Comparación de indicadores de compromiso e indicadores de ataque

En el mundo de la detección de amenazas de ciberseguridad, existen dos enfoques principales: reactivo y proactivo. La detección reactiva de amenazas se centra en identificar y mitigar las brechas que ya se han producido. La detección proactiva de amenazas, por el contrario, trata de identificar los ataques en el momento en que se producen para limitar (o impedir) que los atacantes filtren datos o causen otros daños.

La detección reactiva de amenazas a menudo se basa en indicadores de compromiso, o IOC, mientras que la detección proactiva de amenazas se centra en indicadores de ataque, o IOA. Este artículo definirá y comparará los indicadores de compromiso frente a los indicadores de ataque antes de explicar cómo ambos métodos de detección de amenazas contribuyen a una estrategia de ciberseguridad robusta.

¿Qué son los indicadores de compromiso?

Los indicadores de compromiso son señales de que un actor malicioso ha violado los recursos de la red. Proporcionan pruebas de que se ha producido una brecha, por lo que los administradores de sistemas y los equipos de ciberseguridad saben que deben tomar medidas para mitigar la amenaza y reparar sus daños.

Esto convierte a los IOC en una forma de detección reactiva de amenazas, ya que ayudan a reaccionar ante un ataque que ya se ha producido. Sin embargo, los IOC también proporcionan datos valiosos sobre las características de un ataque (conocidas como firmas de amenazas). Éstas ayudan a los profesionales de la seguridad y a las soluciones de detección de amenazas a detectar y prevenir mejor ataques similares en el futuro.

Algunos de los indicadores de compromiso más comunes incluyen:

  • Tráfico de red anormal
    El tráfico saliente anormal podría ser un signo de exfiltración de datos, mientras que las solicitudes internas en puertos inusuales podrían apuntar al uso de herramientas de hacking comunes como Netcat.
  • Solicitudes DNS anómalas
    Las solicitudes DNS extrañas, como nombres de dominio mal escritos, pueden ser evidencia de que el malware en la red estaba intentando comunicarse con un servidor externo de Comando y Control (C&C).
  • Ataques DDoS
    Los ataques distribuidos de denegación de servicio (DDoS) se utilizan a menudo para disfrazar las actividades e intenciones de los hackers en la red.
  • Actividad anormal de cuentas privilegiadas
    Si una cuenta privilegiada muestra un comportamiento anormal, como elevar otras cuentas de usuario al azar o acceder a datos confidenciales fuera de su función de trabajo normal, eso es una señal de que la cuenta fue comprometida.
  • Picos en el volumen de lectura de la base de datos
    Los picos inusuales en el volumen de lectura de la base de datos, especialmente en momentos extraños, indican que un hacker estaba accediendo o filtrando datos.
  • Cambios sospechosos
    Los cambios sospechosos en el registro o en los archivos del sistema suelen indicar que el sistema ha sido infectado por malware, que podría haber sido utilizado para crear una puerta trasera para la exfiltración de datos.
  • Ingeniería social
    Un intento exitoso de ingeniería social, como el phishing por correo electrónico, que resulta en el robo de credenciales.
  • Reinfección de malware
    La reinfección rápida después de eliminar un virus u otro malware podría ser evidencia de un rootkit o una amenaza persistente avanzada.
Relacionado:  Qué tipos de ataques de ciberseguridad existen: conoce los más comunes

¿Cuáles son los indicadores de un ataque?

Los indicadores de ataque son señales de advertencia de que se está produciendo o está en curso un ataque. Revelan las intenciones de los atacantes, sus técnicas y, en algunos casos, su identidad. Los IOA se utilizan en la detección proactiva de amenazas, indicando a los equipos de seguridad que tomen medidas inmediatas para prevenir una brecha inminente o detener una que se esté produciendo en ese momento. T

ambién proporcionan pistas sobre los próximos movimientos de los atacantes, como los datos y recursos que probablemente atacarán y dónde se filtrarán los datos. Esta información es fundamental porque ayuda a los profesionales de la seguridad a tomar decisiones más inteligentes y rápidas. Por eso los IOA se utilizan con frecuencia en las fases de observación y orientación del proceso del bucle OODA.

Algunos de los indicadores de ataque más comunes incluyen:

  • Múltiples intentos de ingeniería social en toda la empresa
  • Hosts internos comunicándose con servidores públicos en ubicaciones geográficas inusuales
  • Múltiples intentos de inicio de sesión desde ubicaciones geográficas inusuales
  • Picos en las comunicaciones entre hosts, especialmente en horas extrañas (como en mitad de la noche).
  • Equipos internos que se comunican con servidores públicos utilizando puertos no estándar o desajustes entre protocolos y puertos.

Comparación de indicadores de compromiso e indicadores de ataque

La principal diferencia entre los indicadores de compromiso y los indicadores de ataque es, como ya hemos comentado, que los IOC son reactivos, mientras que los IOA son proactivos. Esto significa que los IOA ayudan a prevenir una brecha o a limitar los daños causados por una en curso, mientras que los IOC ayudan a limpiar el desastre dejado tras la brecha.

Relacionado:  De DevOps a DevSecOps: cómo integrar la seguridad en el ciclo de vida del desarrollo

Los IOC también son estáticos, lo que significa que los indicadores no cambian con el tiempo. El suceso ya ha ocurrido, así que las pruebas del suceso no cambiarán durante el proceso de detección y mitigación. Esto significa que la detección de COI sigue funcionando mucho después de que se haya producido el ataque.

Los IOA, por el contrario, son dinámicos porque son señales de un suceso que se desarrolla y evoluciona. Hay múltiples técnicas de ataque y etapas por las que un ciberdelincuente pasará mientras trabaja para penetrar sus defensas, lo que significa que la detección de IOA se basa en la supervisión en tiempo real de la actividad sospechosa.

Indicadores de compromiso frente a indicadores de ataque: ¿En cuál debe confiar?

La detección de amenazas basada en IOC tiene algunas limitaciones importantes. En primer lugar, la detección IOC compara las amenazas potenciales con una base de datos de firmas de ataque conocidas. Si, por ejemplo, un archivo ejecutable sospechoso coincide con las características de una cepa conocida de malware, la detección de amenazas IOC lo bloqueará. Sin embargo, las herramientas basadas en IOC no pueden detectar amenazas nuevas, como los exploits de día cero, que son tan nuevos que no coinciden con las firmas de ataque conocidas.

En segundo lugar, las soluciones de seguridad basadas en IOC suelen utilizar programas de análisis predecibles. Por ejemplo, una marca concreta de software antivirus puede ejecutar análisis a las 3 de la madrugada, hora local, por defecto. Esto permite a los piratas informáticos más sofisticados predecir cuándo se producirá un escaneado de la red y programar sus actividades en consecuencia para evitar ser detectados.

Relacionado:  Más allá de Selenium: Pruebas de bajo código para maximizar la velocidad y la calidad

Por último, dado que los indicadores de compromiso proporcionan una detección reactiva de la amenaza, a menudo no consiguen evitar que se produzcan intrusiones en primer lugar. Sin embargo, los IOC proporcionan valiosas pruebas forenses tras una violación conocida, algo que los indicadores de ataque no pueden hacer. Por eso, una estrategia de seguridad sólida combina la detección basada en IOC con la detección y el análisis de IOA. Este método le ofrece las ventajas de la prevención proactiva de infracciones y los datos históricos necesarios para aprender de los errores del pasado y mejorar su postura de seguridad.

Publicaciones Similares