Estimados amigos de Inseguros !!!
Empezamos el Tema 4 de los Controles CIS, que va de configuración segura de activos y software. Y como siempre, el primer control (el 4.1) es el más genérico… pero también el que más sentido tiene si se quiere hacer esto en serio.
El CIS 4.1 dice, literalmente, que hay que definir y mantener un proceso de configuración segura para activos y software, con revisiones periódicas. O sea: no vale con fortificar “una vez” y olvidarse. Hay que tener un proceso para hacerlo de forma continua.
Esto es exactamente lo que veo en organizaciones una y otra vez. Se hace una auditoría, un pentest, un plan director… se entregan hallazgos, y muchos de esos hallazgos son hardening puro: habilita esto, deshabilita lo otro, quita esto, parchea aquello, actualiza lo de más allá. Se corrige. Y durante un tiempo, todo queda más robusto.
¿Y a los cuatro meses qué pasa? Pues que el entorno cambia. Aparece un servidor nuevo, se configura algo “rápido”, se activa un servicio por una urgencia, se mete una excepción para que funcione un software… y vuelta al punto de partida. La auditoría no se hace todos los días. El hardening, sí debería.
Por eso este control me gusta tanto: obliga a pensar en “postura” y no en “one shot”.
Igual que existen procesos de análisis de vulnerabilidades continuos, aquí la idea es montar un proceso de evaluación continua de fortificación. Herramientas que no te sacan un CVE, pero sí te dicen si estás flojo en configuración. Un Windows con SMB mal, un endpoint con configuraciones inseguras, un servicio con settings heredados, un “algo” que se quedó por defecto.
En el día a día, esto se puede apoyar en herramientas muy prácticas. Por ejemplo, PingCastle para posture de Active Directory, HardeningKitty para revisar configuración de Windows, scripts de “botón gordo” que te devuelven en qué estado está el sistema. Muchas de estas herramientas, además, se basan en marcos como CIS o NIST y te permiten repetir el check cada cierto tiempo y medir si mejoras o si te estás degradando.
Aquí es donde encaja la formación bien enfocada. No para “aprender una herramienta”, sino para entender cómo se evalúa postura y cómo se convierte eso en proceso. En la academia tienes rutas que tocan justo esta parte (autoauditoría, hardening, Windows, Microsoft, etc.) en www.seguridadsi.com.
Otra cosa importante que menciona este control es que CIS no se queda en “una frase bonita”. Hay guías de fortificación por producto. Guías para Azure, AWS, Google Cloud, Oracle, y también para fabricantes y tecnologías concretas. El control 4.1 no te pide que te vuelvas loco aplicando todo a la vez. Te pide que exista un proceso y que se apoye en referencias sólidas.
Y esto enlaza con una frase que siempre repito: un entorno se puede fortificar en un mes… o te puedes tirar toda la vida fortificando. Siempre hay algún setting que puedes endurecer más. Por eso la clave no es “terminar”. La clave es tener el proceso, revisarlo, medirlo y mejorarlo.
La forma práctica de llevártelo a tu autoanálisis es sencilla: mirar por dominios y por entornos. Endpoints, servidores, Active Directory, cloud, web, bases de datos, producción, IoT si aplica. No es solo “AD y ya”. Si ya se tienen inventariados entornos y activos, el siguiente paso natural es tener el proceso de configuración segura y sostenerlo en el tiempo.
Si se quiere trabajar esto con mentalidad de empresa (hardening continuo, postura, auditoría, y cómo aterrizar CIS sin humo), en www.seguridadsi.com está la academia con cursos orientados a profesionales.
Gracias por leerme !!!
