Siempre elegimos implementar la prevención y la disuasión en lugar de los mecanismos de contención en la seguridad. Sin embargo, la implementación de estos mecanismos no siempre es efectiva o sencilla de configurar o mantener. En el mundo físico podemos ver muchos ejemplos de esto, como células fotovoltaicas, trampillas o cámaras de video. Todas estas medidas previenen o disuaden a los delincuentes de ingresar a una propiedad, pero para hacer su trabajo requieren una configuración previa y un mantenimiento o monitorización constante.
Además, estos mecanismos no pueden detectar por sí mismos si un delincuente está estudiando posibles debilidades que pueda explotar para su objetivo delictivo. Por tanto, para ser verdaderamente preventivos, necesitan estar bajo constante seguimiento e investigación de anomalías o comportamientos sospechosos almacenados en los videos o eventos de los mecanismos instalados.
Te explicamos aquí qué son los indicadores de ataque (IOA) y las diferencias entre estos y los indicadores de compromiso (IOC).
Indice
¿Qué son los indicadores de ataque (IOA)?
Los indicadores de ataque (IOA) demuestran las intenciones detrás de un ciberataque y las técnicas utilizadas por el actor de la amenaza para lograr sus objetivos.
Las amenazas cibernéticas específicas que activan el ataque, como el malware, el ransomware o las amenazas avanzadas, son de poca importancia al analizar los IOA. En cambio, en esta estrategia de ciberseguridad solo se considera la secuencia de eventos que conducen al despliegue de una amenaza cibernética.
Los IOA se entienden mejor en el contexto de un ciberataque, una operación que se puede simplificar en tres etapas principales.
Un ataque generalmente comienza con una campaña de phishing, en la que se engaña a los empleados para que divulguen sus credenciales internas. Armados con esta información, se viola un perímetro de TI.
A continuación, el atacante se mueve lateralmente a través de la red en busca de credenciales privilegiadas que faciliten el acceso a recursos altamente sensibles. Una vez que estas credenciales se ven comprometidas, se produce una filtración de datos.
Todos los daños causados en este proceso (modificaciones al disco de memoria, conexiones de puerta trasera a los servidores de comando y control, etc.) son indicaciones de que el sistema se vio comprometido, pero no ayudan a los equipos de seguridad a comprender los movimientos futuros de los atacantes o cuál es su objetivo.
Los IOA dan a conocer las motivaciones del atacante, las herramientas específicas utilizadas en cada proceso son de poca importancia.
Los IOA se preocupan por el «por qué» detrás de cada etapa del ciberataque, mientras que los IOC se preocupan por el «cómo».
Ejemplos
Los siguientes 10 ejemplos de IOA se basan en el comportamiento común de los ciberdelincuentes:
- Servidores públicos que se comunican con hosts internos. Esto podría ser indicativo de exfiltración de datos y comunicaciones remotas desde servidores criminales.
- Conexiones a través de puertos no estándar en lugar del puerto 80 o el puerto 443.
- Hosts internos que se comunican con países fuera del rango comercial.
- Comunicaciones entre hosts en cortos períodos de tiempo. Esto podría ser indicativo de movimiento lateral del ciberdelincuente o actividad de amenazas internas.
- Varias alertas de Honeytoken de un solo host (especialmente fuera del horario comercial).
- Tráfico SMTP excesivo. Podría ser evidencia de que se está utilizando un sistema comprometido para lanzar ataques DDoS.
- Reinfección de malware a los pocos minutos de su eliminación. Esto podría ser indicativo de una amenaza persistente avanzada.
- Varios inicios de sesión de usuarios de diferentes regiones. Esto podría ser indicativo de credenciales de usuario robadas.
¿Qué buscar al buscar IoA?
La búsqueda activa de comportamientos potencialmente maliciosos en una red y la búsqueda de indicadores de ataque proporcionarán tanto la detección de incidentes de seguridad como su contención lo antes posible en el ciclo de vida del ataque. Hay algunas medidas clave que se deben tomar al buscar IoA:
- Analizar los registros del firewall para determinar la configuración correcta, asegúrate de que no ingrese ningún acceso no autorizado y confirma que el tráfico permitido no muestra signos de comportamiento anómalo
- EDR para obtener visibilidad y recopilar información sobre los procesos en ejecución, los inicios de sesión y los canales de comunicación para detectar cualquier comportamiento anormal en los puntos finales.
- Examinar los registros del servidor web, que pueden ayudarte a descubrir usuarios que intentan acceder a los archivos del directorio sin la debida autorización, y monitorizar el acceso a las páginas utilizadas para actualizar el contenido.
- Revisar los registros del servidor de autenticación para obtener información sobre la actividad de la cuenta, los inicios de sesión de cuenta no válidos y la actividad del usuario durante horas inusuales; todo para mostrar si un atacante ha obtenido acceso y está tratando de moverse lateralmente para aumentar sus privilegios.
¿Cuál es la diferencia entre un indicador de compromiso (IOC) y un indicador de ataque (IOA)?
Un indicador de compromiso (IOC) es una evidencia digital de que ha ocurrido un incidente cibernético. Los equipos de seguridad recopilan esta inteligencia en respuesta a las especulaciones de una violación de la red o durante las auditorías de seguridad programadas.
Un indicador de ataque (IOA), por otro lado, es cualquier evidencia digital o física de que es probable que ocurra un ataque cibernético.
Algunas otras diferencias se analizan a continuación.
Los IOA se detectan antes de que se produzcan violaciones de datos
La principal diferencia entre los dos es su posición en la línea de tiempo del ciberataque. Debido a que los IOA ocurren antes de una violación de datos, si las respuestas a incidentes se activan de manera oportuna, el incidente de seguridad podría interceptarse y prevenirse.
Los IOC son estáticos pero los IOA son dinámicos
Las huellas de los ciberataques no cambian con el tiempo. Todos los componentes de un ciberataque (puertas traseras, conexiones C&C, direcciones IP, registros de eventos, hashes, etc.) siguen siendo los mismos y proporcionan la inteligencia de amenazas necesaria para ayudar a los equipos de seguridad a defenderse de futuros ataques.
Esta es la razón por la que los métodos de detección basados en IOC se clasifican como estáticos.
Los datos de IOA, por otro lado, son dinámicos porque los movimientos de los ciberdelincuentes son dinámicos. Antes de que pueda ocurrir una violación de datos, un pirata informático debe avanzar a través de numerosas etapas de ataque y cambiar entre múltiples técnicas de ataque.
Hay 14 fases en el ciberataque y cada una contiene un conjunto diferente de técnicas.
Los métodos de detección de IOA tienen como objetivo detectar esta actividad a medida que evoluciona.
Los datos de IOA se controlan en tiempo real
Debido a que los datos de IOA cambian a medida que un atacante avanza en el ciclo de vida del ciberataque, los datos deben monitorearse en tiempo real.
Los datos de IOA podrían indicar cómo se violaron las redes, las puertas traseras que se establecieron y las credenciales privilegiadas que se vieron comprometidas: información que ayuda a los equipos de seguridad a interceptar un ciberataque a medida que se desarrolla, lo que reduce el tiempo de permanencia del atacante.
Por lo tanto, los IOA apoyan un enfoque proactivo de la ciberseguridad, mientras que el IOC se utiliza en respuestas reactivas impulsadas por forenses.
Limitaciones de los mecanismos de detección basados en IOC
Los métodos de detección de COI no pueden interceptar las amenazas cibernéticas que no se caracterizan por firmas estáticas.
Las amenazas cibernéticas emergentes, como los exploits de día cero, no han tenido la oportunidad de que se les asigne una firma y, por lo tanto, pasarán por controles de seguridad que dependen de la detección de firmas.
Un ejemplo de control de ciberseguridad basado en firmas estáticas es el software antivirus.
Algunas cepas de malware no escriben en el disco para evitar activar un análisis antivirus. La única forma en que las soluciones de seguridad antivirus podrían descubrir tal amenaza es si se escanea la memoria del sistema con la firma actualizada de la amenaza.
Incluso si hay una firma actualizada disponible (lo cual es muy poco probable cuando se está explotando activamente un día 0), sería necesario realizar un escaneo de memoria varias veces a la semana para tener alguna posibilidad de detección.
No todos los proveedores de AV son capaces de realizar análisis de memoria, e incluso si pudieran, el rendimiento de los terminales se vería interrumpido durante el proceso. Por tanto, las soluciones impulsadas por IOC, como el software antivirus, no son defensas fiables contra las amenazas emergentes.
Otra limitación de las soluciones impulsadas por IOC son sus programas predecibles de escaneo de superficie de ataque.
Las amenazas sofisticadas, como las amenazas persistentes avanzadas (APT), son capaces de pausar la actividad del atacante durante los análisis de seguridad de la información y continuarlos después de que finaliza cada análisis.
El futuro de la ciberseguridad: una combinación de estrategias impulsadas por IOC y IOA
Si se implementan por sí solas, las estrategias de la IOC y la IOA crearán deficiencias en los programas de ciberseguridad.
Los COI no pueden ayudar a los términos de seguridad a interceptar los intentos de ciberataque. Los COI también suelen desencadenar falsas alarmas, lo que produce una gran cantidad de falsos positivos.
Los IOA proporcionan inteligencia forense insuficiente después de un incidente cibernético.
Pero cuando se combinan, las fortalezas de una estrategia abordan convenientemente las deficiencias de la otra.
Para ilustrar esta relación complementaria, considérate un actor de amenazas que avanza a través de las etapas de un Mitre Att & ck.
En la etapa de reconocimiento del ataque, las cuentas de los usuarios se toman de una base de datos robada publicada en la web oscura. Este proceso es un indicador TTP (tácticas, técnicas y procedimientos) y también un IOA.
Los atacantes cibernéticos luego usan estas credenciales para violar el perímetro de la red objetivo, avanzando a la fase de Acceso Inicial del ataque.
Después de conocer esta actividad mediante herramientas impulsadas por IOA, los equipos de investigación de seguridad comienzan a investigar.
Aprenden que las credenciales robadas se utilizaron para iniciar sesión en la red desde una dirección IP en una ubicación rusa conocida por lanzar ataques de ransomware. Dicha inteligencia se clasificaría como un IOC, donde el tipo de indicador de amenaza para este IOC es una dirección IP.
Ahora que las motivaciones de los ciberataques son claras, los equipos de seguridad pueden proteger el vector de ataque comúnmente explotado en tales ataques y desplegar esfuerzos de respuesta específicos para las operaciones de ransomware.
La combinación de IOC y IOA proporciona un mayor contexto para los operativos de caza de amenazas, ayudándoles a comprender los objetivos principales del ataque para que el daño causado por cada incidente cibernético pueda mitigarse.
Al igual que ocurre con muchos conceptos de ciberseguridad, nunca se trata de elegir una u otra: se trata de combinar todas las técnicas y prácticas para garantizar la seguridad integral y la postura de seguridad adecuada de una organización.
Indicadores populares de ataque
Para diagnosticar los ataques activos a medida que ocurren, observar todas las fuentes descritas anteriormente puede ser de gran ayuda, pero ¿qué debes buscar exactamente? ¿Cuáles son algunos indicadores comunes de ataque?
- Uno de los indicadores de ataque más comunes, la comunicación entre hosts internos y externos que usan puertos inusuales (usualmente 80 y 443 se usan para tráfico externo) puede indicar que los atacantes usan estos puertos para comunicarse con malware
- Si tu organización tiene servidores DNS internos para la resolución de nombres de dominio y encuentras que un host interno está directamente a los servidores DNS externos, se necesita un escaneo de malware en ese host.
- Los escaneos de red provenientes de hosts internos pueden indicar que un atacante se ha abierto camino en tu red y está tratando de moverse lateralmente para robar información. Estos hosts deben ponerse en cuarentena para bloquear los avances del atacante.
- Un usuario en la red que tiene múltiples inicios de sesión desde diferentes geolocalizaciones en un corto período de tiempo puede ser una señal de que las credenciales del usuario se han visto comprometidas y que los atacantes están tratando de acceder a la red con ellos.
- Además, estate atento a los hosts internos que se comunican con destinos maliciosos conocidos o países extranjeros con los que la organización no tiene relaciones.
Conclusión
Si bien los indicadores de ataque son más efectivos que los indicadores de compromiso de una manera que se basan en comportamientos e información contextualizada que informa una defensa proactiva, usar ambos es la solución ideal.
El problema con muchas soluciones de ciberseguridad es que solo confiarían en IoC para las investigaciones una vez que el daño ya estuvo hecho, lo que, si bien es útil, no permite el análisis en tiempo real de todos los comportamientos que tienen lugar en un sistema. Para ser realmente proactivo en la protección de tu organización, considera concentrarte en agregar estrategias de seguridad basadas en el uso de IoA para detener las amenazas antes de que puedan causar un daño real.