¿Qué se entiende por "Uso de programas de utilidad privilegiados" en la norma ISO27001: 2013?

Un programa privilegiado para Windows (vista +) sería cualquier cosa que active el UAC si está habilitado

un programa privilegiado para Linux (incluido Android) sería cualquier cosa que deba ejecutarse como root, o mediante su / sudo

la mayoría de las organizaciones limitan el derecho de sus empleados a que no tengan "derechos de administrador", y en su lugar impulsan actualizaciones / instalaciones / programas a través de una política de grupo, utilizando una cuenta de administrador independiente, en lugar de la que los usuarios usan para iniciar sesión propósitos

Los programas de utilidad con privilegios son aplicaciones que requieren algún nivel de privilegio administrativo o del sistema para realizar sus tareas.

Un buen ejemplo es una aplicación antivirus, ya que requiere un acceso al sistema de muy bajo nivel para detectar ciertos tipos de virus.

Como usted dice, no todas las funciones de estas aplicaciones pueden necesitar acceso privilegiado, pero lo requerirán para algún aspecto de su funcionamiento.

En general, es importante que los usuarios no tengan acceso a funciones privilegiadas desde sus cuentas de usuario normales. Tan pronto como lo hacen, se vuelve mucho más fácil para el malware ganar un lugar en un sistema. Es por esta razón que no debe permitir que las cuentas de administrador tengan acceso a software de oficina general, como el correo electrónico, ya que resulta trivial para obtener acceso (como una auditoría reciente sé muy claramente!).

ACTUALIZACIÓN: Solo para aclarar sus 2 preguntas específicas:

• Política de permisos de acceso para utilidades: esto es difícil de administrar y se aplica solo para ciertas herramientas empresariales, no para herramientas generales a nivel de sistema operativo.

• Otras políticas:

  La separación de las preocupaciones es la política principal. Los administradores deben tener cuentas estándar para correo electrónico / oficina / etc y solo usar cuentas con privilegios cuando sean realmente necesarias.

  Las comprobaciones en los registros de auditoría también son fundamentales para los sistemas sensibles. Sin tener en cuenta la auditoría, nunca se puede estar seguro de lo que ha estado sucediendo.

  Los controles de salud anuales incluyen ataques de phishing contra administradores. Para ayudar a garantizar que se adhieran a las políticas y prácticas de seguridad estándar.

  Es posible que el personal tenga que ser revisado o que esté habilitado para la seguridad de áreas sensibles.

  El acceso a los sistemas más sensibles (por ejemplo, las CA maestras PKI) está fuertemente restringido con registros de acceso adicionales y justificaciones.

En términos de definición e implementación de una política, incluya dichos programas de utilidad en el ámbito de la política de contraseña existente, el procedimiento para obtener system & las cuentas de servicio bajo autorización, evitan los valores predeterminados, tienen un inventario de todas las utilidades, herramientas y aplicaciones que utilizan cuentas privilegiadas; Revise los registros de vez en cuando, revise el perfil de acceso y el Monitor.

Habiendo dicho eso, imponer la política de contraseñas en tales cuentas por sí mismo es una tarea más desafiante. Si eres una organización de PYMES / PYME, es aún más desafiante. En algún lugar hay que empezar. Puede comenzar por un inventario de dichas cuentas y revisarlas mensualmente. Esto traerá un mayor sentido de conciencia y conocimientos.

Espero que esto sea útil.

¿Prácticamente? En la mayoría de los entornos, interprete que esto incluye:

• programas de Windows que se ejecutan como administrador
• Software UNIX con setuid o privilegios similares (que incluye su y sudo, que son setuid).

¿Está pensado que sea una política sobre la configuración de permisos de acceso para los servicios públicos? Esa es una forma de lograr los objetivos.

¿Qué políticas tienen otras organizaciones en esta área?

Empiezo con solo permitir que los administradores del sistema accedan a los sistemas operativos del servidor y, por lo tanto, solo les permito usar las utilidades del sistema de cualquier tipo (esto debería implementar ISO27002: 2013, 9.4.4i, byc). Esto se está volviendo más fácil a medida que más y más aplicaciones se entregan a través de HTTP.

Entonces el fortalecimiento del sistema, incluida la eliminación de utilidades innecesarias, sería una buena actividad de segunda prioridad.

¿Qué se supone que significa realmente? He hecho esta pregunta a al menos diez auditores externos y no he recibido una respuesta coherente.

Uno o dos han sugerido que tenía más sentido en los días de ciertos sistemas operativos de mainframe, pero no he visto mucha evidencia primaria de esto. La única referencia fue: enlace

Esto es para un sistema enlace y la página del manual está fechada en 1991.

Y podría argumentar fácilmente que todos los programas en sistemas bien diseñados (que no sean vulnerabilidades) no pueden "anular los controles de seguridad del sistema". Pueden hacer uso de los privilegios mejorados permitidos por el sistema operativo, pero ciertamente no anulan los controles.