Establecer y Mantener Recursos Informáticos Dedicados para Todo el Trabajo Administrativo
Descripción
Establecer y mantener recursos informáticos dedicados, separados física o lógicamente, para todas las tareas administrativas o tareas que requieran acceso administrativo. Los recursos informáticos deben estar segmentados de la red principal de la empresa y no se les debe permitir acceso a internet.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de control de acceso a la red que proporciona perfilado de dispositivos, evaluación de postura, acceso de invitados y aplicación de políticas BYOD
Cisco · Suscripción por endpoint
Plataforma de firewall de próxima generación con políticas conscientes de aplicaciones, prevención de amenazas, filtrado de URL y SD-WAN
Palo Alto Networks · Dispositivo + suscripción
Plataforma de acceso a red de confianza cero que reemplaza VPNs con microsegmentación a nivel de aplicación y acceso basado en identidad
Zscaler · Suscripción por usuario
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Robo de Credenciales Administrativas desde Estaciones de Trabajo Compartidas
ConfidencialidadLos administradores realizan tareas privilegiadas desde las mismas estaciones de trabajo usadas para correo y navegación web, y los keyloggers, exploits de navegador o ataques de phishing en esos sistemas de propósito general capturan credenciales administrativas para infraestructura crítica.
Ataque Pass-the-Hash desde Credenciales de Administrador en Estaciones de Trabajo de Usuarios
ConfidencialidadLas credenciales administrativas almacenadas en caché en estaciones de trabajo de propósito general se extraen mediante ataques pass-the-hash o pass-the-ticket, dando a los atacantes privilegios de administrador de dominio o administrador de infraestructura obtenidos de un endpoint de usuario estándar.
Movimiento Lateral a Sistemas Críticos mediante Estaciones de Trabajo de Administrador No Segmentadas
IntegridadLos atacantes que comprometen una estación de trabajo de propósito general donde los administradores también realizan tareas privilegiadas obtienen una ruta directa a infraestructura crítica porque la sesión administrativa proporciona acceso de red a interfaces de gestión que deberían estar aisladas.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Estaciones de Trabajo Administrativas Dedicadas ni Servidores de Salto
Los administradores realizan operaciones privilegiadas desde las mismas estaciones de trabajo usadas para actividades comerciales generales, exponiendo credenciales y sesiones administrativas a amenazas presentes en endpoints de propósito general.
Sistemas Administrativos Conectados a la Red General e Internet
Las estaciones de trabajo usadas para tareas administrativas no están segmentadas de la red principal y tienen acceso a Internet, exponiendo sesiones privilegiadas a amenazas basadas en web, ataques de phishing y ataques a nivel de red que los sistemas de administración dedicados evitarían.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |