Blog de Mark Unwin, Feb 2023
Recientemente nos han hecho la pregunta: ¿por qué consideran Open-AudIT más seguro que otros programas similares? Como ocurre con la mayoría de las cosas, la respuesta es "depende".
Open-AudIT puede funcionar de forma que sea extremadamente seguro. Pero, como suele ocurrir con la seguridad informática, cuanto más seguro se quiere hacer algo, más incómodo resulta utilizarlo. Me viene a la mente la vieja frase " el ordenador más seguro es el que está apagado y en el armario ".
A continuación describiremos algunas opciones que pueden utilizarse con Open-AudIT y que aumentarán la seguridad. Como la mayoría de los elementos de Open-AudIT, se trata de opciones y no de obligaciones. El alcance de la seguridad depende de usted.
En las instalaciones, no en la nube
Open-AudIT puede ejecutarse en el servidor de su centro de datos. No necesita acceso a Internet en absoluto. Incluso la instalación en Linux, donde utilizamos el gestor de paquetes de distribución para nuestros requisitos previos, se puede anular utilizando un repositorio de paquetes interno y aprobado por el equipo de seguridad.
Open-AudIT no almacena ninguno de sus datos en la nube. Incluso se puede proporcionar información sobre licencias sin tener que acceder a Internet desde el servidor de Open-AudIT.
Por supuesto, es más fácil permitirle acceder a Internet para descargar paquetes (incluidas las correcciones de seguridad) para su distribución, pero eso depende de usted y de sus políticas de seguridad. Open-AudIT no necesita Internet.
Código abierto
El código fuente de la Comunidad Open-AudIT está disponible en GitHub. Le animamos a que inspeccione cualquier código que le preocupe y, dado que es de código abierto, también le animamos a que nos pregunte sobre cualquier problema que tenga o a que nos informe de cualquier hallazgo. Siempre estamos dispuestos a aceptar contribuciones de código, informes de vulnerabilidades o incluso simples preguntas. Estamos aquí para ayudarle.
Los propios scripts de auditoría (Windows, Linux, MacOS, etc.) se escriben deliberadamente en shell script nativo legible (VBScript para Windows, Bash para *nix). Puede ver exactamente qué comandos se ejecutan. Puedes eliminar los comandos que consideres innecesarios. Puedes pedir a un tercero que inspeccione el código por ti y (si quieres) que te informe de cualquier hallazgo.
Open-AudIT Enterprise utiliza Open-AudIT Community como motor. Enterprise indica a Community lo que debe hacer (en la mayoría de los casos, pero no en todos). Por lo tanto, puede leer exactamente lo que sucede cuando se ejecuta una detección (por ejemplo). En los casos en los que el propio Enterprise hace el trabajo pesado, si le preocupa algún problema, Firstwave estará encantado de resolverlo con usted, ¡sólo tiene que preguntar! Inténtelo con otro proveedor de software comercial.
¿Agente? ¿Descubrimiento? ¿Credenciales?
Así que tiene un problema al proporcionar las credenciales de Open-AudIT para descubrir sus dispositivos. Tengo una respuesta: ¡no lo haga! Claro, el descubrimiento es lo mejor desde el pan rebanado. No necesita saber de antemano "qué hay en su red". Pero, ¿cómo puedes extraer datos de los dispositivos sin proporcionar credenciales?
En el caso de los ordenadores, una opción sencilla es copiar la secuencia de comandos de auditoría adecuada en los equipos de destino y configurarla para que se ejecute de forma programada. ejecutar en un horario. Más información en detalles en la wiki. Las máquinas enviarán sus datos a Open-AudIT en ese horario, casi como si estuviera ejecutando el descubrimiento. No hay un "agente" que pregunte a Open-AudIT qué hacer (aunque tenemos planes para ello - permanezca atento). El dispositivo simplemente ejecuta el script de auditoría en un horario (de nuevo, puede leer el script de auditoría) como el usuario que usted le indique y envía el resultado al servidor. No hay credenciales involucradas en absoluto.
¿Qué pasa con otros "dispositivos de red"? Piensa en switches, routers, impresoras, etc. Obviamente, es mejor si puedes proporcionar algunas credenciales SNMP para estos dispositivos. Sólo necesitan acceso de "sólo lectura". Pero si ni siquiera quieres hacer eso, no hay nada que te impida ejecutar el descubrimiento, encontrar los dispositivos, y hacer una regla o dos para identificarlos. No tendrás mucha información, pero sabrás que están en la red, cuáles son y cuándo fue la última vez que los viste. También verás si aparece algo nuevo en la red.
¿Y si algo sale mal?
Los scripts de auditoría aceptan un argumento de depuración. Puede ejecutar el script utilizándolo y ver con más detalle cuál es el problema. Y si no puede resolverlo, ¡para eso estamos nosotros! Abra un caso de soporte y pondremos las cosas en marcha en poco tiempo.
Datos abiertos
Y por último, no es tanto una cuestión de seguridad, sino de tranquilidad. Las estructuras de datos son abiertas y están documentadas. Incluso puedes verlas dentro de la aplicación. Tus datos son tus datos. Puedes extraerlos cuando quieras. Incluso proporcionamos exportaciones a CSV, JSON y XML. Y tenemos una API JSON. Además, puede escribir informes personalizados y obtenerlos en CSV, XML y JSON. Una vez más, son sus datos, no los de nadie más. Puede estar seguro de que la seguridad de sus datos está en sus manos.
Resumen
Espero que este post haya aliviado cualquier preocupación que tenga sobre Open-AudIT y la seguridad. Si tiene alguna pregunta, no dude en ponerse en contacto con nosotros aquí en FirstWave. Siempre estaremos encantados de discutir sus preocupaciones y necesidades. Y tal vez si su pregunta no es algo que he abordado aquí, puedo añadirlo aquí para los futuros usuarios 
