Estimados amigos de Inseguros !!!
Empezamos el Tema 10 de los Controles CIS.
Este tema tiene 7 lecciones y va de antimalware. Y como siempre, en la primera lección toca overview, para entender la película completa antes de entrar en el detalle. El control 10.1 es muy directo: desplegar y mantener software antimalware. Suena “fácil”, ¿verdad?
Pues en auditorías me encuentro que no lo es tanto. Y casi siempre por el mismo motivo: la empresa cree que lo tiene “en todo”… y luego aparece el 1% que no. Aquí hay un matiz importante que se confunde muchísimo: en Microsoft hay dos “Defender”. Está el Microsoft Defender “gratis”, el que viene con Windows. Y está Defender for Endpoint, que ya es EDR, con consola central, y enfoque empresarial. No es lo mismo.
Y no me meto todavía en lo de heurística y comportamiento, porque eso sale más adelante (10.7), ni en lo de centralizar, que sale en el 10.6. Pero el punto del 10.1 es este: no vale con “algo”. Tiene que ser un antimalware profesional y bien desplegado.
Porque sí, se puede hacer bypass de algunos productos en ciertos momentos. Esto va por épocas. Los malos aprenden, los EDR aprenden, y es la guerra del bueno y del malo. Pero esto no va de decir “paso el EDR”.
El EDR ahora mismo está parando la mayoría de ataques. A lo mejor no te pilla el acceso inicial (phishing, compromiso de credenciales, HTA, JavaScript, lo que sea), pero a lo largo de la kill chain suele saltar: dumpeo, movimiento lateral, escalada, ejecución de herramientas… ahí es donde el antimalware/EDR empieza a ganar batallas.
Entonces, ¿qué pasa en empresas con el 10.1? Pasa lo de siempre. Escenarios legacy donde “no se puede poner antivirus” porque consume recursos. El típico Windows 2003 con SQL Server viejo que si le metes agente se vuelve lento y negocio se enfada. O escenarios de licencias: empresa con 250 ordenadores, compran 180 licencias, y hay 70 equipos “pendientes” eternamente. O el gran clásico: Shadow IT. Aquí es donde CIS te hace daño, porque te obliga a pensar de verdad.
Tú tienes inventario del Active Directory.
Tienes GPO.
Tienes Intune.
Y ahí sí, lo tienes todo “bien”.
Pero luego está el ordenador que no está en dominio. El ordenador de la garita del vigilante del parking. El ordenador del control horario que puso el proveedor para los tornos. El portátil de un tercero que se conecta a tu red. El equipo de tu compañero que se trae “porque le gusta escuchar el podcast” y lo enchufa. Y ese equipo también es un asset…
Porque todo lo que tenga conectividad con tu red forma parte de tu superficie de ataque. Esté en el dominio o no. Esté enrolado en Entra ID o no. Sea de tu jefe o del sobrino.
Y aquí viene la parte más importante del 10.1:
Los malos no se van a estrellar contra tu “pedazo de CrowdStrike / SentinelOne / Defender for Endpoint” desplegado en el 99% de la empresa.
Van a buscar el 1% que no lo tiene. Van a buscar el agujero pequeño. Porque ese agujero les permite ejecutar herramientas, hacer tareas de red, envenenar, hacer spoofing, mover credenciales… lo que sea que necesiten para empezar a construir el ataque. Así que el 10.1 no se aprueba diciendo “sí, sí, tenemos antivirus”. Se aprueba haciendo introspección de verdad: ¿Está en el 100%? ¿Incluye esos equipos raros? ¿Incluye terceros? ¿Incluye los “appliances con Windows” que nadie quiere tocar? ¿Incluye el Shadow IT? Ahí está el éxito. En el fine tuning.
Y si quieres aprender a aplicar Controles CIS con mentalidad de empresa (sin humo, con casos reales y checklist operable), pásate por www.seguridadsi.com y échale un ojo a la academia y a los cursos de ciberseguridad para profesionales.
Gracias por leerme !!!
