El el siguiente documento, se explica la estrategia de hardening de el servicio cloud de Athento. Esta estrategia, gira en torno a 4 grandes áreas.

 

1. Identificación de riesgos de seguridad

Athento cuenta con certificaciones de hacking ético y planificaciones de ejecución. De forma periódica, se realiza la ejecución planificada de tests de penetración con el objetivo de extraer el informe definitivo con posibles problemas físicos, de red o de aplicación que puedan ser objeto de ataques y así aplicar correcciones y/o cambios sobre las estrategias de hardening que veremos a continuación.

Las motivaciones de efectuar ataques éticos regulares son:

• Obtener una foto temporal del estado global de seguridad.
• Asegurar el mínimo riesgos en pases previos a puestas en producción.

En la siguiente gráfica, se muestran las fases de hacking ético ejecutado por Athento.

 

Las actuaciones que se llevan a cabo son:

• Auditoría de vulnerabilidades
• Pentesting

Las actuaciones mencionadas, se realizan conforme a las siguientes metodologías:

• ISECOM OSSTMM 3.0
• OWASP
• NIST SP 800-42, 800-115
• ISSAF
• Penetration Testing Framework
• PTES

 

Además de las pruebas automatizadas o manuales de Athento, nuestro cloud es sometido a pruebas por los departamentos de seguridad de algunos de nuestros clientes, que son grandes corporaciones que se preocupan por sus documentos.

 

2. Protección de la infraestructura y del servicio

A continuación se describen las distintas capas de seguridad que se aplican en nuestro servicio y la infraestructura que lo alberga (algunas de ellas sólo están disponibles bajo demanda y dependiendo del proveedor de infraestructura):

2.1 Nivel Físico de Seguridad

• Datacenters de alto nivel de seguridad física.
• Controles físicos de acceso.
• Control de incendios.
• Seguridad en la red.
• Control de seguridad de los servidores para un funcionamiento correcto.
• Sistemas eléctricos replicados.
• Separación geográfica.
• Opciones de conectividad que permiten establecer conexiones privadas o exclusivas desde su
• oficina o entorno local.
• etc.

2.2 Propias del alojamiento cloud

Athento cuenta con datacenters y servicios cloud que ofrecen protección intrínseca, desde el punto de vista físico en los servicios de servidores dedicados en OVH, hasta niveles de seguridad en los servicios de virtualización y accesos en Azure o Amazon Cloud.

A continuación, se describen las características generales de los distintos proveedores usados por nuestro servicio cloud.

• Azure: Las soluciones arquitectónicas de Athento montadas sobre Azure presentan las características de seguridad intrínsecas al propio proveedor. De este modo, Athento asegura esa capa de control de seguridad en todos sus servicios. Además, dadas las características y componentes que incluye Azure para poder realizar controles de seguridad (NSG), Athento incluye las capas necesarias para obtener un mínimo riesgo según hemos indicado anteriormente.
• OVH: Athento cuenta con servicios de servidores dedicados para montar sus soluciones. Desde OVH los sistemas cuentan con un alto nivel de seguridad física y control de ataques para mantener los niveles de servicio de red establecidos, pero no cuentan con capas de seguridad (a nivel de máquina y servicios) y en este sentido desde Athento aplicamos la política de seguridad a nivel de servidor.
• AWS: La seguridad disponible en AWS es una de las prioridades del proveedor. Al igual que en Azure, AWS cuenta con servicios de monitorización y protección del flujo de información que viaja a dicha plataforma donde Athento despliegua sus servicios.

 

2.3 Seguridad a nivel de redes y comunicación

• Perímetro: Control de DNS para controlar y descubrir dominios que apunten a sistemas y/o servicios disponibles y asegurarlos. En Athento se realizan procesos de control TLDs y RIR para asegurar el perímetro público cuando se realiza en el ámbito de Internet. Dentro de las herramientas usadas por Athento se encuentran: Sublist3r, Aquatone y SpiderFoot.
• VPN: Athento establece VPNs para ofrecer seguridad en el acceso y comunicación entre clientes para realizar actualizaciones y accesos controlados. Entre los tipos de VPN que se ofrece, se establece sitio-a-sitio para organizaciones, o accesos controlados punto-a-sitio para accesos específicos a cuentas seguras.
• Firewall: Athento cuenta con la activación de firewalls para establecer IP filtering entre los servicios establecidos y control de estado de puertos de comunicación.
• Protección Anti-DDoS.
• Confidencialidad de los datos.
• Los firewalls de red integrados.
• Cifrado en tránsito con TLS controlado por el cliente en todos los servicios.
• Opciones de conectividad que permiten establecer conexiones privadas o exclusivas desde su oficina o entorno local.
• Cifrado automático de la totalidad del tráfico en las redes regionales y globales.

 

2.4 Sistema operativo

Athento cuenta con una política de actualizaciones automáticas de sus sistemas operativos, normalmente Ubuntu en sus últimas LTS. En este sentido, hay control de actualización de paquetes de seguridad para mantener los sistemas a la última en sus versiones de seguridad.

 

2.5 Seguridad a nivel de servidor web

• Configuración segura: Para la securizar Apache, Athento tiene un conjunto de configuraciones para evitar posibles publicaciones de información que puedan a ayudar al atacante.
• WAF (Web Application Firewall): Athento configura un sistema de firewall web para limitar ataques.
• HTTPS: cifrado TLS en las comunicaciones manteniendo los protocolos y suite de cifrados seguros.
• Apache Modsecurity: firewall de aplicaciones Web que provee protección contra diversos ataques hacia aplicaciones Web y permite monitorizar tráfico HTTP, así como realizar análisis en tiempo real sin necesidad de hacer cambios a la infraestructura existente. modSecurity filtra ataques por XSS, SQL Injection, comportamientos anómalos en protocolos, robots, troyanos, LFI, etc. incorporando además reglas específicas.
• IP filtering: en la definición de los virtualhost usados como proxies, se establecen reglas de seguridad, entre ellas la inclusión de IP filtering.
• Eliminación de puertos y servicios innecesarios: en las tareas de penetración Athento detecta puertos y servicios innecesarios que son eliminados y/o cerrados.

 

2.6 A nivel de Athento

En general, Athento aplica medidas como las que se describen a continuación:

• Control de ataques de fuerza bruta.
• Bloqueo de aplicaciones malintencionadas.
• SQL Injection
• Cifrado de datos almacenados: blobs y binarios.
• Control de passwords
• Herramientas de auditoria (logs de seguridad, logs de movimientos sobre documentos)

A continuación, veremos en más detalle algunos de los mecanismos de seguridad definidos a nivel de las capas de la propia aplicación.

• Django: Django ofrece mecanismos de seguridad a nivel de Cross site scripting (XSS), Cross site request forgery (CSRF), SQL injection protection, Clickjacking protection, SSL/HTTPS, Host header validation, Session security, User-uploaded content y otras medidas. Más información en https://docs.djangoproject.com/en/2.2/topics/security/
• Conexión con PostgreSQL: Control de acceso mediante reglas de usuario e IP filtering.
  Cifrado de repositorio: Athento cuenta con la capacidad de cifrado de repositorio mediante clave secreta o certificado.
• Hotfixing: Athento cuenta con una política de actualización de hotfixes localizados para solventar problemas de seguridad localizados a nivel de CVE o internos.

Así mismo, la gestión de la autenticación de la plataforma y la gestión de contraseñas merece un apartado propio:

Auth-chain

Dentro de la capa de autenticación y autorización de Athento, podemos encontrar una suite de autenticadores que pueden ser encadenados para poder establecer la máxima seguridad.

Política de contraseñas

Athento cuenta con una política de contraseñas para establecer los siguientes puntos de control a nivel de seguridad:

• Histórico de cambios: se controla las repeticiones de contraseñas. 
• ¿Es posible evitar que los usuarios vuelvan a usar contraseñas utilizadas anteriormente?
• Complejidad y formato fuerte: se establece reglas de formato con inclusión de caracteres especiales y uso de mayúsculas y números de manera obligatoria.
• ¿Es posible evitar que los usuarios vuelvan a usar contraseñas utilizadas anteriormente?
• ¿Es posible gestionar la complejidad de las contraseñas en Athento?
• ¿Es posible configurar la longitud de la contraseña de los usuarios?
• Tiempo de expiración: se establece tiempos de expiración para obligar a realizar actualizaciones de contraseña.
• ¿Es posible solicitar a los usuarios el cambio periódico de sus contraseñas?
• Notificaciones de cambio: se establece un control de notificaciones tras el cambio o petición de cambio.
• ¿Es posible solicitar a los usuarios el cambio periódico de sus contraseñas?
• ¿Athento solicita el cambio de contraseña en el primer acceso?

• Encriptado de passwords con algoritmos seguros. 
• ¿Athento guarda las contraseñas cifradas?
• ¿Existe enmascaración de contraseñas?
• Bloqueo de usuarios por intentos fallidos de autenticación
• ¿Existe bloqueo automático de usuarios en Athento?
• ¿Existe en Athento algún control de intentos fallidos de autenticación?
• Uso de captchas: ¿Existe en Athento algún control de intentos fallidos de autenticación?

• Control de sesiones

• ¿Se puede configurar un timeout de sesión?
• ¿Puede un mismo usuario mantener sesiones concurrentes?

 

3. Monitorización o detección de eventos

Athento cuenta con sistemas de monitorización a distintos niveles, desde el sistema operativo (Ubuntu LTS 16+) hasta monitorización y control de accesos en sus aplicaciones.

3.1 Monitorización del sistema operativo

En el contexto del sistema operativo, se establecen políticas de control de acceso con el objetivo de identificar posibles ataques de red y detectar posibles intrusiones (IDS) o posibles denegaciones de servicio o consumo de ancho de banda excesivos. Entre las herramientas que usamos para la monitorización e identificación de posibles ataques, DDoS, o accesos no autorizados están:

• psacct/acct: control de qué ocurre en nuestro sistema para identificar qué usuarios han entrado a la máquina, acciones realizadas, procesos lanzados, y poder localizar posibles ejecuciones no permitidas y posibles accesos no autorizados.
• Sniffers de control.
• Tcpdump: monitorización de paquetes maliciosos.
• TCP SYN (Stealth) Scan (-sS): para identificador de puertos y servicios habilitados.
• Logwatch: analizador de logs del sistema para identificar operaciones maliciosas en el sistema.
• Sysstat: monitorizador del sistema para identificar posibles cargas y consumos de red imprevistos.

Estas herramientas envían mensajes a los sistemas de mensajes de Athento con los informes obtenidos y se evalúan a diario.

3.2 Monitorización de servicios y máquinas

En cuanto a monitorización de servidores y servicios, Athento cuenta con un sistema de monitorización cloud para verificar el estado de servicios y RUMs a nivel 24x7 para controlar el consumo y estado de las comunicaciones con los sistemas.
Además, Athento cuenta con monitores de rendimiento en el cloud que informa de posibles picos de uso o DDoS.

 

4. Responder a las vulnerabilidades

Dentro de las prácticas de control de seguridad que Athento tiene en sus políticas se encuentra la auditoría de vulnerabilidades y el test de intrusión (pentesting), tal y como indicamos anteriormente. En la auditoría de vulnerabilidades cuantificamos y clasificamos las vulnerabilidades y establecemos recomendaciones para realizar las actualizaciones necesarias. En cuanto el test de intrusión (pentesting) realizamos la detección de algunas vulnerabilidades conocidas y algunas desconocidas para establecer el impacto asociado y resolverlas de forma rápida.

4.1 Detección y localización de vulnerabilidades mediante fuzzing y pentesting

Athento busca de forma activa bugs y vulnerabilidades de seguridad en sus aplicaciones. Para ello, se apoya en herramientas automatizadas de mercado.

A continuación, se mencionan algunas de las herramientas utilizadas.

Herramientas de Fuzzing

• Frameworks: Spike, Peatch, Sulley
• Red: doona
• Ficheros: Filefuzz, Spikefile, zzuf
• Browser: Mangleme

Herramientas de detección y localización

• Detectify
• Burp
• WebInspect
• Acunetix
• Nikto
• Skipfish
• Arachni
  

Hacking ético

Test de penetración en Athento

 

 

4.2 Respuesta a incidentes de seguridad

Athento cuenta con una Política de Gestión de Incidentes de Seguridad que incluye instrucciones sobre:

• Cómo se deben comunicar los incidentes
• Quién es la persona responsable de su gestión
• Cómo se debe hacer seguimiento de la misma
• A quién y en qué plazos se debe informar sobre el incidente

Athento cuenta también con una plataforma de gestión para el registro de incidentes.

4.3 Análisis de incidentes y vulnerabilidades

Nuestro equipo de seguridad, revisa todos los sistemas de monitorización disponibles para recopilar la mayor cantidad de información sobre el incidente o la vulnerabilidad. Esta información recopilada, sirve para documentar la vulnerabilidad o el incidente y para su posible explotación. La explotación se refeiere a la reproducción de la  vulnerabilidad o incidente con el fin de solucionarlas.

 

5. Recuperación

Sean incidentes reportados porque efectivamente han ocurrido o  vulnerabilidades detectadas en nuestras pruebas de detección de vulnerabilidades, Athento debe actuar sobre las mismas.

 

5.1 Explotación de vulnerabilidades

Una vez se encuentran las vulnerabilidades, Athento las reproduce o explota para encontrar su solución.

Herramientas de explotación 

• Mfsconsole
• Nessus
  

5.2 Recuperación de datos o documentos

Si nos encontramos ante un incidente de seguridad que ha generado pérdida de datos, la Política de Backup y de Recovery cobra gran importancia.

¿Cuenta Athento con copia de seguridad y recursos que permitan restaurar y recuperar el sistema?

 

Limitaciones a esta configuración

IMPORTANTE: Dependiendo del proveedor de infraestructura, algunas de estas medidas pueden conllevar gastos adicionales. En caso de que el cliente no quiera asumir costos adicionales, Athento propondrá alternativas a dichas medidas.