Implementar y Gestionar un Firewall en Dispositivos de Usuario Final
Descripción
Implementar y gestionar un firewall basado en host o herramienta de filtrado de puertos en dispositivos de usuario final, con una regla de denegación predeterminada que descarte todo el tráfico excepto aquellos servicios y puertos que estén explícitamente permitidos.
Lista de Verificación de Implementación
Herramientas Recomendadas
Herramienta automatizada de evaluación de CIS Benchmark para escaneo de cumplimiento de configuración en sistemas operativos, aplicaciones y nube
Center for Internet Security · Membresía CIS SecureSuite
Plataforma de evaluación de configuración y cumplimiento basada en la nube con soporte de CIS Benchmark y monitoreo continuo
Qualys · Suscripción por activo
Plataforma de gestión de configuración de seguridad y monitoreo de integridad de archivos con cumplimiento de políticas y detección de desviaciones
Fortra (Tripwire) · Suscripción por nodo
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Explotación Directa de Endpoints desde la Red
ConfidencialidadLos atacantes explotan servicios ejecutándose en dispositivos de usuario final (RDP, SMB, WinRM) que son accesibles porque ningún firewall basado en host bloquea conexiones entrantes de fuentes no autorizadas.
Propagación de Malware Punto a Punto entre Estaciones de Trabajo
DisponibilidadEl malware en una estación de trabajo se propaga directamente a otras estaciones a través de recursos compartidos de red y servicios porque ningún firewall de endpoint restringe el tráfico entre estaciones.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Firewall de Denegación Predeterminada en Dispositivos de Usuario Final
Sin un firewall basado en host con una regla de denegación predeterminada de entrada, los dispositivos de usuario final aceptan conexiones en todos los puertos, exponiendo cada servicio en ejecución a la red.
Comunicación Saliente Irrestricta desde Endpoints
Sin filtrado de puertos del firewall en endpoints, el malware puede establecer conexiones salientes a servidores de comando y control en cualquier puerto o protocolo.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Exportación del conjunto de reglas de firewall y documentación de revisión | Revisado trimestralmente |
| Registro | Registros de solicitudes de cambio y aprobación de firewall | Por cambio |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |