Habilitar Funciones Anti-Explotación
Descripción
Habilitar funciones anti-explotación en activos empresariales y software, donde sea posible, como Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG) o Apple® System Integrity Protection (SIP) y Gatekeeper™.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de protección de endpoints nativa en la nube con AV de próxima generación, EDR, inteligencia de amenazas y caza gestionada
CrowdStrike · Suscripción por endpoint
Seguridad empresarial de endpoints con prevención de amenazas, EDR, investigación automatizada y reducción de superficie de ataque
Microsoft · Suscripción por dispositivo (P1/P2)
Protección de endpoints impulsada por IA con respuesta autónoma, EDR y capacidades XDR en endpoint, nube e identidad
SentinelOne · Suscripción por endpoint
Plataforma de detección y respuesta extendida que correlaciona datos de endpoint, red, nube e identidad para detección de amenazas
Palo Alto Networks · Suscripción por endpoint
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Exploit de Corrupción de Memoria que Logra Ejecución de Código
ConfidencialidadLos atacantes explotan vulnerabilidades de desbordamiento de búfer, uso después de liberación o rociado de montón en aplicaciones para lograr ejecución de código arbitrario, que las funciones anti-explotación como DEP, ASLR y CFG prevendrían o complicarían significativamente.
Malware Sin Archivo Explotando Mitigaciones de Explotación Deshabilitadas
IntegridadLas técnicas de ataque sin archivo que operan completamente en memoria explotan la ausencia de funciones anti-explotación para inyectar código malicioso en procesos legítimos, evadiendo la detección anti-malware tradicional basada en archivos completamente.
Explotación de Día Cero de Navegador Sin Exploit Guard
ConfidencialidadLos exploits de día cero de navegador tienen éxito porque las funciones anti-explotación como Windows Defender Exploit Guard, Control Flow Guard o sandboxing no están habilitadas, permitiendo técnicas de manipulación de memoria que estas mitigaciones bloquearían.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Funciones Anti-Explotación a Nivel de SO No Habilitadas
Las funciones anti-explotación integradas del sistema operativo como DEP, aplicación de ASLR, SEHOP y Windows Defender Exploit Guard no están habilitadas o están configuradas con excepciones que reducen su efectividad.
Mitigaciones de Explotación a Nivel de Aplicación Deshabilitadas
Las mitigaciones de explotación específicas de aplicación como Apple SIP, Gatekeeper o sandboxing de navegador están deshabilitadas o debilitadas por configuración, eliminando capas de defensa en profundidad que bloquearían o contendrían intentos de explotación.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |