CIS Control 9: Limitación y control de puertos, protocolos y servicios de red

Administre (rastree / controle / corrija) el uso operativo continuo de puertos, protocolos y servicios en dispositivos en red para minimizar las ventanas de vulnerabilidad disponibles para los atacantes.

Los hacker buscan constantemente servicios de red accesibles de forma remota vulnerables a la explotación, como servidores web, de correo, de archivos e impresión mal configurados, y servidores del sistema de nombres de dominio (DNS) instalados de forma predeterminada en una variedad de dispositivos, a menudo sin una necesidad comercial. Muchos paquetes de software instalan y activan servicios automáticamente sin alertar a los usuarios o administradores. Critical Security Control 9 exige limitar los servicios innecesarios para reducir las posibles exposiciones a ataques.

Recomendaciones:

  • Asegúrese de que solo se ejecuten en cada sistema puertos, protocolos y servicios con necesidades comerciales validadas.
  • Aplique firewalls basados en host o herramientas de filtrado de puertos en los sistemas finales, con una regla de denegación predeterminada que descarta todo el tráfico, excepto los servicios y puertos que están explícitamente permitidos.
  • Realice análisis de puertos automatizados de forma regular en todos los servidores clave y compárelos con una línea de base efectiva conocida. Si se descubre un cambio que no figura en la línea de base aprobada de la organización, se debe generar y revisar una alerta.
  • Verifique cualquier servidor que sea visible desde Internet o una red que no sea de confianza y, si no es necesario para fines comerciales, muévalo a una VLAN interna y asígnele una dirección privada.

Herramientas que pueden ayudar

  1. Sophos

Sophos permite a través de sus herramientas de Firewall/UTM bloquear el tráfico, los servicios, los puertos y los protocolos, excepto aquellos explícitamente permitidos y definidos como apropiados y necesarios para la organización. Adicionalmente con su solución Sophos Intercept X, Endpoint and Server Protection (HIPS) permite la detección de tráfico malicioso que ocurren en el host.

  1. Genians

Genians ofrece una solución de acceso que permite hacer un barrido de toda la infraestructura y detectar puertos, protocolos y dispositivos vulnerables con el objeto de permitir su acceso a la red.

  1. AppGate

AppGate a través de su solución de Software defined perimeter (SDP) permite reducir la superficie de ataque en los puertos, las cargas de trabajo y las aplicaciones que son invisibles a menos que estén autenticados y autorizados para acceder. Permite verificar la identidad, hacer ajustes dinámicos de acuerdo al contexto, el rol, la fecha, la hora, la ubicación y la postura del dispositivo. Evitando el movimiento lateral: la microsegmentación quirúrgica elimina la visibilidad y el acceso a recursos no autorizados.  Además, de dar seguridad en el tráfico este/oeste (control de las conexiones bidireccionales entre los recursos de la red).

  1. Guardicore

Guardicore permite disminuir la superficie de ataque, teniendo una visibilidad sin igual del tráfico, tanto este/oeste como norte/sur, además de puertos y protocolos. Así evita problemas de ataques laterales y permite establecer control de forma rápida.

  1. Netskope

Netskope Cloud Firewall uno de los más recientes lanzamientos de la plataforma de Netskope, permite implementar políticas de firewall para el tráfico de salida de los usuarios hacia Internet, explícitamente bloqueando o permitir tráfico de salida en puertos o protocolos específicos. 

  1. Checkpoint

CheckPoint Quantum Network Security proporciona protección ultra escalable contra ataques cibernéticos Gen V en su red, nube, centro de datos, IoT y usuarios remotos.  Combinando la prevención de amenazas SandBlast, redes de hiperescala, una plataforma de gestión unificada, acceso remoto a VPN y seguridad IOT para protegerlo contra los ataques cibernéticos más sofisticados.