Site icon Panda Security Mediacenter

IOCs, una palabra de moda, un tema caliente. Pero, ¿realmente conocemos sus capacidades?

IOCs

Con el fin de asegurar y mantener una infraestructura TI es vital conocer lo que está sucediendo en la red y lo que se está ejecutando en los Endpoint. Eso significa que, administradores y otras partes interesadas, necesitan saber si algo inusual está ocurriendo en la red corporativa. Cuando hablamos de “inusual” nos referimos a cualquier posible amenaza y/o actividad sospechosa que puede haber sucedido o está sucediendo realmente dentro de la infraestructura de la empresa.

Hasta ahora, el principal servicio que la mayoría de las empresas ofrecen para alertar sobre las últimas amenazas es el de ofrecer una suscripción sobre las últimas vulnerabilidades, malware, atributos IPs maliciosas, URLs, etc., que pueden causar riesgo para una organización. Esta información ayudará a los ingenieros para planificar y prepararse de forma proactiva para evitar que su organización caiga bajo un ataque y añadir esa información a los sistemas de seguridad perimetral de su infraestructura para su detección y prevención.

Tales servicios son ahora comunes en las industrias de TI y una organización no dudará en pagar una cantidad determinada para conseguir las últimas actualizaciones a través de la inteligencia de amenazas que ofrece una empresa de seguridad.

Hasta aquí bien, ya que mediante este servicio, una empresa puede prevenirse de posibles ejecuciones hacia comunicaciones maliciosas o poder combatir su infraestructura ante por una vulnerabilidad concreta. Pero, ¿realmente estamos protegiendo nuestra infraestructura? La respuesta es SI, pero de una manera incompleta, ya que el valor de estos servicios es muy alto pero la vida de sus entregables, por norma general, suele ser muy corta.

¿De qué manera podemos complementar esa protección?

 

Siguiente generación en la detección de amenazas avanzadas.

Cada día, los analistas de seguridad se enfrentan a unir las piezas de distintos eventos de seguridad relacionados con nuevas amenazas y a una necesidad de compartir incidentes de seguridad y a tener una más rápida respuesta ante un incidente de ciberseguridad. Estas piezas pueden ser simples observables (una ip, url, un hash…), o mucho más compleja, donde requieren la ingeniería inversa y un análisis avanzado. Cuando se han reunido todos esos patrones, el resultado acumulado equivale a lo que nos referimos como Indicadores de Compromiso (IOC). Para muchos, si se les habla de IOCs, es como si les hablaran en otro idioma, pero los analistas de seguridad deben estar familiarizados con el concepto IOC y todas sus capacidades.

Para empezar vamos a definir el término IOC:

IOC es la descripción de un incidente de ciberseguridad, actividad y/o artefacto malicioso mediante patrones para ser identificado en una red o endpoint pudiendo mejorar  así las capacidades ante la gestión de incidentes.

¿Parece sencillo, no?

Si nos centramos en sus casos de uso, se pueden describir desde un listado de indicadores hasta un incidente completo de ciberseguridad para su análisis, investigación y/o respuesta, pudiendo obtener respuesta al ‘Qué, Quién, Por qué, Cómo, Dónde y Cuándo’ de dicho incidente. Alguno de estos casos de uso podría ser:

La caracterización de un IOC podrá ser distinta según las necesidades, tanto para su detección posterior, caracterización o compartición, pudiendo usar diferentes estándares.

Esto es sólo una breve introducción a IOCs, pero mediante este blog, en siguientes artículos, queremos profundizar más y así ayudar aquellos analistas de seguridad interesados en el tema. Estos serán alguno de ellos:

 

Autor:

David Pérez
Analista Ciber-seguridad

 

Exit mobile version