Usar Software Antimalware Basado en Comportamiento
Descripción
Usar software antimalware basado en comportamiento.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de protección de endpoints nativa en la nube con AV de próxima generación, EDR, inteligencia de amenazas y caza gestionada
CrowdStrike · Suscripción por endpoint
Seguridad empresarial de endpoints con prevención de amenazas, EDR, investigación automatizada y reducción de superficie de ataque
Microsoft · Suscripción por dispositivo (P1/P2)
Protección de endpoints impulsada por IA con respuesta autónoma, EDR y capacidades XDR en endpoint, nube e identidad
SentinelOne · Suscripción por endpoint
Plataforma de detección y respuesta extendida que correlaciona datos de endpoint, red, nube e identidad para detección de amenazas
Palo Alto Networks · Suscripción por endpoint
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Malware de Día Cero que Evade Detección Basada en Firmas
ConfidencialidadEl malware novedoso sin firmas existentes evade completamente el anti-malware basado en firmas tradicional, y sin detección basada en comportamiento la actividad maliciosa (cifrado de archivos, acceso a credenciales, movimiento lateral) se ejecuta sin oposición.
Malware Polimórfico que Derrota el Análisis Estático
IntegridadEl malware que cambia su firma de código con cada ejecución evade los motores de detección basados en firmas, requiriendo análisis de comportamiento para identificar las acciones maliciosas (inyección de procesos, mecanismos de persistencia, comunicación C2) en lugar de características estáticas de archivo.
Técnicas Living-Off-the-Land Invisibles para Escaneo de Firmas
ConfidencialidadLos atacantes usan herramientas y procesos legítimos del sistema operativo (PowerShell, WMI, certutil, mshta) para ejecutar acciones maliciosas que las soluciones basadas en firmas no pueden detectar porque las herramientas en sí son legítimas, requiriendo análisis de comportamiento para identificar el abuso.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
El Anti-Malware Depende Únicamente de Detección Basada en Firmas
La solución anti-malware de la organización usa solo coincidencia de firmas estáticas sin análisis de comportamiento, heurísticas o capacidades de aprendizaje automático, haciéndola ciega a amenazas de día cero, malware polimórfico y técnicas de ataque sin archivo.
Sin EDR ni Protección de Endpoint de Nueva Generación
La organización no ha desplegado soluciones de detección y respuesta de endpoint (EDR) o antivirus de nueva generación (NGAV) que monitoreen el comportamiento de procesos, llamadas API e interacciones del sistema para detectar patrones de actividad maliciosa independientemente de las firmas de archivo.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Estado de implementación de anti-malware y estadísticas de detección | Mensual |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |