Tema
POL-015: Política Anti-Malware
| Campo | Valor |
|---|---|
| ID | POL-015 |
| Versión | 1.0 |
| Fecha de Emisión | 2026-03-13 |
| Próxima Revisión | 2027-03-13 |
| Propietario | CISO / Equipo DevOps |
| PCI DSS | Requisito 5 |
| Preguntas ControlCase | Q31, Q32 |
1. Propósito
Definir los requisitos de protección anti-malware para todos los sistemas en scope PCI DSS, incluyendo la evaluación de riesgo de malware, despliegue de soluciones anti-malware y monitoreo continuo.
2. Evaluación de Riesgo de Malware (Q31)
2.1 Análisis por Tipo de Sistema
| Sistema | Susceptible a Malware | Justificación | Anti-Malware Requerido |
|---|---|---|---|
| Contenedores Docker (node:20-alpine) | Bajo | Imagen mínima, read-only filesystem, no-root, lifecycle efímero, sin shell interactivo | Sí — Falco (runtime security) |
| Kubernetes Nodes (DOKS) | Medio | Gestionado por DigitalOcean, acceso limitado | DO gestiona + Falco |
| PostgreSQL Managed | Bajo | Gestionado por DO, sin acceso a OS | DO gestiona |
| VMs de Compliance (Ubuntu) | Alto | Sistema operativo completo con shell | Sí — Antivirus + HIDS |
| Laptops de Desarrollo (macOS/Windows) | Alto | Navegación web, email, instalación de software | Sí — EDR/Antivirus |
| GitHub Actions Runners | Bajo | Runners efímeros, destruidos tras cada job | GitHub gestiona |
2.2 Evaluación Periódica
| Actividad | Frecuencia | Responsable |
|---|---|---|
| Re-evaluar riesgo de malware por tipo de sistema | Anual (Targeted Risk Analysis) | CISO |
| Evaluar nuevas amenazas de malware relevantes | Trimestral | CISO + DevOps |
| Revisar efectividad de controles anti-malware | Semestral | DevOps |
3. Controles Anti-Malware por Sistema
3.1 Contenedores Docker (CDE)
| Control | Implementación |
|---|---|
| Runtime security | Falco — detección de comportamiento anómalo en containers |
| Image scanning | Trivy — escaneo de vulnerabilidades en imágenes antes de despliegue |
| Read-only filesystem | readOnlyRootFilesystem: true — impide escritura de malware en disco |
| Non-root execution | runAsNonRoot: true — reduce superficie de ataque |
| Drop capabilities | drop: ["ALL"] — sin capacidades Linux privilegiadas |
| No shell access | Alpine mínimo sin shells innecesarios |
| Immutable containers | Re-build desde código fuente, no se parchean en ejecución |
| Image provenance | Solo imágenes de registros confiables (Docker Hub oficial) |
3.2 VMs de Compliance (Ubuntu)
| Control | Implementación |
|---|---|
| Antivirus | ClamAV / Solución comercial (Sophos, CrowdStrike, etc.) |
| Actualizaciones de firmas | Diaria (automática) |
| Escaneo completo | Semanal |
| Escaneo en acceso | Tiempo real (on-access scanning) |
| HIDS | OSSEC / Wazuh |
| Logs de detección | Enviados a log aggregator central |
| No deshabilitación | Los usuarios no pueden deshabilitar el antivirus |
3.3 Estaciones de Trabajo de Desarrollo
| Control | Implementación |
|---|---|
| Endpoint Protection | Solución EDR corporativa (CrowdStrike Falcon, SentinelOne, o similar) |
| Actualizaciones | Automáticas |
| Escaneo en acceso | Tiempo real |
| Escaneo completo | Semanal (programado) |
| Anti-phishing | Protección de email + navegación web |
| No deshabilitación | Política MDM impide desactivación por usuario |
| Reportes centralizados | Dashboard central de estado de endpoints |
4. Detecciones Específicas
4.1 Tipos de Amenazas Monitoreadas
| Amenaza | Herramienta de Detección |
|---|---|
| Crypto miners en containers | Falco — detección de CPU anómalo + procesos sospechosos |
| Reverse shells | Falco — detección de shells outbound |
| Container escape | Falco — detección de syscalls privilegiados |
| Privilege escalation | Falco — detección de cambio de UID/GID |
| Rootkits | OSSEC/Wazuh — verificación de integridad de binarios |
| Ransomware | EDR — detección de cifrado masivo de archivos |
| Keyloggers | EDR — detección de hooks de input |
| Web shells | Falco — detección de procesos web atípicos |
4.2 Reglas Personalizadas de Falco (Ejemplo)
- Detectar ejecución de shell en contenedores del CDE
- Detectar conexiones outbound a IPs no autorizadas
- Detectar lectura de
/etc/shadowo archivos sensibles - Detectar montaje de volúmenes no autorizados
- Detectar modificación de archivos de configuración en runtime
5. Gestión de Logs Anti-Malware
| Aspecto | Requisito |
|---|---|
| Retención de logs | 12 meses (según POL-010) |
| Destino de logs | Log aggregator central (Loki/ELK) |
| Alertas | Integradas con Prometheus/AlertManager |
| Revisión | Incluida en revisión diaria de logs (POL-010 §6.3) |
| Protección | Logs de anti-malware protegidos contra manipulación |
6. Política de No Deshabilitación
| Control | Detalle |
|---|---|
| Usuarios finales | No pueden deshabilitar, pausar o modificar configuración de anti-malware |
| Excepciones temporales | Solo con aprobación escrita del CISO, duración máxima definida |
| Monitoreo | Alerta automática si un agente deja de reportar > 1 hora |
| Consecuencia | Incumplimiento tratado según POL-013 §12 |
7. Sistemas Donde Anti-Malware Tradicional No Aplica
Para sistemas donde el anti-malware basado en firmas no es técnicamente viable (contenedores efímeros, bases de datos managed), se implementan controles compensatorios:
| Sistema | Control Compensatorio | Justificación |
|---|---|---|
| Contenedores Docker | Falco (behavioral) + Trivy (scanning) + immutable + non-root | Anti-malware tradicional incompatible con contenedores efímeros Alpine |
| Managed PostgreSQL | Responsabilidad de DO (SOC 2) | No hay acceso al OS subyacente |
| Managed Kubernetes | Responsabilidad de DO (SOC 2) + Falco en pods | Nodos gestionados por DO |
La evaluación de riesgo (§2.1) documenta por qué cada sistema específico no requiere anti-malware tradicional y qué controles compensatorios se aplican.
Historial de Revisiones
| Versión | Fecha | Autor | Cambios |
|---|---|---|---|
| 1.0 | 2026-03-13 | CISO / DevOps | Documento inicial |
Aprobación
| Rol | Nombre | Firma | Fecha |
|---|---|---|---|
| CISO / Oficial de Seguridad | _________________ | _________________ | //____ |
| Gerencia Ejecutiva | _________________ | _________________ | //____ |