Una de las preguntas más comunes que he escuchado respecto a la configuración segura que exige la norma es, “De que se trata y donde consigo las Plantillas de configuración que me pide PCI”.
En la norma, el punto de control 2.2, pide que se desarrollen normas de configuración para los componentes del sistema, que en estas se contemplen la resolución de vulnerabilidades de seguridad conocidas y por último que estas normas elaboradas concuerden o estén basadas en los documentos emitidos como normas de alta seguridad y que sean aceptadas por la industria.
Como parte del punto de control se aclara en 2.2.a, que estas normas de configuración de sistemas de la organización incluyan a todos los equipos y que estén elaboradas en base y contemplando las mejores prácticas y recomendaciones aceptadas por la industria, en este caso ya haciendo referencia a entidades como: SysAdmin Audit Network Security (SANS), National Institute of Standards Technology (NIST) y Center for Internet Security (CIS) [Ver referencia].
El problema de esta exigencia radica en el desconocimiento de las fuentes a las que se puede acceder para tomar los referentes necesarios para esta documentación requerida y adicionalmente el significado de que comprende el cumplimiento del mismo.
Una vista de pájaro
En pocas palabras, el PCI busca que se establezca una norma clara para loa configuración de los sistemas, tanto nuevos como aquellos en producción, en la que se contemplen los puntos de la norma referentes al tema. Adicionalmente se deberá establecer la documentación necesaria para realizar una configuración y endurecimiento de los sistemas y la forma en la que se revisara el cumplimiento de la misma y la documentación y generación de entregables para el QSA.
Desarrollo de normas de configuración - Para el desarrollo de la norma o política de configuración, se debería contemplar en la misma como mínimo:
- La creación de plantillas de configuración, que serán basadas en recomendaciones de industria y serán aplicadas en los sistemas pertenecientes al ambiente de tarjetas de pago
- Los sistemas pertenecientes al ambiente se mantendrán en una instalación de función única para cada servidor
- Se deshabilitara de estos sistemas todos los servicios, protocolos que sean inseguros o que no sean necesarios
- Configurar adecuadamente los parámetros de seguridad de los componentes de los sistemas.
Adicionalmente puede ser el lugar apropiado para incluir:
- Eliminar todas las funcionalidades innecesarias, tales como secuencias de comandos, drivers, funciones, subsistemas, sistemas de archivos y servidores web innecesarios.
- Solo se usaran accesos administrativos seguros y encriptados como SSH, VPN o SSL/TSL para acceder públicamente a los sistemas.
- Cambiar los valores predeterminados de los sistemas operativos y aplicaciones a instalar.
- Se realizara un análisis de vulnerabilidades en todo sistema nuevo, el cual solo entrara a producción luego de resolver cualquier encuentro.
Plantillas de configuración - En las plantillas es donde conviene la revisión de los documentos publicados por organizaciones como CIS, NIST o NSA. Para este caso se debe seleccionar la plantilla que corresponde al sistema operativo, aplicación o servicio y luego se debe revisar cada parámetro recomendado.
Con estas se debería elaborar un documento en el que se contemple cuales son los parámetros de sistema que se aplicaran, que configuraciones adicionales o cambios se realizaran en el sistema.
Revisión de cumplimiento – Para este punto, existen dos formas de ejecución, la primera es la revisión manual con una lista de cumplimiento (checklist) y la segunda que es más apropiada y racional, apoyándose en un sistema que permita la revisión automatizada y la generación de un informe de incumplimiento.
Para el caso de las aplicaciones mencionadas, por lo general uno inicia revisando plantillas internas en las que uno ajusta los valores a revisar basándose en las plantillas generadas. Luego se ejecuta un análisis contra los equipos que comparara cada parámetro con la configuración y reportara cada configuración que no esté alineada a la plantilla.
Estas aplicaciones generan documentación que por lo general deberán servir como muestra para cualquier auditor calificado “QSA”.
Conclusión
El PCI DSS establece de forma clara las regalas bajo las cuales deben configurarse todos los elementos pertenecientes al ambiente de tarjetas de pago y nos presenta todas las consideraciones respecto a los controles que se deben establecer para lograr una seguridad base. Siendo clara la posición del estándar, lo que se debe hacer es crear la norma o mejorar la que se tiene para que incluya los puntos requeridos; establecer las plantillas y configurar los sistemas. Considerando la documentación de todo el proceso que va a ser de utilidad como documentación a entregar al auditor. Y finalmente revisando trimestralmente que los equipos sigan configurados de la forma que se establece en la norma y las plantillas generadas. Nuevamente se debe considerar que lo que pide el estándar, es siempre una línea base sobre la que podemos construir continuamente una mejor seguridad.
NOTA: Revisar “Plantillas de seguridad – PCI-DSS V2.0“, una breve discusión sobre cambios al requerimiento en la nueva versión de la norma.
Referencias:
SysAdmin Audit Network Security (SANS).- http://www.sans.org/
National Institute of Standards Technology (NIST).- http://www.nist.gov/index.html
Center for Internet Security (CIS).- http://cisecurity.org
National Security Agency (NSA).- http://www.nsa.gov/
Aplicaciones de análisis automatizado de políticas:
Las siguientes son algunas de las herramientas que conozco hacer una buen trabajo en el análisis de políticas en la red, de estas las dos primeras las he podido usar siendo estas sobresalientes en el trabajo que realizan.
Qualys – Policy Compliance
Nessus – Tenable
Policy Comander
IT Sentinel
En la norma PCI-DSS
En Procedimientos de evaluación de seguridad y requisitos de las DSS de la PCI, v1.2
Pág. 19, 2.2 .- Desarrolle normas de configuración para todos los componentes de sistemas. Asegúrese de que estas normas contemplen todas las vulnerabilidades de seguridad conocidas y que concuerden con las normas de alta seguridad de sistema aceptadas en la industria.
Pág. 19, 2.2.a .- Evalúe las normas de configuración de sistema de la organización para todos los tipos de componentes de sistema y controle que las normas de configuración de sistema concuerden con las normas de alta seguridad aceptadas en la industria, por ejemplo, SysAdmin Audit Network Security (SANS), National Institute of Standards Technology (NIST) y Center for Internet Security (CIS).
Exploración de PCI DSS: Comprensión del objetivo de los requisitos; versión 1.2
Pág. 19, Guía – 2.2 .- Existen debilidades conocidas en muchos sistemas operativos, bases de datos y aplicaciones de empresas, y también existen formas conocidas de configurar estos sistemas para arreglar las vulnerabilidades de seguridad. Para ayudar a quienes no son expertos en seguridad, las organizaciones de seguridad han establecido recomendaciones de alta seguridad de sistema, que aconsejan cómo corregir estas debilidades. Si no se eliminan estas debilidades de los sistemas, como una configuración de archivo débil o servicios y protocolos predeterminados (para los servicios o protocolos que generalmente no son necesarios), un atacante puede usar distintos puntos vulnerables conocidos para atacar servicios y protocolos vulnerables y, así, obtener acceso a la red de la organización.