IOCs:
La siguiente generación
en la detección de amenazas avanzadas
Con el fin de asegurar y
mantener una infraestructura TI es vital conocer lo que está sucediendo en la
red y lo que se está ejecutando en los Endpoint. Administradores y otras partes
interesadas, necesitan saber si algo inusual está ocurriendo en la red corporativa:
cualquier posible amenaza y/o actividad sospechosa que puede haber sucedido o
está sucediendo realmente dentro de la infraestructura de la empresa.
Hasta ahora, el principal
servicio que la mayoría de las empresas ofrecen para alertar sobre las recientes
amenazas es una suscripción de alerta sobre las últimas vulnerabilidades,
malware, atributos IPs maliciosas, URLs, etc., que pueden causar riesgo para
una organización. Esta información ayuda al personal de Soporte de TI a
planificar y prepararse de forma proactiva para evitar que su organización sea
víctima de un ataque y añadir esa información a los sistemas de seguridad
perimetral de su infraestructura para su detección y prevención.
Tales servicios son comunes en
las industrias de TI y una organización no dudará en pagar una cantidad determinada
para conseguir las recientes actualizaciones a través de la inteligencia de
amenazas que ofrece una empresa de seguridad. Mediante este servicio, una
empresa puede prevenirse de posibles ejecuciones hacia comunicaciones
maliciosas o proteger su infraestructura ante una vulnerabilidad concreta.
Pero, ¿realmente estamos protegiendo nuestra infraestructura? La
respuesta es SI, pero de una manera
incompleta, ya que el valor de estos servicios es muy alto pero la vida de sus
entregables, por norma general, suele ser muy corta.
¿Qué
manera podemos complementar esa protección?
Cada día, los analistas de
seguridad se enfrentan a unir las piezas de distintos eventos de seguridad
relacionados con nuevas amenazas y a una necesidad de compartir incidentes de
seguridad y a tener una más rápida respuesta ante un incidente de ciberseguridad. Estas piezas pueden ser simples observables (una ip, url, un hash…), o
mucho más compleja, donde requieren la ingeniería inversa y un análisis
avanzado. Cuando se han reunido todos esos patrones, el resultado acumulado
equivale a lo que nos referimos como Indicadores de Compromiso (IOC).
¿Qué es IOC?
IOC es la descripción de un
incidente de ciberseguridad, actividad y/o artefacto malicioso mediante
patrones para ser identificado en una red o endpoint pudiendo mejorar así
las capacidades ante la gestión de incidentes.
Si nos centramos en sus casos
de uso, se pueden describir desde un listado de indicadores hasta un incidente
completo de ciberseguridad para su análisis, investigación y/o respuesta, pudiendo
obtener respuesta al ‘Qué, Quién, Por qué, Cómo, Dónde y Cuándo’ de dicho
incidente. Alguno de estos casos de uso podría ser:
· La
recepción de un correo electrónico que falsea información (phishing)
· Los
patrones de comportamiento de una familia de malware.
· Descripción
de una vulnerabilidad concreta y de las acciones para combatirla
· La
distribución de una lista de IPs relacionadas con command and control.
· Compartir
dentro de una comunidad las políticas de acción definidas ante un incidente
determinado, patrones de comportamiento de dicho incidente para que puedan ser
aprovechados por el conocimiento de terceros de forma automática o manual.
· La caracterización de un IOC podrá ser distinta según las necesidades,
tanto para su detección posterior, caracterización o compartición, pudiendo
usar diferentes estándares.
La industria de
la seguridad informática, ha desarrollado soluciones que van mucho más allá de
un antivirus, que permiten a las empresas enfrentar este tipo de amenazas; en
el caso de Panda Security, contamos con Adaptive
Defense es un servicio de detección y respuesta (EDR) que clasifica cada
proceso ejecutado en los equipos de la organización de forma precisa,
permitiendo ejecutar únicamente lo que es lícito.
Adaptive Defense protege
los equipos, servidores, portátiles y usuario móviles de la red corporativa, detectando
y bloqueando el malware y los comportamientos sospechosos, antes de que
sean ejecutados.
No hay comentarios:
Publicar un comentario