Para centrar esta discusión en torno a los <<Indicadores de Compromiso>>, le proporcionaremos un ejemplo: Robo de un banco.
"Imagine que el equipo de vigilancia de un banco busca evidencia de un robo millonario de la noche anterior, en las pruebas del caso, las cámaras de vídeo permitieron identificar que el ladrón se transportaba en una moto roja, vestía una sudadera verde, una gorra de New York y llevaba consigo un maletín negro de cartón prensado, dentro del maletín, un taladro y nitrógeno líquido para entrar en la bóveda. El equipo de vigilancia identificó exitosamente las características únicas del perfil del delincuente, además se observó su modus operandi en la escena del crimen".
Indicadores de compromiso (Indicators of Compromise - IoCs)
En el ejemplo proporcionado sobre el robo del banco, un IoC describe la evidencia de la vulnerabilidad y exposición de la seguridad de un lugar. Del mismo modo, en el mundo cibernético, los Indicadores de Compromiso evidencian la violación de seguridad de un Endpoint comprometido, describiendo características técnicas de amenazas en la red y, estos datos se recopilan después de ser informado sobre incidente causado, ayudando a para crear soluciones "más inteligentes" que puedan detectar fácilmente archivos sospechosos en el futuro.
Los IoCs son capaces de identificar conductas maliciosas: un email con intenciones de phishing, filtraciones de datos, archivos con malware, distribuciones de IP para un uso relacionado con el cibercrimen, pistas digitales que parecen conectar la red atacada con el presunto ciberdelincuente, etc. En este sentido, los Indicadores de Compromiso toman un papel relevante para la seguridad de la información en las organizaciones, ya que permiten perfilar un incidente, crear una línea base para la identificación de diferentes variables asociadas a ese incidente y comparar el dispositivo afectado contra dichos parámetros para dar respuesta rápida y efectiva.
Planes de prevención y atención de los incidentes Los Indicadores de Compromiso (IoCs) permiten elaborar planes para detectar y prevenir incidentes informáticos y así fortalecer los sistemas de ciberseguridad de las infraestructuras de las organizaciones.
Estos planes de prevención incluyen la implementación de diferentes controles de ciberseguridad para reducir el riesgo de materialización de un ciberataque; estos son algunos de los controles de seguridad que se pueden implementar son:
Sistemas de detección de intrusos (IDS)
Sistemas de protección del Endpoint (EDR)
Sistemas de prevención de intrusos (IPS)
Sistema de detección de intrusiones en un host (HIDS)
Sistema de prevención de intrusiones en un host (HIPS)
Firewalls
Sistemas de control de fuga de información confidencial (DLP)
Sistemas de monitoreo de bases de datos
(Imagen: Ciclo de aplicación de un IoC durante un incidente, documento vivo en continuo cambio de forma recursiva)
¿Qué sucede cuando el mismo ladrón del banco usa una sudadera morada, un sombrero de ala corta, una maleta deportiva y conduce un auto rojo? ¿Cuál es el resultado? Claramente el ladrón de bancos tendría el éxito ¿Por qué? Aunque identifiquen las características y conductas específicas del delincuente en el crimen, el equipo de vigilancia sigue confiando en indicadores que reflejan un perfil desactualizado (IoC).
Indicadores de Ataque (Indicators of Attacks - IoAs)
Un ladrón inteligente comenzaría con un reconocimiento del banco para entender cualquier vulnerabilidad defensiva. "Una vez que determine el mejor momento y tácticas para atacar, procede a ingresar al banco, desactiva el sistema de seguridad y se mueve hacia la bóveda con intentos de abrir, si tiene éxito, obtiene el botín y escapa sin incidentes, de esta manera, completa la misión". En el caso de los IoAs son una serie de comportamientos que un ladrón de bancos debe exhibir para lograr su objetivo, como: tiene que conducir alrededor del banco (identifica el objetivo), estaciona e ingresa al edificio antes de poder ingresar a la bóveda y, sino desactiva el sistema de seguridad, sonará cuando ingrese a la bóveda y tome el dinero.
Cuando hablamos de la seguridad informática en la red, los IoCs se centran en soluciones de detección en equipos, en cambio los IoAs detectan la intención del atacante que intenta hackear, logrando de esta manera, no intervenir durante el ciberataque, sino cuando se está produciendo o incluso antes de que llegue a constituir una amenaza real. Este término de Indicadores de Ataque, ha sido utilizado por empresas de seguridad informática para referirse a la evidencia digital forense de un ataque cibernético que está ocurriendo o probablemente ocurrirá en el futuro.
El nuevo reto de la ciberseguridad
Actualmente, estamos viviendo cambios significativos en la seguridad de la información de las organizaciones debido al COVID-19, las organizaciones se han tenido que someter a nuevas experiencias de transformación y reestructuración de una nueva “normalidad”, por esta razón es fundamental alentar en la preparación de reportes de operaciones sospechosas (ROS) que evidencien actividades y comportamientos significativos en la red, para realizar una revisión oportuna de los desafíos asociados con la información vulnerable de una organización.
Debido al nuevo terreno dinámico de los adversarios y las campañas de amenazas, es redundante realizar un seguimiento de estas amenazas sin contexto y contextualización adicional, consiguiente el manejo de Indicadores de Compromiso como MD5, SHA256 y artefactos similares que representan archivos sospechosos o maliciosos específicos, son útiles para establecer una identificación única de un malware específico y muestras maliciosas de los incidente de seguridad.
El enfoque de detección del futuro
La detección y prevención únicamente basada en IoC no puede detectar las crecientes amenazas de intrusiones libres del malware y exploits, como resultado, las soluciones organizaciones de seguridad se están moviendo hacia un enfoque basado en la fusión de los Indicadores de Compromiso e Indicadores de Ataque.
Cuando los administradores de seguridad de una organización tienen claro cuál es la infraestructura crítica que soporta los procesos del negocio, la respuesta de los Indicadores de Compromiso responderá puntualmente ante esa infraestructura, evitando la pérdida de tiempo y de recursos en la protección de otras infraestructuras que no son críticas para la organización. La importancia de los Indicadores de Compromiso para la industria de la seguridad informática representa el análisis evaluativo y de los Indicadores de Ataque, como una excelente herramienta de generación de informes para la detección y solución de los ataques cibernéticos.
El futuro de la ciberseguridad de las organizaciones debe tener claro que los IoC son útiles y muy necesarios, pero cualquier compañía interesada en proteger su información de forma proactiva y eficaz, debe centrarse en desarrollar estrategias de investigación basadas en IoAs para eliminar el peligro antes que se convierta en un incidente real.
Referencia: IOC Security -Blog crowdstrike.com