Implementar una Solución de Prevención de Intrusiones de Red
Descripción
Implementar una solución de prevención de intrusiones de red, donde sea apropiado. Los ejemplos de implementación incluyen el uso de un Sistema de Prevención de Intrusiones de Red (NIPS) o servicio equivalente de CSP.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de firewall de próxima generación con políticas conscientes de aplicaciones, prevención de amenazas, filtrado de URL y SD-WAN
Palo Alto Networks · Dispositivo + suscripción
Gateway web seguro nativo en la nube con inspección en línea, filtrado de URL, sandboxing y DLP para tráfico web
Zscaler · Suscripción por usuario
Firewall empresarial con visibilidad de aplicaciones, IPS, defensa contra malware y análisis de tráfico cifrado
Cisco · Dispositivo + suscripción
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Entrega de Exploit a Nivel de Red Apuntando a Servicios Vulnerables
IntegridadUn atacante explota una vulnerabilidad conocida en un servicio de red expuesto enviando paquetes elaborados que un firewall permite como tráfico legítimo, teniendo éxito porque ningún sistema de prevención de intrusiones de red inspecciona el contenido de la carga útil.
Propagación Automatizada de Gusanos a través de Límites de Red
DisponibilidadUn gusano de red explota una vulnerabilidad en un protocolo común y se propaga a través de VLANs y subredes, ya que no existe un sistema de prevención de intrusiones de red en línea para detectar y descartar tráfico de explotación.
Ataque de Inyección SQL que Atraviesa la Red al Nivel de Base de Datos
ConfidencialidadUn atacante envía cargas de inyección SQL a través de la red a un servidor de base de datos backend, y sin un NIPS en línea para inspeccionar y bloquear patrones de consulta maliciosos, el ataque tiene éxito.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Bloqueo de Tráfico de Red en Línea para Cargas de Explotación
Sin un NIPS, las firmas de explotación conocidas y cargas maliciosas que atraviesan la red no pueden descartarse automáticamente, permitiendo explotación exitosa incluso cuando los patrones de ataque están bien documentados.
Ataques a Nivel de Red No Prevenidos en Tiempo Real
La ausencia de prevención de intrusiones de red significa que los ataques solo se detectan después del hecho en lugar de bloquearse en línea, dando a los atacantes tiempo para completar la explotación antes de que ocurra cualquier respuesta.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |