Con el fin de asegurar y mantener una infraestructura TI es vital conocer lo que está sucediendo en la red y lo que se está ejecutando en los Endpoint. Eso significa que, administradores y otras partes interesadas, necesitan saber si algo inusual está ocurriendo en la red corporativa. Cuando hablamos de “inusual” nos referimos a cualquier posible amenaza y/o actividad sospechosa que puede haber sucedido o está sucediendo realmente dentro de la infraestructura de la empresa.
Hasta ahora, el principal servicio que la mayoría de las empresas ofrecen para alertar sobre las últimas amenazas es el de ofrecer una suscripción sobre las últimas vulnerabilidades, malware, atributos IPs maliciosas, URLs, etc., que pueden causar riesgo para una organización. Esta información ayudará a los ingenieros para planificar y prepararse de forma proactiva para evitar que su organización caiga bajo un ataque y añadir esa información a los sistemas de seguridad perimetral de su infraestructura para su detección y prevención.
Tales servicios son ahora comunes en las industrias de TI y una organización no dudará en pagar una cantidad determinada para conseguir las últimas actualizaciones a través de la inteligencia de amenazas que ofrece una empresa de seguridad.
Hasta aquí bien, ya que mediante este servicio, una empresa puede prevenirse de posibles ejecuciones hacia comunicaciones maliciosas o poder combatir su infraestructura ante por una vulnerabilidad concreta. Pero, ¿realmente estamos protegiendo nuestra infraestructura? La respuesta es SI, pero de una manera incompleta, ya que el valor de estos servicios es muy alto pero la vida de sus entregables, por norma general, suele ser muy corta.
¿De qué manera podemos complementar esa protección?
Siguiente generación en la detección de amenazas avanzadas.
Cada día, los analistas de seguridad se enfrentan a unir las piezas de distintos eventos de seguridad relacionados con nuevas amenazas y a una necesidad de compartir incidentes de seguridad y a tener una más rápida respuesta ante un incidente de ciberseguridad. Estas piezas pueden ser simples observables (una ip, url, un hash…), o mucho más compleja, donde requieren la ingeniería inversa y un análisis avanzado. Cuando se han reunido todos esos patrones, el resultado acumulado equivale a lo que nos referimos como Indicadores de Compromiso (IOC). Para muchos, si se les habla de IOCs, es como si les hablaran en otro idioma, pero los analistas de seguridad deben estar familiarizados con el concepto IOC y todas sus capacidades.
Para empezar vamos a definir el término IOC:
IOC es la descripción de un incidente de ciberseguridad, actividad y/o artefacto malicioso mediante patrones para ser identificado en una red o endpoint pudiendo mejorar así las capacidades ante la gestión de incidentes.
¿Parece sencillo, no?
Si nos centramos en sus casos de uso, se pueden describir desde un listado de indicadores hasta un incidente completo de ciberseguridad para su análisis, investigación y/o respuesta, pudiendo obtener respuesta al ‘Qué, Quién, Por qué, Cómo, Dónde y Cuándo’ de dicho incidente. Alguno de estos casos de uso podría ser:
- La recepción de un correo electrónico que falsea información (phishing)
- Los patrones de comportamiento de una familia de malware.
- Descripción de una vulnerabilidad concreta y de las acciones para combatirla
- La distribución de una lista de IPs relacionadas con command and control.
- Compartir dentro de una comunidad las políticas de acción definidas ante un incidente determinado, patrones de comportamiento de dicho incidente para que puedan ser aprovechados por el conocimiento de terceros de forma automática o manual.
La caracterización de un IOC podrá ser distinta según las necesidades, tanto para su detección posterior, caracterización o compartición, pudiendo usar diferentes estándares.
Esto es sólo una breve introducción a IOCs, pero mediante este blog, en siguientes artículos, queremos profundizar más y así ayudar aquellos analistas de seguridad interesados en el tema. Estos serán alguno de ellos:
- ¿Qué estándares existen en la actualidad para describir IOCs? Estado del arte, beneficios, casos de uso,…
- ¿Cómo podemos caracterizar un Indicador de Compromiso?
- ¿Cómo podemos llegar a compartir Indicadores de Compromiso?
- Exactitud en un IOC: Calidad, Tiempo de vida.
David Pérez
Analista Ciber-seguridad