Implementar una Solución de Prevención de Intrusiones Basada en Host
Descripción
Implementar una solución de prevención de intrusiones basada en host en activos empresariales, donde sea apropiado y/o soportado. Los ejemplos de implementación incluyen el uso de un cliente de Detección y Respuesta en Endpoints (EDR) o agente IPS basado en host.
Lista de Verificación de Implementación
Herramientas Recomendadas
Detección y respuesta de red impulsada por IA con análisis de amenazas de autoaprendizaje y respuesta autónoma
Darktrace · Suscripción empresarial
Detección y respuesta de amenazas impulsada por IA para red, nube e identidad con inteligencia de señales de ataque
Vectra AI · Suscripción empresarial
Plataforma de detección y respuesta de red con análisis de tráfico en tiempo real, inspección de tráfico cifrado y visibilidad en la nube
ExtraHop · Suscripción por dispositivo/ancho de banda
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Ejecución de Ransomware a Pesar de Alerta de Detección
DisponibilidadUna herramienta de detección basada en host identifica comportamiento de ransomware pero solo puede alertar, no bloquear, permitiendo al malware cifrar archivos antes de que un analista responda porque no existe capacidad de prevención basada en host.
Ejecución de Exploit de Día Cero en Endpoint
IntegridadUn atacante entrega un exploit de día cero vía un documento de spear-phishing que ejecuta código malicioso en el endpoint, y sin prevención de intrusiones basada en host, el exploit no puede bloquearse automáticamente basándose en análisis de comportamiento.
Ejecución de Herramienta de Volcado de Credenciales en Host Comprometido
ConfidencialidadUn atacante ejecuta Mimikatz o herramientas similares de recolección de credenciales en una estación de trabajo comprometida, extrayendo credenciales almacenadas en caché sin prevención automatizada porque no se ha desplegado HIPS/EDR para bloquear técnicas de ataque conocidas.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Capacidad de Solo Detección Sin Prevención Automatizada
Sin prevención de intrusiones basada en host, la actividad maliciosa identificada solo a través de detección no puede bloquearse automáticamente, creando una brecha entre la generación de alertas y la respuesta manual a incidentes.
Sin Bloqueo de Endpoint Basado en Comportamiento
La ausencia de HIPS o EDR con capacidades de prevención significa que los endpoints no pueden terminar automáticamente procesos maliciosos, poner en cuarentena archivos sospechosos ni bloquear técnicas de explotación en tiempo real.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |