SPICE

Uno de los principales problemas con los que se encuentran los QSA, ISA, responsables de seguridad de la información o administradores de sistemas es la revisión de la aplicación técnica de las guías de configuración segura descritas en el requerimiento 2.2 de PCI DSS. Por lo general, esta revisión puede implicar la validación de archivos de configuración, valores de variables, observación de comportamiento del sistema, etc. y – desde el punto de vista técnico  y para facilitar esta labor – se pueden usar una serie de herramientas que automatizan el proceso. Lamentablemente, muchas de esas herramientas requieren la instalación de componentes y dependencias (DLL, compiladores o intérpretes) que implican la manipulación de la integridad de un equipo de producción y perteneciente al entorno de PCI DSS.

Debido a ello, David Acosta (administrador y colaborador de PCI Hispano) ha desarrollado un script bastante sencillo para sistemas operativos Microsoft Windows. Este script está desarrollado en batch y no requiere la instalación de ninguna herramienta o componente adicional, soportándose únicamente en los comandos nativos del sistema operativo. De esta manera se pueden extraer los valores de configuración en un archivo de log para que pueda ser analizado de forma offline sin causar ninguna modificación en el sistema ni depender de herramientas de terceros o componentes adicionales y es precisamente ahí en donde radica su valor.

SPICE_v1.0

SPICE_v1.0

La herramienta está actualizada a la versión 3.0 de PCI DSS y puede ser descargada desde esta ubicación: http://www.pcihispano.com/spice/

Algunas de sus características son:

  • Detecta si el equipo se encuentra vinculado a un Directorio Activo o no y con base en ello procesa las políticas de configuración
  • Extrae información de identificación del equipo analizado
  • Obtiene:
    • Información de configuración del Personal Firewall (Req. 1.4)
    • Listado de software instalado (Req. 2.2.2)
    • Listado de servicios en ejecución (Req. 2.2.2)
    • Listado de procesos en ejecución (Req. 2.2.2)
    • Listado de conexiones de red (Req. 2.2.2)
    • Valida si existe soporte para IPv6 (Req. 2.2.2)
    • Obtiene información de diversos parámetros de seguridad (Req. 2.2.4)
    • Extrae el listado de unidades presentes en el equipo (Req. 2.2.5)
    • Obtiene el listado de carpetas compartidas (Req. 2.2.5)
    • Valida si el sistema operativo actual es soportado o no por el fabricante (Req. 6.1)
    • Extrae la información de actualizaciones de seguridad instaladas (Req. 6.2)
    • Obtiene datos generales de permisos y privilegios (Reqs. 7.1.1, 7.1.2, 7.2.2)
    • Extrae y evalúa la política de contraseñas, listado de usuarios y estados (Req. 8)
    • Extrae la información de NTP (Req. 10.4)
    • Enumera la configuración de registro de eventos (logs) (Req. 10.2 – 10.3)

Entre otros.

Por otro lado, realiza rutinas básicas de validación en aquellas variables con valores fijos (longitud, expiración y complejidad de contraseña).

Esperamos que este script les sea de utilidad. Así mismo, para reportar cualquier duda, reporte de fallos o solicitud de funcionalidades adicionales se pueden emplear los comentarios de la entrada.