Foto de Immo Wegmann en Unsplash
La sofisticación de los ataques, las amenazas profundas y las cuestionables y decadentes capas tradicionales de seguridad han hecho que las empresas revisen sus postura de seguridad ante posibles ciberataques.
En el constante enfrentamiento contra los Ladrones de Bytes, es crucial explorar las diferencias entre dos conceptos clave: los Indicadores de Compromiso (IoC) y los Indicadores de Ataques (IoA). Cuando tengas cerca un incidente de seguridad es mejor que entiendas las diferencias detrás de estos términos.
Indicadores de Compromiso (IoC)
Estos son los rastros de actividad sospechosa o maliciosa que nos alertan sobre la presencia de misteriosos maestros de la intrusión en nuestros sistemas. Los IoC son como los rastros de tinta en las manos de un ladrón de bancos, ¡pero para el mundo digital!
Un IoC es un indicador o evidencia que corresponde a un incidente de seguridad propio o de terceros que haya ocurrido, y se utiliza para identificar si el mismo esta siendo utilizado en un nuevo intento de ataque.
En la actualidad los cazadores de amenazas y equipos defensivos comparten información de inteligencia, incluyendo fuentes de IoC para ser utilizados para detectar actividades, comportamientos o ataques que coincidan con los IoC y de esa manera detectar y respoder de forma activa a ciberataques.
Utilidad de los IoC: Los IoC son como las alarmas de incendio del mundo de la ciberseguridad. Nos avisan cuando algo está ardiendo y necesitamos actuar. Ayudan a los profesionales de ciberseguridad a investigar y comprender la naturaleza de la intrusión, así como a bloquear o mitigar los ataques en curso.
Algunos IoC son:
Direcciones IP sospechosas
Nombres de dominio maliciosos
Hashes de archivos sospechosos
Firmas de virus o malware
Vulnerabilidades
Exploits
entre otros.
Beneficios:
Detección temprana de intrusiones basadas en indicadores conocidos
Compartir información entre organizaciones
Ayuda a la automatización de la detección
Ayuda a la respuesta activa
Mejora de la inteligencia de amenazas
Indicadores de Ataques (IoA)
Los Indicadores de Ataques son las señales que nos indican que un ataque está en marcha, no quiere decir que estos ataques se materializaron en un compromiso, pero esta en curso.
Los IoA tienen como objetivo identificar las tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes. Estos indicadores van más allá de la mera detección del compromiso y nos brindan información valiosa sobre cómo los atacantes están intentando infiltrarse, moverse lateralmente y afectar nuestros sistemas.
En resumen los IoA están asociados a la coincidencia del comportamiento sospechoso que esta realizando un atacante.
Algunos IoA son:
Ejecución arbitraria de código
Escalación de privilegio
Creación de usuarios nuevos para mantener persistencia
Creación o modificación de procesos
Movimientos laterales
Explotación de vulnerabilidades
Ejecución de script en memoria
Entre muchos otros...
Beneficios:
Detección de ataques sofisticados
Análisis de ataques en tiempo real
Enfoque proactivo en lugar de reactivo
Reducción de falsos positivos
Mejora de la respuesta y recuperación
Diferencias claves entre ambos
Para que sea entendido, lo explicaremos de la siguiente forma:
Los IoC son los atributos que identifican a un atacante o ataque en un momento dado (IPs, Hashs, dominios, firmas de malware, etc) y que son utilizados posteriormente para encontrar coincidencias en el monitoreo de seguridad.
Mientras que los IoA son el o los comportamientos conocidos de un atacante y que son utilizados para identificar un ataque en curso.
Recomendaciones
Hoy en día los atributos de un atacante pueden cambiar fácilmente, por lo tanto, una defensa basada únicamente en IoC puede suponer falsos positivos o carecer de sentido para ataques avanzados o profundos (APT - Advanced Persistent Threat).
La intención no es descartar uno u otro, la idea es poder combinar ambos para ser más efectivos en la detección, respuesta y prevención de ciberataques.
Descubre cómo nuestro vSOC puede proteger tu empresa. ¡Contáctanos hoy mismo para una consulta gratuita!
Recuerda, en el oscuro y emocionante mundo de la ciberseguridad, debemos estar preparados y armados con conocimiento. ¡Así que mantén tus herramientas afiladas, tus sistemas protegidos y tu mente inquisitiva! ¡Hasta la próxima entrada, valientes defensores!