Implementar una Solución de Detección de Intrusiones Basada en Host
Descripción
Implementar una solución de detección de intrusiones basada en host en activos empresariales, donde sea apropiado y/o soportado.
Lista de Verificación de Implementación
Herramientas Recomendadas
Detección y respuesta de red impulsada por IA con análisis de amenazas de autoaprendizaje y respuesta autónoma
Darktrace · Suscripción empresarial
Detección y respuesta de amenazas impulsada por IA para red, nube e identidad con inteligencia de señales de ataque
Vectra AI · Suscripción empresarial
Plataforma de detección y respuesta de red con análisis de tráfico en tiempo real, inspección de tráfico cifrado y visibilidad en la nube
ExtraHop · Suscripción por dispositivo/ancho de banda
Plataforma de análisis de tráfico de red que utiliza modelado de comportamiento y aprendizaje automático para detectar amenazas y anomalías
Cisco · Suscripción por flujo
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Ejecución de Malware Sin Archivo en Endpoints No Monitoreados
ConfidencialidadUn atacante despliega malware sin archivo usando PowerShell o WMI que opera completamente en memoria, evadiendo la detección a nivel de red porque ninguna solución de detección de intrusiones basada en host monitorea el comportamiento de procesos.
Recolección de Datos por Amenaza Interna en Endpoints
ConfidencialidadUna persona interna maliciosa instala herramientas de recolección de credenciales o keyloggers en su estación de trabajo, que pasan desapercibidos sin detección de intrusiones basada en host que monitoree la actividad local del sistema.
Persistencia de Rootkit Sin Detección a Nivel de Host
IntegridadUn atacante instala un rootkit a nivel de kernel que persiste a través de reinicios y oculta procesos maliciosos de las herramientas estándar del SO, permaneciendo invisible sin un HIDS dedicado que examine la integridad del sistema.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Visibilidad de Indicadores de Ataque a Nivel de Host
Sin detección de intrusiones basada en host, las ejecuciones de procesos sospechosos, cambios de integridad de archivos y modificaciones de registro en endpoints individuales no se monitorean, permitiendo a los atacantes operar libremente después del compromiso.
Incapacidad para Detectar Amenazas Residentes en Memoria
Sin capacidades HIDS, los ataques que nunca tocan el disco como exploits en memoria, técnicas living-off-the-land e inyección de procesos no pueden identificarse a nivel de endpoint.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |