¿Cuáles y que son los indicadores de compromiso?
Los indicadores de compromiso (IoC) son pistas o rastros digitales que quedan en una red tras un ciberataque. Funcionan como evidencia forense, mostrando a los equipos de seguridad que un sistema ha sido vulnerado o infectado.
No se puede solucionar una brecha de seguridad si ni siquiera se sabe que los sistemas están comprometidos. Los ciberataques no siempre son llamativos ni evidentes; de hecho, los grupos de amenazas avanzadas a menudo intentan pasar completamente desapercibidos durante meses mientras recopilan información confidencial. Los indicadores de compromiso son importantes porque desvelan la invisibilidad del atacanteContexto operativo: Se centra en sucesos pasados, mostrando pruebas de que ya se ha producido una infracción.
Impacto: Detectar los indicadores a tiempo ayuda a los equipos de seguridad a cortar el acceso de un atacante, limitando las fugas de datos y minimizando las costosas labores de limpieza operativa.
Tipos comunes de IOC:
Los IOC se agrupan según el tipo de datos o el comportamiento observado:
- Basados en la red: Direcciones IP, nombres de dominio (DNS) o URL asociadas con servidores de comando y control (C2) de atacantes. Patrones de tráfico inusual o exfiltración de datos.
- Basados en el host/dispositivo: Hashes criptográficos de archivos maliciosos (que identifican malware exacto), claves del registro de Windows modificadas, tareas programadas inesperadas o procesos ejecutándose en carpetas sospechosas.
- Conductuales: Actividades irregulares, como múltiples intentos fallidos de inicio de sesión, accesos desde ubicaciones geográficas anómalas o cambios repentinos en los permisos de usuario.
Nota: no confundir con Indicadores de Ataque (IoA), ya que estos se centran en la actividad en tiempo real, mostrando que un ataque está en curso.
Saludos!
No hay comentarios:
Publicar un comentario