Descifrando la sopa de letras de la ciberseguridad: IoC e IoA
Los equipos de Operaciones de Seguridad son la piedra angular de la lucha contra el cibercrimen de última milla en cualquier organización. Por eso necesitan las tecnologías más avanzadas posibles.
Pero la lucha contra los ciberdelincuentes no es simplemente una cuestión de tecnología. Tener una actitud proactiva ante posibles ciberataques también es clave. Aquí es donde vemos dos conceptos esenciales para todos los equipos de Operaciones de Seguridad: IoC (indicadores de compromiso) e IoA (indicadores de ataque).
¿Cuál es la diferencia? ¿Son exclusivos o complementarios? ¿Cuándo se utilizan? ¿Cuál es más efectivo? A continuación, analizamos los dos conceptos.
IoC (indicadores de compromiso)
Los IoC son indicadores que identifican la presencia de un actor de amenazas en un endpoint, laptop, portátil o servidor, una vez que el compromiso ya se ha producido. Es decir, se utilizan para diagnosticar un problema de seguridad que ha ocurrir dentro de la organización. Es la evidencia de que se ha producido un compromiso de seguridad, o que estaba a punto de ocurrir.
En este sentido, los IoC se utilizan para identificar archivos o artefactos que previamente han sido clasificados como maliciosos: un correo electrónico de phishing, un archivo de malware, una dirección IP relacionada con un cibercrimen, una entrada de riesgo en el registro, etc. Por lo tanto los IoC son útiles para que las empresas analicen el daño después o durante un compromiso y reaccionen mitigando sus efectos y eliminando la amenaza.
Los IoC también pueden ser útiles para empresas que necesitan diagnosticar con precisión lo sucedido para saber exactamente dónde radica el problema y la vulnerabilidad explotada después de haber sufrido un incidente, esto les permite solucionarlo con precisión y evitar ataques similares en el futuro.
IoAs (Indicadores de Ataque)
La búsqueda de IoA tiene una filosofía diferente; Los IoA representan el máximo esfuerzo de proactividad. El objetivo es anticipar el compromiso investigando actividades sospechosas, mientras que la búsqueda de IoC tiene una filosofía de reacción, buscando evidencia de que el compromiso existe. En otras palabras, las IoA no intervienen cuando el ataque ya ha ocurrido, sino cuando se está produciendo, o incluso antes de que pueda convertirse en un incidente real.
Los IoAs cubren el hueco que dejan los IoCs: alertan sobre cualquier intento de ataque, independientemente del método utilizado para evadir el sistema de seguridad de la empresa. Es decir, los IoAs detectan pasos de ataque que no requieren malware, como las técnicas LotL (living-off-the-land).
Estos indicadores son el resultado del trabajo realizado por los equipos de threat hunting aprovechando las soluciones de ciberseguridad más avanzadas respaldadas por AI/ML (inteligencia artificial/machine learning). Estos equipos investigan y analizan en profundidad las actividades de los procesos del sistema, buscando comportamientos anómalos, o comportamientos que puedan representar un riesgo para la seguridad de la organización. Si se detectan, los IoAs permiten a las organizaciones actuar antes de que la vulnerabilidad pueda ser explotada y antes de que el daño sea definitivo.
La importancia de ser proactivo
Una pregunta recurrente sobre los indicadores es ¿cuál es más eficaz para proteger una organización, los IoCs o los IoAs? Ambas técnicas son necesarias y se complementan. Sin embargo, una cosa está clara: el enfoque proactivo de los IoAs siempre irá un paso más allá a la hora de evitar incidentes de seguridad. La búsqueda de IoCs es una excelente herramienta para analizar el daño después o durante un compromiso y reaccionar, mitigando sus efectos y eliminando la amenaza.
Los IoCs se utilizan en las investigaciones una vez que el daño ha comenzado, mientras que los IoAs son parte de una investigación previa y se basan en una posición de ciber resiliencia. El problema es que la mayoría de las soluciones de ciberseguridad se limitan a los IoCs a la hora de analizar, detectar y mitigar los ciberataques. En consecuencia, sus acciones contra el cibercrimen sólo serán efectivas a posteriori, una vez que el daño ya esté hecho o en proceso avanzado. Además, algunos ciberataques, como los que utilizan malware sin archivos, no pueden detectarse simplemente con IoCs. Como tal, el proceso de elaboración de perfiles que implican los IoA se vuelve vital para proteger la ciberseguridad corporativa.
El servicio que ofrecen los proveedores de MDR (detección y respuesta gestionadas) es altamente proactivo y se basa en tecnología efectiva, expertos en ciberseguridad y procesos bien definidos y capacitados a la hora de proteger a las empresas de amenazas sofisticadas. Con la ayuda de soluciones de seguridad avanzadas que analizan y perfilan todos los comportamientos en tiempo real, los analistas de ciberseguridad de un MDR investigan los IoAs en busca de posibles comportamientos anómalos que descubran pistas de actividades de amenazas complejas. También utilizan búsquedas de IoCs para ayudar durante la fase de investigación y respuesta, identificando los artefactos que se han utilizado, las vulnerabilidades que se han aprovechado y los activos afectados.
Conclusión
La conclusión es clara: los IoCs son útiles y muy necesarios tanto para descubrir un compromiso (la amenaza que está detrás del incidente y su impacto) como para reaccionar, eliminando el peligro, deteniendo el incidente y mitigando sus efectos. Sin embargo, cualquier organización interesada en protegerse proactivamente debe centrarse en desarrollar estrategias de investigación basadas en la detección de IoAs para detectar actividades anormales, investigar rápidamente esas actividades y responder a la amenaza lo antes posible, incluso antes de que se convierta en un incidente real.
Explore nuestros productos WatchGuard Endpoint Security para descubrir cómo nuestras soluciones permiten a los equipos de seguridad prevenir, detectar y responder proactivamente a amenazas sofisticadas a través de la automatización y los motores de búsqueda de IoAs e IoCs.
