IOCs: La siguiente generación en la detección de amenazas avanzadas
Con el fin de asegurar y mantener una infraestructura TI es vital conocer lo que está sucediendo en la red y lo que se está ejecutando en los Endpoint. Administradores y otras partes interesadas, necesitan saber si algo inusual está ocurriendo en la red corporativa: cualquier posible amenaza y/o actividad sospechosa que puede haber sucedido o está sucediendo realmente dentro de la infraestructura de la empresa.
Hasta ahora, el principal servicio que la mayoría de las empresas ofrecen para alertar sobre las últimas amenazas es una suscripción de alerta sobre las últimas vulnerabilidades, malware, atributos IPs maliciosas, URLs, etc., que pueden causar riesgo para una organización. Esta información ayuda al personal de Soporte de TI a planificar y prepararse de forma proactiva para evitar que su organización sea víctima de un ataque y añadir esa información a los sistemas de seguridad perimetral de su infraestructura para su detección y prevención.
Tales servicios son comunes en las industrias de TI y una organización no dudará en pagar una cantidad determinada para conseguir las últimas actualizaciones a través de la inteligencia de amenazas que ofrece una empresa de seguridad. Mediante este servicio, una empresa puede prevenirse de posibles ejecuciones hacia comunicaciones maliciosas o proteger su infraestructura ante una vulnerabilidad concreta. Pero, ¿realmente estamos protegiendo nuestra infraestructura? La respuesta es SI, pero de una manera incompleta, ya que el valor de estos servicios es muy alto pero la vida de sus entregables, por norma general, suele ser muy corta.
¿De qué manera podemos complementar esa protección?
Cada día, los analistas de seguridad se enfrentan a unir las piezas de distintos eventos de seguridad relacionados con nuevas amenazas y a una necesidad de compartir incidentes de seguridad y a tener una más rápida respuesta ante un incidente de ciberseguridad. Estas piezas pueden ser simples observables (una ip, url, un hash…), o mucho más compleja, donde requieren la ingeniería inversa y un análisis avanzado. Cuando se han reunido todos esos patrones, el resultado acumulado equivale a lo que nos referimos como Indicadores de Compromiso (IOC).
¿Qué es IOC?
IOC es la descripción de un incidente de ciberseguridad, actividad y/o artefacto malicioso mediante patrones para ser identificado en una red o endpoint pudiendo mejorar así las capacidades ante la gestión de incidentes.
Si nos centramos en sus casos de uso, se pueden describir desde un listado de indicadores hasta un incidente completo de ciberseguridad para su análisis, investigación y/o respuesta, pudiendo obtener respuesta al ‘Qué, Quién, Por qué, Cómo, Dónde y Cuándo’ de dicho incidente. Alguno de estos casos de uso podría ser:
- La recepción de un correo electrónico que falsea información (phishing)
- Los patrones de comportamiento de una familia de malware.
- Descripción de una vulnerabilidad concreta y de las acciones para combatirla
- La distribución de una lista de IPs relacionadas con command and control.
- Compartir dentro de una comunidad las políticas de acción definidas ante un incidente determinado, patrones de comportamiento de dicho incidente para que puedan ser aprovechados por el conocimiento de terceros de forma automática o manual.
- La caracterización de un IOC podrá ser distinta según las necesidades, tanto para su detección posterior, caracterización o compartición, pudiendo usar diferentes estándares.
La industria de la seguridad informática, ha desarrollado soluciones que van mucho más allá de un antivirus, que permiten a las empresas enfrentar este tipo de amenazas; en el caso de Panda Security, contamos con Adaptive Defense es un servicio de detección y respuesta (EDR) que clasifica cada proceso ejecutado en los equipos de la organización de forma precisa, permitiendo ejecutar únicamente lo que es lícito.
Adaptive Defense protege los equipos, servidores, portátiles y usuario móviles de la red corporativa, detectando y bloqueando el malware y los comportamientos sospechosos, antes de que sean ejecutados.
Sobre Panda Security
Fundada en 1990, Panda Security es la empresa líder a nivel mundial en soluciones de seguridad basadas en la nube. Con sede en España, la compañía cuenta con presencia directa en más de 80 países, productos traducidos a más de 23 idiomas y millones de clientes en todo el mundo. Su misión es simplificar la complejidad creando nuevas y mejores soluciones para salvaguardar la vida digital de sus usuarios. Como parte de su política de Responsabilidad Social Corporativa, Panda Security colabora con el Proyecto Stella para promover la inserción social y laboral de personas con síndrome de Down y otras discapacidades intelectuales. Para más información, visite http://www.pandasecurity.com/.