Estandarizar la Sincronización de Tiempo
Descripción
Estandarizar la sincronización de tiempo. Configurar al menos dos fuentes de tiempo sincronizadas en los activos empresariales, donde sea soportado.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma SIEM con gestión de registros, detección de amenazas, investigación e informes de cumplimiento en fuentes de datos empresariales
Cisco (Splunk) · Basado en ingesta o basado en carga de trabajo
SIEM y SOAR nativos en la nube con analítica impulsada por IA, respuesta automatizada a amenazas e integración nativa con Azure/M365
Microsoft · Pago por uso (por GB procesado)
SIEM impulsado por IA con analítica de comportamiento, investigación automatizada y capacidades SOAR para detección de amenazas
Exabeam · Suscripción por usuario
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Línea de Tiempo Forense No Confiable por Desfase de Reloj
IntegridadLa sincronización de tiempo inconsistente entre activos empresariales causa que las marcas de tiempo de los registros diverjan por minutos u horas, haciendo imposible reconstruir con precisión las líneas de tiempo de ataques o correlacionar eventos entre sistemas durante investigaciones de incidentes.
Falla de Correlación de Registros que Enmascara Ataques Coordinados
ConfidencialidadLas reglas de correlación del SIEM fallan en detectar ataques de múltiples etapas porque las marcas de tiempo de diferentes fuentes de registro están desalineadas debido a relojes no sincronizados, causando que eventos de ataque relacionados parezcan no relacionados en diferentes ventanas de tiempo.
Inadmisibilidad de Evidencia por Marcas de Tiempo No Confiables
IntegridadLos procedimientos legales o investigaciones regulatorias rechazan la evidencia de registros porque las marcas de tiempo no pueden probarse como precisas, socavando la capacidad de la organización para procesar a los atacantes o demostrar cumplimiento con requisitos regulatorios.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Configuración NTP Estandarizada en Activos Empresariales
Los activos empresariales usan diferentes o ningún servidor NTP, causando desfase de reloj entre sistemas que degrada la precisión y confiabilidad de las entradas de registro de auditoría con marca de tiempo usadas para correlación y análisis forense.
Fuente NTP Única Sin Redundancia
Los activos están configurados con solo una fuente de tiempo, y si esa fuente se vuelve no disponible o comprometida, los relojes se desfasan sin detección, degradando la integridad de todas las operaciones de seguridad dependientes del tiempo.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |