¿Qué son los indicadores de peligro?
Los indicadores de peligro (IOC) se consideran a menudo "migas de pan digitales". Contienen las pruebas que demuestran que se está produciendo un ciberataque. Además, los IOC pueden proporcionar información sobre qué herramientas se están utilizando durante un ciberataque, quién lo está llevando a cabo y más.
Sobre los indicadores de peligro
Los equipos de seguridad utilizan indicadores de peligro para detectar amenazas o actividades maliciosas. Estos indicadores pueden integrarse en la supervisión de ciberseguridad de su empresa. Le pueden ayudar a detener un ciberataque en curso. Además, puede utilizar los IOC para detectar y detener el ransomware, el malware y otras ciberamenazas antes de que se produzcan filtraciones de datos.
¿Cómo funcionan los indicadores de peligro?
Cuando un ciberdelincuente ataca su empresa, deja una huella digital. Después de un ciberataque, por ejemplo, su equipo de seguridad puede detectar la actividad cibercriminal en los archivos de sus sistemas y los archivos de registro. En ese momento, su equipo puede recopilar datos forenses digitales de esos sistemas y archivos. A partir de ahí, podrán determinar si el ciberataque o la filtración de datos está en curso o ya se ha producido.
Su equipo de seguridad puede buscar indicadores de peligro en toda su infraestructura de TI. O bien, puede contratar a un proveedor de servicios de seguridad gestionada (MSSP) para que busque indicadores de peligro (IOC) en su nombre. En cualquiera de los dos casos, es posible utilizar tecnologías y herramientas avanzadas para comprobar y analizar el tráfico de su red y otras fuentes en busca de IOC. Si se identifica alguna actividad sospechosa, podrá aislarse de la manera adecuada.
Tipos de indicadores de peligro
Red
Entre los indicadores de peligro de red se incluyen patrones de tráfico inusuales, conexiones a direcciones IP o dominios maliciosos y otros indicios de actividad sospechosa en una red. Para detectar estos IOC se pueden utilizar sistemas de detección de intrusiones (IDS), sistemas de gestión de información y eventos de seguridad (SIEM) y otras herramientas de supervisión de red.
Basados en el host
Entre estos se incluyen una actividad de archivos inusual, cambios en la configuración del sistema y otros indicios de actividades sospechosas en un ordenador o servidor. Su empresa puede detectar indicadores de peligro basados en el host con soluciones de detección y respuesta en endpoints (EDR), detección y respuesta ampliadas (XDR) y otras herramientas de seguridad para endpoints.
Basados en archivos
Los indicadores de peligro basados en archivos sugieren la presencia de archivos del sistema maliciosos o de malware. Entre otros ejemplos de indicadores de peligro basados en archivos se incluyen hashes, nombres de archivo y rutas de archivo sospechosos. Para detectarlos, se suelen utilizar herramientas de EDR y espacios seguros.
Comportamentales
Los indicadores de peligro comportamentales como, por ejemplo, múltiples intentos de inicio de sesión fallidos, así como horas de inicio de sesión inusuales, indican actividades sospechosas de los usuarios en un sistema o una red. Para identificar estos IOC, se pueden utilizar herramientas de supervisión de usuarios, como soluciones de análisis del comportamiento de usuarios y entidades (UEBA).
Ejemplos de indicadores de peligro
- Un pico o una ralentización del tráfico de la red o cualquier actividad de tráfico de red saliente inusual
- Un aumento de los privilegios de acceso de usuario para una cuenta específica, el uso de una cuenta para acceder a otras que proporcionen al usuario privilegios adicionales u otras anomalías en cuentas de usuarios con privilegios
- Inicios de sesión de cuentas que se encuentran fuera del país donde está su empresa
- Múltiples intentos de inicio de sesión fallidos en una misma cuenta
- Múltiples solicitudes de acceso a un único archivo
- Uso de un puerto de la red que antes no estaba en uso
- Cambios no autorizados en los archivos de registro o del sistema
- Solicitudes de sistema de nombre de dominio (DNS) que se producen de forma repentina y sin previo aviso
Ciclo de vida de los indicadores de peligro
1. Descubrimiento
Su empresa puede descubrir indicadores de peligro mediante:
- Revisión de los archivos de registro.
- Análisis del tráfico de la red.
- Escaneados de seguridad.
- Alertas de seguridad de los dispositivos y el software.
2. Evaluación
Entre las numerosas herramientas y tecnologías existentes para detectar una posible amenaza se incluyen:
- Análisis del tráfico de la red
- Análisis de software malicioso
- Análisis del sistema
- Información sobre amenazas
3. Uso compartido
Cuando haya determinado cuáles son los indicadores de peligro, podrá compartirlos con sus empleados, las fuerzas del orden o con otras empresas de su sector. Cuando lo haga, podrá:
- Encontrar nuevas formas de protegerse de las amenazas.
- Identificar tendencias y patrones de ciberataques.
- Agilizar la respuesta y la reparación de los incidentes.
4. Despliegue
En este punto, puede desplegar controles de seguridad para reforzar su postura de ciberseguridad. Resulta beneficioso establecer varias capas de controles para optimizar su ciberseguridad
5. Detección y respuesta
Puede utilizar distintas herramientas y técnicas para detectar IOC. Si se identifica un IOC, puede:
- Aislar el sistema o la red afectados para evitar la propagación de la amenaza.
- Bloquear el tráfico de red sospechoso, poner en cuarentena los sistemas infectados o adoptar otras medidas para hacer frente a la amenaza.
- Notificar el incidente a las partes interesadas y las acciones adoptadas para solucionarlo.
6. Fin de vida útil (EOL)
Un IOC llega al final de su vida cuando se ha mitigado eficazmente. Entre los factores que pueden hacer que un indicador de peligro deje de ser relevante se incluyen:
- Cambios tecnológicos: un IOC puede quedar obsoleto cuando dejan de utilizarse determinadas tecnologías.
- Evolución del panorama de ciberamenazas: las amenazas a las que se enfrenta pueden cambiar a medida que evoluciona el panorama de las ciberamenazas.
- Mejoras de seguridad: los IOC pueden volverse redundantes o innecesarios si invierte en las herramientas o tecnologías de seguridad más modernas.
¿Qué es un indicador de ataque (IOA)?
Un indicador de ataque (IOA) es una prueba que demuestra las intenciones de un ciberdelincuente de atacar su empresa. Para comprender cómo funciona un IOA, veamos un ejemplo:
Durante los ataques de phishing, los ciberdelincuentes intentan que un objetivo haga clic en un enlace o abra un documento que infecte su dispositivo. Para lograrlo, deben identificar posibles objetivos y determinar cómo atraer su atención. Además, deben realizar distintas acciones para conseguir que las víctimas se descarguen el software malicioso.
Los IOA dirigen la atención hacia los pasos que siguen los ciberdelincuentes para iniciar ataques. Si se está atento a estas fases, su empresa puede cerrar brechas de seguridad. Y, lo más importante, podrá detener los ciberataques en sus primeras etapas e incluso antes de que ocurran.
Ejemplos de indicadores de ataque
- Comunicación entre servidores públicos que habitualmente no intercambian información
- Comunicación entre hosts internos con destinatarios que se encuentran fuera del país donde opera su empresa
- Conexiones a puertos no estándar
- Malware que reaparece pocos minutos después de haberlo eliminado de un equipo infectado
- Inicio de sesión de un usuario desde distintas regiones
Diferencias entre indicadores de peligro e indicadores de ataque
Los indicadores de peligro son pruebas que demuestran que se está produciendo un ciberataque o que ya se ha producido. Usted puede detectar los IOC en el momento en que un ciberdelincuente ataca su empresa. Estos indicadores pueden ayudarle a analizar el impacto de un ataque.
Por otra parte, los indicadores de ataque son pruebas que demuestran que podría ser objetivo de un ciberataque en breve. Los IOA se pueden detectar antes de que se materialice el ataque o la filtración de datos. Si gestiona correctamente los IOA, quizás pueda evitar filtraciones de datos.
Ventajas de la supervisión de los indicadores de peligro
Supervisar los IOC le ayudará a detectar y responder con rapidez a incidentes de seguridad. Si no los tiene en cuenta, estos incidentes pueden provocar interrupciones en su empresa, empleados y clientes. Estos incidentes podrían dañar la reputación de su marca y sus resultados financieros. También pueden comprometer datos sensibles de su empresa, lo que podría llevar al incumplimiento de obligaciones normativas y a la imposición de sanciones.
Retos que plantea la supervisión de indicadores de peligro
La detección de IOC es reactiva, no proactiva. Su empresa debe esperar a que se produzca alguna ciberamenaza en cualquier parte de su infraestructura para poder detectar un IOC. Si quiere actuar de forma proactiva en cuanto a su ciberseguridad, su organización puede invertir en productos y servicios de prevención más robustos. De este modo, podrá utilizar los IOC como complemento de su estrategia global de ciberseguridad.
Prácticas recomendadas para la gestión de IOC
- Establezca controles de gestión de acceso e identidad (IAM) para identificar de forma rápida y sencilla quién dispone de acceso a sus datos, sistemas y redes.
- Segmente sus redes, ya que de este manera si un ciberdelincuente se infiltra en alguna de ellas, podrá reducir el riesgo de que este las comprometa todas.
- Utilice la información sobre amenazas para mantenerse al día del panorama de ciberamenazas, realizar un seguimiento de las amenazas actuales y emergentes, y encontrar las mejores formas de protegerse contra ellas.
- Utilice plataformas de detección y respuesta gestionadas (MDR), EDR, XDR e información sobre amenazas, así como otras herramientas y tecnologías de seguridad para gestionar los IOC.
- Automatice el análisis y la correlación de indicadores de compromiso para poder priorizar las alertas de IOC más urgentes en función de su gravedad y responder inmediatamente a las amenazas críticas.
- Establezca un plan de respuesta a incidentes que le permita aprovechar los IOC para evaluar la gravedad de un incidente y solucionarlo de la manera más rápida y eficiente posible.
- Asóciese con un MSSP que pueda analizar su postura de ciberseguridad, identificar lagunas y ayudarle a determinar las mejores formas de abordar vulnerabilidades de seguridad actuales y futuras.
- Comparta los IOC con partners de la industria para poder colaborar con ellos y hacer frente a las ciberamenazas en todo su sector.
- Revise los IOC regularmente y cree una política de retención basada en los requisitos normativos del sector y las necesidades de su empresa.
Proporcione formación a sus empleados sobre los IOC, qué son, cómo funcionan y cómo pueden ayudar en la protección contra las ciberamenazas.
Tema de seguridad relacionado: ¿Qué es un cebo en ciberseguridad?