De los indicadores de compromiso (IoC), a los indicadores de ataque (IoA).
El nivel de amenaza nunca ha sido tan alto para las organizaciones en su vasta tarea de proteger sus valiosos activos. Los titulares dan fe de que ninguna empresa es completamente inmune a los ataques dirigidos por parte de adversarios persistentes y nuevas amenazas emergentes.
Un Indicador de Compromiso (IoC), es un dato que surge producto de alguna actividad sospechosa en nuestro sistema y que nos aporta información sobre el comportamiento, característica o descripción de una posible amenaza. Deduzcamos entonces que funciona como evidencia que nos permite confirmar que algún dispositivo está comprometido con algún malware.
Esta evidencia puede ser utilizada para prevenir futuros ataques. Los indicadores de compromiso pueden surgir bajo la forma de un archivo, un proceso en el administrador de tareas, una URL o una dirección IP. Sumado, algún comportamiento anómalo en el tráfico web, quizá intentos de inicio de sesión fallidos, entre otros tantos más.
Queda a la vista entonces que, los Indicadores de Compromiso (IoC), constituyen una postura reactiva, pues vamos a reaccionar en función de un comportamiento sospechoso.
En contraposición, los Indicadores de Ataques (IoA), representan una postura proactiva, en la que los equipos de defensa o equipos azules (Blue Teams) buscan señales de advertencia temprana sobre la potencial aparecida de un ataque que pudiese estar en vías de configuración como, por ejemplo; una posible ejecución de código, alguna forma de persistencia, un posible intento de control de comando o bien, algún movimiento lateral dentro de la red.
Es la diferencia entre llegar a la escena del crimen después de que el crimen ha ocurrido y tratar de recrear el crimen en base a la evidencia dejada atrás, versus estar atento a los indicadores más sutiles de que un ataque es inminente o ya está en progreso.
El éxito sin precedentes de los ataques contra grandes y bien equipadas organizaciones de todo el mundo ha llevado a muchos expertos de la ciberseguridad a cuestionar la eficacia de los modelos de defensas en profundidad o en capas tradicionales, como su escudo prioritario contra ataques dirigidos. Incluso, hemos visto como muchas organizaciones han comenzado trabajar en mejores prácticas de ciberseguridad.
Es decir, se busca detectar y prevenir ataques sofisticados a través de equipos internos de expertos en ciberseguridad defensiva, que funcionan como alfabetizadores y/o agentes de programas de conciencia; con el fin de convertir a los recursos internos en cazadores de amenazas, mejorando de forma proactiva los procedimientos de seguridad de la información de la empresa y mitigando errores y trampas comunes.
Si somos capaces de identificar Indicadores de Ataque (IOA), podríamos frustrar los intentos de ataque antes de que se comprometa a la empresa.
La táctica más común y aún la más exitosa, de los adversarios, son los ataques de phishing y/o spearphishing. Osea, un correo electrónico de phishing exitoso debe persuadir al objetivo para que haga clic en un enlace o abra un documento que infectará su máquina. “La vieja confiable”, diríamos.
Sin mayor esfuerzo, sin el despliegue de grandes esfuerzos, un objetivo a través de estas técnicas puede ser comprometido. Una vez engañado el usuario, el atacante ejecutará silenciosamente otro proceso, se ocultará en la memoria o en el disco y mantendrá la persistencia en los reinicios del sistema. El siguiente paso es ponerse en contacto con un sitio de comando y control, informando a sus manejadores que espera más instrucciones.
Un subproducto del enfoque IoA es la capacidad de recopilar y analizar exactamente lo que está sucediendo en la red en tiempo real. Por eso emergen tendencias como la inteligencia de amenazas y el “threat hunting”. La propia naturaleza de observar los comportamientos mientras se ejecutan es equivalente a observar mediante una cámara de video el espacio protegido y anticiparse al delincuente.
Al registrar cada acción a medida que se lleva a cabo, los IoA le muestran exactamente cómo un adversario se deslizó en su entorno, accedió a los archivos, descargó contraseñas, se movió lateralmente en su red y quizás eventualmente exfiltró sus datos.
Deduzca usted… Un Indicador de Compromiso (IoC), es un dato que surge producto de alguna actividad sospechosa en nuestro sistema. En contraparte, un Indicador de Ataque (IoA), representan una postura proactiva, en ejecución viva, en la que los equipos de defensa buscan señales sospechosas en vivo, sobre un ataque que pudiese estar en vías de configuración.
Ambas son técnicas útiles, una basada en el análisis post-mortem y la otra basada en el seguimiento y la observación sobre la configuración del posible hecho. No obstante; dada la exponencial evolución de las amenazas, la segunda ira subiendo, mientras que la primera podría estar quedando relegada a la correlación y causas raíz.
El debate queda abierto.
