Implementar una Solución de Detección de Intrusiones de Red
Descripción
Implementar una solución de detección de intrusiones de red en activos empresariales, donde sea apropiado. Los ejemplos de implementación incluyen el uso de un Sistema de Detección de Intrusiones de Red (NIDS) o servicio equivalente del proveedor de servicios en la nube (CSP).
Lista de Verificación de Implementación
Herramientas Recomendadas
Detección y respuesta de red impulsada por IA con análisis de amenazas de autoaprendizaje y respuesta autónoma
Darktrace · Suscripción empresarial
Detección y respuesta de amenazas impulsada por IA para red, nube e identidad con inteligencia de señales de ataque
Vectra AI · Suscripción empresarial
Plataforma de detección y respuesta de red con análisis de tráfico en tiempo real, inspección de tráfico cifrado y visibilidad en la nube
ExtraHop · Suscripción por dispositivo/ancho de banda
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Tráfico de Comando y Control sobre Canales Cifrados
ConfidencialidadUn atacante establece comunicaciones C2 cifradas sobre HTTPS o tunelización DNS que evaden firewalls perimetrales, permaneciendo sin detectar porque ningún sistema de detección de intrusiones de red inspecciona patrones de tráfico.
Explotación Basada en Red que Atraviesa Segmentos No Monitoreados
IntegridadUn atacante explota una vulnerabilidad en un servicio interno, y el tráfico de explotación cruza segmentos de red sin activar ninguna alerta porque no hay NIDS desplegado para analizar tráfico este-oeste.
Exfiltración de Datos a Gran Escala mediante Protocolos de Red
ConfidencialidadLos datos sensibles se exfiltran en masa sobre protocolos estándar como HTTP o FTP a un servidor de preparación externo, y el volumen anómalo de datos pasa desapercibido sin detección de intrusiones a nivel de red.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Detección de Anomalías de Tráfico de Red
Sin un NIDS, los patrones de tráfico de red malicioso como escaneos de puertos, cargas de explotación y comportamiento de balizamiento no se identifican, dejando la red ciega a intrusiones activas.
Tráfico de Red Este-Oeste No Monitoreado
Los segmentos de red interna carecen de capacidades de inspección, permitiendo a los atacantes que han obtenido acceso inicial sondear y explotar libremente otros sistemas dentro del entorno.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |