Joven hacker sonriendo

Cero falsos positivos

Inteligencia experta + automatización eficaz

REQ.023 Cerrar sesión de un usuario inactivo

En el presente documento se detallan los requerimientos de seguridad relacionados a la gestión de sesiones de usuarios de un sistema, estableciendo los lineamientos para determinar cuándo es necesario cerrar una sesión si existe inactividad por parte del usuario durante cierto periodo de tiempo.

Requisito

El sistema debe cerrar una sesión si se presenta un tiempo de inactividad por parte del usuario, superior o igual a 5 minutos.

Descripción

Un sistema que cuente con autenticación e inicio de sesión puede mantener la misma abierta por un tiempo indefinido si no existe un control automático de cerrado de sesión y el usuario no la cierra manualmente. El no controlar los tiempos de cierre puede permitir a un atacante aprovechar sesiones desatendidas y ejecutar acciones a nombre del usuario autenticado sin su autorización y alterar información confidencial asociada a cuentas, este riesgo puede aumentar su criticidad notablemente si el sistema permite el ingreso a usuarios administradores con privilegios altos, pues afectaría la integridad, confidencialidad y disponibilidad del sistema, sus usuarios y de la información que contiene.

Implementación

  1. Fijar los tiempos de sesión: Dependiendo de las necesidades del negocio y/o de las políticas de manejo de sesiones de la compañía se deben configurar los tiempos de finalización de sesiones desatendidas a un tiempo prudencial (recomendado de 5 minutos o cercano).[1]

Ataques

  1. Un usuario empleado o anónimo toma control de una cuenta desatendida por otro usuario sin su autorización.[2],[3]

  2. En un servidor web muchas sesiones abiertas durante un tiempo muy alto obligan al servidor a consumir mucha memoria desplegando y manteniendo los objetos de sesión.

Atributos

  1. Capa: Capa de Aplicación

  2. Activo: Administración de sesiones

  3. Alcance: Adherencia

  4. Fase: Operación

  5. Tipo de Control: Procedimiento

Referencias

  1. Capítulo Décimo Segundo: Requerimientos Mínimos de Seguridad y Calidad para la Realización de Operaciones.

  2. [PCI DSS 3.0] 6.5.10 Broken authentication and session management.

  3. Top 10 2013-A2-Broken Authentication and Session Management.

  4. HIPAA Security Rules 164.312(a)(2)(iii): Cierre de Sesión Automático: Implementar procedimientos electrónicos que terminen una sesión después de un determinado tiempo de inactividad.

  5. OWASP-ASVS v3.1-3.3. Verificar que las sesiones se cierren automáticamente luego de un periodo de inactividad específico

  6. OWASP-ASVS v3.1-3.4. Verificar que las sesiones se cierren automáticamente luego de un tiempo administrativo configurable sin importar si está activa. (Vencimiento de sesión absoluto)

  7. NIST 800-53 AC-12 Cierre de sesión: El sistema de información debe terminar la sesión del usuario cuando se presente una condición o evento definido por la organización que requiera la terminación de la sesión.

  8. NIST 800-53 AC-2 (2) La organización requiere que el usuario termine la sesión cuando se presente un periodo de inactividad definido o un evento que requiera el cierre de sesión.

  9. BSSIM9 SM2.6: Requerir cierre de sesión de seguridad.


Estado de los servicios - Términos de Uso