INDICADORES DE COMPROMISO
En el ámbito de las infraestructuras de comunicación, la prevención de amenazas y actividades sospechosas que puedan comprometer la seguridad de las redes informáticas constituye una preocupación central.
Se define un incidente de seguridad como un suceso adverso que compromete o intenta comprometer la confidencialidad, integridad o disponibilidad de la información.
La clave para determinar si un comportamiento anormal representa o no un incidente de seguridad (real o sospechado) radica en el análisis preliminar del estado del sistema en un momento dado. Esto implica la verificación de múltiples variables, como el aumento del tráfico de red, el alto consumo de CPU o RAM, la respuesta lenta de los procesos, la ejecución de archivos binarios extraños, cambios en archivos de configuración, entre otros. Estos elementos, combinados, ayudan a detectar o concluir que algo anormal está ocurriendo, lo que lleva a una respuesta acorde con la tipología del evento.
Lamentablemente, en este tipo de análisis, el tiempo puede convertirse en el mayor enemigo, ya que la información sobre el incidente potencial puede provenir de diversas fuentes (verificaciones manuales del sistema por parte del administrador, notificaciones de usuarios, alertas de diferentes herramientas de seguridad y monitoreo instaladas) y puede ser recibida y procesada por distintos actores.
La ventana de tiempo durante la cual se obtiene, correlaciona y analiza estos datos deja el sistema expuesto, mientras que el incidente puede generar un impacto mayor o resultar ser un simple falso positivo, aumentando la carga de trabajo del equipo de respuesta a incidentes.
Los Indicadores de Compromiso (IoC) se utilizan para identificar incidentes de ciberseguridad, actividades maliciosas o artefactos mediante patrones que mejoran la capacidad de acción frente a tales situaciones. Estos patrones son evidencias que pueden existir en redes o computadoras y que se pueden aprovechar para llevar a cabo un ataque.
Por ejemplo, los indicadores de compromiso pueden abarcar nuevos archivos, modificaciones en el registro, o aplicaciones y software que no se han instalado anteriormente. Compartir esta información puede crear una red de apoyo para una respuesta más efectiva a los ataques.
En otras palabras, en el contexto de la seguridad informática, un indicador de compromiso se puede describir como un modelo utilizado para registrar, parametrizar, comparar, categorizar y compartir información disponible sobre el comportamiento de incidentes previamente analizados. Este modelo abarca todas las variables y propiedades clave que podrían llevar a una detección y clasificación efectivas, permitiendo el análisis de elementos relevantes sin perder tiempo en verificaciones adicionales que no ofrecen resultados valiosos.
Importancia Los IoC
Los loC son esenciales para las infraestructuras y dispositivos de comunicación, ya que ayudan a prever ataques mediante la detección de vulnerabilidades similares a las encontradas en dispositivos atacados previamente en otras computadoras. También se pueden utilizar para identificar redes afectadas o ataques en puntos finales que no fueron detectados a tiempo.
Los IoC facilitan el desarrollo de planes de prevención de incidentes de seguridad y fortalecen los sistemas de seguridad para las infraestructuras tecnológicas, mejorando la defensa proporcionada por aplicaciones como el Sistema de Detección de Intrusiones (IDS), el Sistema de Prevención de Intrusiones (IPS), el Cortafuegos, el Antivirus y el SIEM (Sistema de Gestión de Eventos e Información de Seguridad).
Es importante destacar que un IoC es un documento vivo, generalmente en formato XML, para el intercambio de información sobre incidentes de ciberseguridad. En la mayoría de los casos, no es definitivo, sino flexible y fácilmente adaptable. Este documento puede contener todo tipo de evidencia, ya sea específica de un sistema o común a todos los sistemas afectados.
Modelos de Implementación de IoC
Aunque no existe un estándar internacionalmente reconocido, han surgido diferentes modelos de implementación de IoC con el tiempo. A continuación se mencionan algunos de los modelos comúnmente utilizados según las necesidades de la empresa:
- OASIS Cyber Threat Intelligence (CTI): Esta iniciativa cuenta con el respaldo de algunos de los principales fabricantes de productos de seguridad y tiene como objetivo definir y estandarizar un conjunto de representaciones y protocolos de información para abordar la necesidad de analizar, modelar y compartir inteligencia de amenazas cibernéticas.
- IODEF (Formato de Intercambio de Descripción de Objetos de Incidentes) – RFC 5070: Este formato contiene la descripción básica de un esquema XML para el registro de variables técnicas relacionadas con incidentes conocidos y se utiliza principalmente en centros de respuesta a incidentes de seguridad informática (CSIRT). Está dirigido a la automatización del procesamiento de datos de incidentes y proporciona un formato común para construir herramientas interoperables para la gestión de incidentes.
- OpenIoC (Indicadores de Compromiso Abiertos): Este esquema XML extensible publicado bajo la licencia Apache 2 describe características técnicas que identifican una amenaza conocida, la estrategia de un atacante u otras evidencias de compromiso para la detección rápida de violaciones de seguridad en un sistema. Esta iniciativa surgió como parte de las tácticas de respuesta a incidentes creadas por MANDIANT, una empresa conocida a nivel mundial por su análisis de casos de ciberespionaje.
Indicadores de Compromiso Más Comunes
En el proceso de búsqueda para detectar brechas de datos de manera más eficaz, los indicadores de compromiso desempeñan un papel esencial al actuar como alertas fundamentales para reconocer el avance de un ataque y tratar de mitigarlo en las primeras etapas. Diversos indicadores, comúnmente empleados con este propósito, abarcan:
- Indicadores de Anomalías en el Tráfico de Red: Se reconocen como algunas de las señales más esclarecedoras de posibles problemas. Cualquier desplazamiento no convencional en los indicadores de tráfico debería actuar como una señal de advertencia para los administradores. Aunque no necesariamente sea un ataque, se requiere la verificación para descartar indicadores de vulnerabilidades que puedan convertirse en puntos de acceso.
- Indicadores de Variaciones en las Cuentas de Usuario: Alteraciones en los indicadores de comportamiento de los usuarios pueden sugerir que la cuenta correspondiente está siendo utilizada por otra entidad. La observación de cambios en los indicadores de tiempo de actividad, sistemas accedidos, tipo o cantidad de información procesada puede ser valiosa para detectar posibles violaciones en una fase temprana.
- Indicadores de Irregularidades Geográficas: La detección de indicadores de accesos de usuarios desde ubicaciones no vinculadas a la organización o si el mismo usuario inicia sesión desde distintas ubicaciones puede constituir una indicación de posibles problemas. En muchos casos, esto podría indicar que un atacante está empleando indicadores de credenciales comprometidas para acceder a sistemas sensibles.
Spanish 
English