Hoy en día, es importante saber cuales son las diferencias entre los indicadores de compromiso (IOCs) y los Indicadores de ataque (IOAs) al momento que una organización (sin importar el tamaño o el sector en donde se desenvuelve) pueda adoptar y madurar un ecosistema de seguridad escalable a largo plazo. Los indicadores de compromiso están más orientados a la detección de amenazas mediante alguna pieza que lance algún log implementado en los sistemas de seguridad tradicionales, mientras que los indicadores de ataque están más centrados en la atribución y la intensión de los actores de amenazas. En este post, repasaremos brevemente lo que son los IOCs/IOAs y del porqué su importancia en el sector de la ciberseguridad, al menos desde la filosofía de la prevención de ataques.
¿Qué son los IOCs?
Los IOCs se definen como evidencia que demuestran que se ha producido algún tipo de actividad maliciosa o sospechosa. En la mayoría de los escenarios, estos artefactos indican que el equipo on-premise, equipos locales, la red y la aplicación en la nube han sido comprometidos.
En la industria de la ciberseguridad, los ejemplos de indicadores incluyen piezas estáticas de evidencia, tales como: Proceso,
- Nombre de Archivo.
- Hashes (MD5 – SHA1 – SHA256).
- Conexión a un servidor C2 (Command and Control).
- Direcciones IPs.
- Dominios.
- Herramientas.
- Registros de Eventos.
- Valores de Claves de Registro.
- Entre otros.
Dado que estos artefactos son estáticos y «conocidos», cualquier detección es un indicador de un activo comprometido. Además que una de las falencias de los IOCs es su efectividad en el tiempo. Hoy en día, los actores de amenazas no usan un mismo payload para comprometer a una organización, por lo que siempre van a generar nuevas variantes para eludir los sistemas basados en firmas, extracción de HASH (de los payloads) o los C2. En resumen, es un juego del gato y el ratón.
¿Qué son los IOAs?
Los IOAs se centran más en el PORQUÉ y la intención de un actor. En simples palabras, se trata de una visión más estratégica de las TTP de un actor o grupo de amenazas. Cuando se colocan adecuadamente dentro de un programa de inteligencia, los IOAs pueden identificar estrategias proactivas de identificación y defensa contra nuevas amenazas desconocidas.
Los IOAs incluyen pero no se limitan a estos tipos de datos:
- Comportamiento en tiempo real.
- Metadatos de ejecución de código
- Bibliotecas de enlaces dinámicos (DLL).
- Secuencia de eventos.
- Acciones realizadas.
- Comportamiento del usuario en relación con la amenaza digital.
- TTPs vinculados a datos hostiles, como el malware, utilizados en un ataque.
- Componentes persistentes y sigilosos utilizados en un ataque.
Los enfoques de los IOCs y los Antivirus se quedan cortos con la incapacidad de detectar intrusiones y violaciones no estáticas en la infraestructura de la organización. Algunos ejemplos de amenazas son los 0-Day, Exploits y el Fileless Malware, que siguen causando estragos en empresas y organizaciones de todo el mundo. Los 0-Day se explica por sí mismo, nunca se ha visto antes, por lo que no tiene una firma estática. En los malwares que no requieren ser un archivo (exactamente) y se ejecuta mediante procesos en segundo plano, no tiene una firma estática para ser identificados, y los componentes existentes del sistema operativo nativo se utilizan como vehículo de ataque, como lo son PowerShell y WMI. Como resultado, los MSP (Managed Service Provider), los MSSP (Managed Security Services Provider) y los SOC (Security Operation Center) están migrando rápidamente a un enfoque combinado para abordar los IOC y los IOA, complementando su inversión en prevención.
¿Los IOCs están destinados a ser descartados por los IOAs?
En simples palabras, NO.
Los indicadores de compromiso siguen siendo una gran opción para la identificación de amenazas de manera exacta mediante la información que podemos obtener de ello, pero si estamos buscando hoy en día la proactividad ante ataques informáticos, los IOC no son una gran elección (a menos que estemos orientados a la identificación de comportamientos, direcciones IPs de los C2, dominios maliciosos y los softwares usados por estos actores y/o grupos de amenazas). La fusión de estos dos elementos puede ayudar de gran medida a la mejora de disminuir los posibles ataques podamos ser victimas.
Además, para el mundo del análisis avanzado de malwares, los HASH en uno de nuestros mejores aliados para la búsqueda de malwares específicos y poder estudiarlos más en detalle. Dando como punto central del cual fue la carga útil para comprometer a una organización, realizarle ingeniería inversa, ver como es su modo de trabajo y lanzar soluciones para evitar nuevos ataques en un futuro.
Pero, a medida que las tecnologías de defensa vayan avanzando, los actores/grupos de amenazas también irán mejorando de gran medida sus estrategias y tácticas para eludir los controles clásicos y avanzados. Por lo cual, para definir lo que se viene en adelante es mediante esta frase. «El Blue Team no estará buscando en un futuro los archivos, sino que están buscando los comportamientos claves por donde se efectúa/efectuará el ataque. Pero si llegan con el archivo, pueden investigarlo y aprender más sobre ello».
Si deseas conocer más sobre los IOCs, visita nuestro artículo relacionado aquí:
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
