Realizar Escaneos Automatizados de Vulnerabilidades de Activos Empresariales Internos
Descripción
Realizar escaneos automatizados de vulnerabilidades de activos empresariales internos de forma trimestral o más frecuente. Realizar tanto escaneos autenticados como no autenticados, usando una herramienta de escaneo de vulnerabilidades compatible con SCAP.
Lista de Verificación de Implementación
Herramientas Recomendadas
Evaluación continua de vulnerabilidades y gestión de exposición en activos de IT, nube, contenedores y OT
Tenable · Suscripción por activo
Gestión de vulnerabilidades basada en la nube, detección y respuesta con gestión de parches integrada e inventario de activos
Qualys · Suscripción por activo
Plataforma de gestión de vulnerabilidades con paneles en vivo, priorización de riesgos y flujos de trabajo de remediación
Rapid7 · Suscripción por activo
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Vulnerabilidades Internas Persistentes Explotadas por Movimiento Lateral
ConfidencialidadSin escaneo automatizado de vulnerabilidades internas, los atacantes que obtienen acceso inicial descubren y explotan sistemas internos sin parchear, bases de datos y aplicaciones que nunca fueron evaluadas, permitiendo un rápido movimiento lateral a través del entorno.
Explotación Interna de Debilidades No Descubiertas por Personas Internas
IntegridadLas personas internas maliciosas o cuentas comprometidas explotan vulnerabilidades internas que habrían sido detectadas por escaneo autenticado, como servicios mal configurados, credenciales predeterminadas o parches faltantes en servidores solo internos.
Brechas de Cumplimiento por Escaneos Internos Infrecuentes o Ausentes
DisponibilidadSin escaneo automatizado interno trimestral usando herramientas compatibles con SCAP, la organización no puede demostrar evaluación continua de vulnerabilidades a los auditores, resultando en hallazgos bajo el Requisito 11 de PCI DSS o marcos similares.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Escaneo de Vulnerabilidades Interno Autenticado
La organización no realiza escaneos internos de vulnerabilidades con credenciales, lo que significa que los escáneres no pueden evaluar versiones de software instalado, parches faltantes o debilidades de configuración detrás de barreras de autenticación, omitiendo hasta el 60% de las vulnerabilidades reales.
Cadencia de Escaneo Interno Infrecuente o Manual
Los escaneos internos de vulnerabilidades se realizan esporádicamente o solo antes de auditorías en lugar de un cronograma automatizado trimestral, permitiendo que nuevas vulnerabilidades persistan sin detectar durante períodos prolongados entre ventanas de escaneo.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Técnico | Informes de escaneo de vulnerabilidades que muestren el alcance y los hallazgos | Por ciclo de escaneo |
| Registro | Seguimiento de remediación de vulnerabilidades con métricas de cumplimiento de SLA | Mensual |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |