top of page
Buscar
Foto del escritorEdgar Salazar

IoC vs IoA: Identificando ciberataques que burlan las defensas tradicionales



La sofisticación de los ataques, las amenazas profundas y las cuestionables y decadentes capas tradicionales de seguridad han hecho que las empresas revisen sus postura de seguridad ante posibles ciberataques.


En el constante enfrentamiento contra los Ladrones de Bytes, es crucial explorar las diferencias entre dos conceptos clave: los Indicadores de Compromiso (IoC) y los Indicadores de Ataques (IoA). Cuando tengas cerca un incidente de seguridad es mejor que entiendas las diferencias detrás de estos términos.

Indicadores de Compromiso (IoC)


Estos son los rastros de actividad sospechosa o maliciosa que nos alertan sobre la presencia de misteriosos maestros de la intrusión en nuestros sistemas. Los IoC son como los rastros de tinta en las manos de un ladrón de bancos, ¡pero para el mundo digital!


Un IoC es un indicador o evidencia que corresponde a un incidente de seguridad propio o de terceros que haya ocurrido, y se utiliza para identificar si el mismo esta siendo utilizado en un nuevo intento de ataque.


En la actualidad los cazadores de amenazas y equipos defensivos comparten información de inteligencia, incluyendo fuentes de IoC para ser utilizados para detectar actividades, comportamientos o ataques que coincidan con los IoC y de esa manera detectar y respoder de forma activa a ciberataques.

  • Utilidad de los IoC: Los IoC son como las alarmas de incendio del mundo de la ciberseguridad. Nos avisan cuando algo está ardiendo y necesitamos actuar. Ayudan a los profesionales de ciberseguridad a investigar y comprender la naturaleza de la intrusión, así como a bloquear o mitigar los ataques en curso.

  • Algunos IoC son:

    • Direcciones IP sospechosas

    • Nombres de dominio maliciosos

    • Hashes de archivos sospechosos

    • Firmas de virus o malware

    • Vulnerabilidades

    • Exploits

    • entre otros.

  • Beneficios:

    • Detección temprana de intrusiones basadas en indicadores conocidos

    • Compartir información entre organizaciones

    • Ayuda a la automatización de la detección

    • Ayuda a la respuesta activa

    • Mejora de la inteligencia de amenazas


Visualización de una alerta generada a través de un IoC en Wazuh a través del modulo de VirusTotal
Visualización de una alerta generada a través de un IoC en Wazuh a través del modulo de VirusTotal


Indicadores de Ataques (IoA)


Los Indicadores de Ataques son las señales que nos indican que un ataque está en marcha, no quiere decir que estos ataques se materializaron en un compromiso, pero esta en curso.


Los IoA tienen como objetivo identificar las tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes. Estos indicadores van más allá de la mera detección del compromiso y nos brindan información valiosa sobre cómo los atacantes están intentando infiltrarse, moverse lateralmente y afectar nuestros sistemas.


En resumen los IoA están asociados a la coincidencia del comportamiento sospechoso que esta realizando un atacante.

  • Algunos IoA son:

    • Ejecución arbitraria de código

    • Escalación de privilegio

    • Creación de usuarios nuevos para mantener persistencia

    • Creación o modificación de procesos

    • Movimientos laterales

    • Explotación de vulnerabilidades

    • Ejecución de script en memoria

    • Entre muchos otros...

  • Beneficios:

    • Detección de ataques sofisticados

    • Análisis de ataques en tiempo real

    • Enfoque proactivo en lugar de reactivo

    • Reducción de falsos positivos

    • Mejora de la respuesta y recuperación


Dashboard Wazuh - Modulo MITRE ATT&CK
Visualización de IoA en el Dashboard Wazuh - Modulo MITRE ATT&CK

Diferencias claves entre ambos


Para que sea entendido, lo explicaremos de la siguiente forma:

  • Los IoC son los atributos que identifican a un atacante o ataque en un momento dado (IPs, Hashs, dominios, firmas de malware, etc) y que son utilizados posteriormente para encontrar coincidencias en el monitoreo de seguridad.

  • Mientras que los IoA son el o los comportamientos conocidos de un atacante y que son utilizados para identificar un ataque en curso.

Recomendaciones

  • Hoy en día los atributos de un atacante pueden cambiar fácilmente, por lo tanto, una defensa basada únicamente en IoC puede suponer falsos positivos o carecer de sentido para ataques avanzados o profundos (APT - Advanced Persistent Threat).

  • La intención no es descartar uno u otro, la idea es poder combinar ambos para ser más efectivos en la detección, respuesta y prevención de ciberataques.


Descubre cómo nuestro vSOC puede proteger tu empresa. ¡Contáctanos hoy mismo para una consulta gratuita!

Recuerda, en el oscuro y emocionante mundo de la ciberseguridad, debemos estar preparados y armados con conocimiento. ¡Así que mantén tus herramientas afiladas, tus sistemas protegidos y tu mente inquisitiva! ¡Hasta la próxima entrada, valientes defensores!

113 visualizaciones

Entradas recientes

Ver todo
bottom of page