IntermedioD3FENDNIST CSFCIS Controlsframeworkscomparativa
D3FEND vs NIST CSF vs CIS Controls: Comparativa
Comparativa práctica de los tres frameworks defensivos más usados: MITRE D3FEND (técnico), NIST CSF 2.0 (estratégico), y CIS Controls v8 (táctico). Cuándo usar cada uno, cómo combinarlos, y mapeo entre frameworks.
MalwareIntel Research··6 min lectura
D3FEND, NIST CSF y CIS Controls operan a diferentes niveles: estratégico, táctico y técnico
La pregunta "¿qué framework defensivo debo usar?" tiene una respuesta simple: los tres, a diferentes niveles de la organización. No son competidores sino capas complementarias. NIST CSF estructura la estrategia de seguridad. CIS Controls define los controles a implementar. D3FEND detalla la implementación técnica exacta. Este artículo compara los tres y muestra cómo combinarlos.
Comparativa directa
| Aspecto | NIST CSF 2.0 | CIS Controls v8 | MITRE D3FEND |
|---|---|---|---|
| Nivel | Estratégico | Táctico | Técnico |
| Audiencia | CISO, Board, Governance | Security team, IT | SOC, Engineers |
| Pregunta que responde | "¿Qué funciones de seguridad necesitamos?" | "¿Qué controles implementamos?" | "¿Cómo implementamos cada defensa exactamente?" |
| Estructura | 6 Functions, 22 Categories, 106 Subcategories | 18 Controls, 153 Safeguards | 5 Categories, 200+ Techniques |
| Granularidad | Baja-Media | Media | Alta |
| Prescriptivo | No (framework de gestión) | Parcialmente (qué hacer, no siempre cómo) | Sí (qué hacer y cómo) |
| Vinculado a ATT&CK | No directamente | Parcialmente (CIS mapea a ATT&CK) | Sí (mapeo directo técnica a técnica) |
| Coste | Gratuito | Gratuito | Gratuito |
| Obligatorio | No (pero requerido por muchos reguladores) | No (pero adoptado como baseline) | No |
| Actualización | CSF 2.0 (2024) | v8.1 (2024) | Continuo |
NIST CSF 2.0: la estrategia
Las 6 funciones
GOVERN → Gobernanza de seguridad (nuevo en CSF 2.0)
IDENTIFY → Qué proteger (activos, riesgos, supply chain)
PROTECT → Controles preventivos
DETECT → Detección de anomalías e incidentes
RESPOND → Respuesta a incidentes
RECOVER → Recuperación tras incidente
Ejemplo práctico
NIST CSF dice:
PR.DS-01: "La confidencialidad, integridad y disponibilidad
de datos en reposo son protegidas"
Esto no dice CÓMO. Solo dice QUÉ proteger.
Cuándo usar NIST CSF
- Definir la estrategia de seguridad de la organización
- Comunicar postura de seguridad al board
- Alinear seguridad con negocio
- Cumplir requisitos regulatorios (NIST es referencia en NIS2, DORA)
- Assessment de madurez organizacional
CIS Controls v8: los controles
Los 18 controles
| # | Control | Nivel |
|---|---|---|
| 1 | Inventory and Control of Enterprise Assets | IG1 |
| 2 | Inventory and Control of Software Assets | IG1 |
| 3 | Data Protection | IG1 |
| 4 | Secure Configuration of Assets and Software | IG1 |
| 5 | Account Management | IG1 |
| 6 | Access Control Management | IG1 |
| 7 | Continuous Vulnerability Management | IG1 |
| 8 | Audit Log Management | IG1 |
| 9 | Email and Web Browser Protections | IG1 |
| 10 | Malware Defenses | IG1 |
| 11 | Data Recovery | IG1 |
| 12 | Network Infrastructure Management | IG2 |
| 13 | Network Monitoring and Defense | IG2 |
| 14 | Security Awareness and Skills Training | IG1 |
| 15 | Service Provider Management | IG2 |
| 16 | Application Software Security | IG2 |
| 17 | Incident Response Management | IG2 |
| 18 | Penetration Testing | IG3 |
Implementation Groups (IG):
- IG1: Esencial (organizaciones pequeñas, recursos limitados)
- IG2: Estándar (organizaciones medianas)
- IG3: Avanzado (organizaciones con requisitos altos)
Ejemplo práctico
CIS Control 10 (Malware Defenses):
10.1: Deploy and maintain anti-malware software
10.2: Configure automatic anti-malware signature updates
10.3: Disable autorun and autoplay for removable media
10.4: Configure automatic anti-malware scanning of removable media
10.5: Enable anti-exploitation features
10.6: Centrally manage anti-malware software
10.7: Use behavior-based anti-malware software
Dice QUÉ controles implementar, pero no exactamente CÓMO.
Cuándo usar CIS Controls
- Construir el plan de seguridad operativo
- Priorizar implementaciones (IG1 primero)
- Benchmark contra otras organizaciones
- Auditorías de cumplimiento
- Guiar al equipo de IT/seguridad sobre qué implementar
D3FEND: la implementación técnica
Ejemplo práctico
D3FEND D3-PA (Process Analysis) → Script Execution Analysis:
Qué: Analizar scripts antes/durante ejecución para detectar malware
Cómo: AMSI (Antimalware Scan Interface) intercepta contenido de
PowerShell, VBScript, JScript, .NET y lo envía al motor AV
antes de ejecutar. Script Block Logging (Event 4104) registra
el contenido de cada bloque de script ejecutado.
Contra: T1059.001 (PowerShell), T1059.005 (Visual Basic),
T1059.007 (JavaScript)
Herramientas: AMSI (built-in Windows), Sysmon, EDR
Limitaciones: AMSI bypasseable (memory patching, reflection)
Cuándo usar D3FEND
- Decidir exactamente qué tecnología implementar
- Mapear defensas a ataques específicos
- Gap analysis técnico (ATT&CK technique → D3FEND defense)
- Selección de herramientas (qué cubre cada producto)
- SOC operations: verificar que cada técnica de ataque tiene detección
Cómo combinar los tres
El modelo de capas
Nivel 1: NIST CSF (Estrategia)
"Nuestra función DETECT necesita mejora"
│
▼
Nivel 2: CIS Controls (Plan)
"Implementaremos Control 10 (Malware Defenses) y
Control 13 (Network Monitoring)"
│
▼
Nivel 3: D3FEND (Implementación)
"Control 10 → D3-PA Script Execution Analysis (AMSI)
+ D3-FA File Hashing (YARA)
Control 13 → D3-NTA Relay Pattern Analysis (beacon detection)
+ D3-NTA DNS Traffic Analysis (DNS tunneling detection)"
│
▼
Nivel 4: ATT&CK (Validación)
"Ejecutar Atomic Red Team para T1059.001, T1071.001, T1071.004
y verificar que las defensas D3FEND implementadas los detectan"
Mapeo cruzado ejemplo: ransomware defense
| NIST CSF | CIS Control | D3FEND | ATT&CK cubierto |
|---|---|---|---|
| PR.AC: Access Control | 5.2: MFA | D3-CH: MFA | T1078 |
| PR.DS: Data Security | 11.1: Backups | D3-PH: Data Backup | T1486 |
| DE.AE: Anomalies | 10.7: Behavioral AV | D3-PA: Process Analysis | T1059 |
| DE.CM: Monitoring | 8.2: Audit Logs | D3-PM: OS Monitoring | T1547, T1053 |
| DE.CM: Monitoring | 13.3: Network monitoring | D3-NTA: Traffic Analysis | T1071 |
| RS.RP: Response Planning | 17.1: IR plan | — | — |
| RC.RP: Recovery Planning | 11.2: Test backups | D3-PH: Backup test | T1490 |
Conclusión
Los tres frameworks son complementarios, no competidores. NIST CSF para la estrategia, CIS Controls para el plan, D3FEND para la implementación técnica, y ATT&CK para la validación. Una organización madura usa los cuatro. Una organización que empieza debería comenzar por CIS Controls IG1 (lo más práctico) e ir añadiendo capas.
Fuentes y referencias
- NIST: Cybersecurity Framework 2.0
- CIS: CIS Controls v8
- MITRE: D3FEND
- SANS: "Mapping CIS Controls to ATT&CK" (2023)
- NIST: "Mapping NIST CSF to ATT&CK" (2024)
Preguntas frecuentes
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.