap :en>**Operation → Security → Agent security**</wrap>.

En la vista de seguridad de los agentes, columna <wrap :en>**Hardening**</wrap>, se podrá observar la puntuación de cada agente, entre otros datos. Se puede filtrar por porcentaje de puntuación de //hardening// e incluir otros campos adicionales. Para mostrar los agentes sin puntuación de //hardening// se utiliza la opción <wrap :en>**All**</wrap>.

{{ :wiki:pfms-operation-security-agent_security.png  }}

[[:es:documentation:start|Volver al índice de documentación de Pandora FMS]]