Una lista completa de indicadores de peligro para detectar y prevenir amenazas

PorJulio Huerta

Los Indicadores de Compromiso, o IOCs, son señales de advertencia de que actores maliciosos han violado su red. En entornos DevSecOps, los IOC ayudan a detectar y detener un ataque en curso o ayudan a la investigación forense de una brecha que ya se ha producido. En este último caso, los IOC tienen un valor incalculable para evitar que se produzca una brecha similar en el futuro. A continuación encontrará una «lista de indicadores comunes de peligro» que puede utilizar para detectar, investigar y prevenir las amenazas a su red.

Lista completa de indicadores de peligro

Los indicadores más comunes de compromiso incluyen:

Tráfico de red anormal

Un tráfico de salida inusual es señal de que algo va mal. Si observas más conexiones salientes de lo normal a esa hora de la noche o una cantidad de datos que sale de la red mayor de lo normal, es un posible IOC. Ambos indicadores significan que es probable que los atacantes estén filtrando datos valiosos de su red.

En el lado entrante, los atacantes suelen utilizar herramientas como Netcat para dirigir su tráfico a cualquier puerto accesible, incluso los más oscuros. Si observa actividad de alguna aplicación en puertos que normalmente no se utilizan, es una señal potencial de peligro.

Solicitudes DNS anómalas

El malware que se utiliza para penetrar en redes y abrir puertas traseras a menudo se pone en contacto con un servidor de Comando y Control (C&C) para iniciar la exfiltración de datos. Para lograr esto, el malware necesita llamar a su DNS resolver para solicitar la ubicación del servidor C&C malicioso.

Los signos de peticiones DNS anómalas incluyen:

  • Nombres de dominio extraños que tienen aparentes errores ortográficos o parecen pulsaciones de teclas aleatorias (por ejemplo, wajjrrpl.com).
  • Un gran número de consultas DNS de muchos dominios diferentes en la lista negra intercaladas con peticiones exitosas de nombres de dominio extraños. Este escenario indica el uso de un Algoritmo de Generación de Dominios (DGA), que se utiliza para eludir los filtros de reputación.
  • En ese sentido, cualquier volumen sospechosamente grande de peticiones DNS – especialmente a nombres de dominio inusuales o durante horas extrañas.
Relacionado:  Seguridad informática empresas: Las mejores opciones para proteger tu negocio

Ataques DDoS

Los ataques distribuidos de denegación de servicio (ataques DDoS) consisten en inundar un servicio con tráfico para saturarlo y cerrarlo. Los actores maliciosos suelen utilizar los ataques DDoS para disfrazar sus verdaderas intenciones y camuflar la exfiltración de datos. Los signos de un ataque DDoS, como un rendimiento lento de la red o la indisponibilidad del servicio, son por tanto un indicador obvio de compromiso.

Actividad de inicio de sesión inusual

La actividad de inicio de sesión de los usuarios sigue patrones predecibles, por lo que cualquier comportamiento inusual es una señal de alarma.

Los ejemplos incluyen:

  • Geografía: Si un usuario vive y trabaja en una región, pero su cuenta se conecta desde otro país, eso podría significar que la cuenta ha sido comprometida por un atacante extranjero o un hacker que utiliza una VPN.
  • Intentos fallidos: Una cuenta que no consigue iniciar sesión muchas veces es una señal clara de que alguien está intentando penetrar en tu red. Otra señal son los intentos fallidos de inicio de sesión desde cuentas que no existen en tu sistema.
  • Endpoints inusuales: La mayoría de los usuarios siempre acceden a la red desde el mismo dispositivo o dispositivos, así que si, por ejemplo, la cuenta de la recepcionista inicia sesión desde una estación de trabajo de contabilidad, eso es un indicador de compromiso.
  • Tiempo: La mayoría de la gente tiene un horario similar todos los días. Por lo tanto, si una cuenta accede a tu red a una hora inusual, podría estar comprometida.

Actividad anormal de una cuenta con privilegios

Las cuentas privilegiadas suelen tener acceso a recursos de red restringidos y a datos confidenciales, por lo que los piratas informáticos suelen apuntar a ellas para ponerlas en peligro. Si una cuenta privilegiada se comporta de forma anormal en la red – por ejemplo, elevando los privilegios de otras cuentas aparentemente al azar o siendo utilizada para acceder a un gran volumen de datos sensibles fuera de sus funciones normales de trabajo – es otro claro indicador de compromiso.

Relacionado:  Protección de la nueva población más vulnerable: la estafa de los abuelos

Picos en el volumen de lectura de bases de datos

Los piratas informáticos suelen atacar las bases de datos porque es probable que contengan la información más sensible y valiosa. Los picos sospechosos en el volumen de lectura de las bases de datos, especialmente a horas intempestivas, indican que un actor malicioso puede estar accediendo a esos datos.

Peticiones repetidas del mismo archivo

Por lo general, cuando un empleado intenta abrir un archivo al que no tiene acceso, desiste tras el primer o segundo mensaje de error. Si ves que una cuenta intenta acceder repetidamente al mismo archivo restringido -especialmente si ese archivo contiene información valiosa- es un signo de compromiso.

Desajuste usuario-aplicación

Los usuarios autorizados en su red generalmente utilizarán el mismo puñado de aplicaciones, por lo que cualquier desviación de la norma debe ser tratada como sospechosa. Por ejemplo, un usuario que no sea de TI no debería empezar de repente a ejecutar herramientas de red, sesiones RDP o scripts de configuración.

Cambios sospechosos

El malware se utiliza con frecuencia para realizar cambios en el registro o en los archivos del sistema con el fin de crear una puerta trasera para la exfiltración de datos. La evidencia de cambios sospechosos en un sistema puede indicar que se ha producido una brecha. Como en todos los puntos de esta lista, presta atención a cualquier comportamiento fuera de lo común.

Uso de una lista de indicadores de compromiso para detectar y prevenir amenazas

Esta lista de IOCs sólo es útil si usted tiene una manera de detectar estos signos y señales en su red. Por ejemplo, las herramientas de gestión de eventos e información de seguridad (SIEM) recopilan importantes datos de inicio de sesión y eventos de sus aplicaciones de red, puntos finales, dispositivos de seguridad y otras fuentes. También proporcionan análisis en tiempo real para que pueda detectar IOC. El Análisis del Comportamiento de Usuarios y Entidades (UEBA) supervisa la actividad de las cuentas en su red y detecta desviaciones de los patrones normales, de modo que se le notifica cuando se ha producido un compromiso potencial.

Relacionado:  ¿Qué es un minero en ciberseguridad? Descubre la criptominería

Además, la metodología de Seguridad de Confianza Cero restringe el daño que un hacker puede hacer en su red antes de que usted detecte su presencia. La confianza cero sigue el principio de «nunca confíes, siempre verifica», lo que significa que las cuentas deben restablecer continuamente su confianza antes de saltar a otros segmentos o recursos de la red. La seguridad de confianza cero también utiliza el principio del menor privilegio para garantizar que una sola cuenta comprometida tenga un movimiento lateral limitado en su red.

También es importante reconocer que no todos los IOC representan una violación real. Los falsos positivos son relativamente comunes, por lo que se necesita una forma de priorizar las alertas de IOC en función de la probabilidad de que sean una amenaza real. Las herramientas de análisis de amenazas de IA son una excelente forma de filtrar los falsos positivos sin abrumar a los ingenieros de seguridad humanos.

Las herramientas de seguridad adecuadas le proporcionarán los datos necesarios para utilizar una «lista de indicadores de peligro» para detectar señales de un ataque. Unas prácticas de seguridad sólidas le permitirán limitar los daños de un ataque o incluso evitar que se produzca.

Publicaciones Similares

Safer Internet Day 2022 - ¿Cómo puede el mundo en línea ser un lugar más seguro?

Safer Internet Day 2022 – ¿Cómo puede el mundo online ser un lugar más seguro?

PorJulio Huerta

El 8 de febrero marcó el 19º Día de Internet Seguro en el que más de 200 países adoptaron una postura de colaboración para hacer de Internet un lugar mejor y más seguro para todos, especialmente para los jóvenes. Durante los últimos 18 meses, la actividad en línea se disparó debido a las interrupciones causadas…

Informe de defensa contra ciberamenazas 2022: puntos clave que debe conocer

Informe de defensa contra ciberamenazas 2022: puntos clave que debe conocer

PorJulio Huerta

Cada año, CyberEdge publica el Informe de defensa contra ciberamenazas (CDR). Dirigido a los líderes de seguridad de TI, este completo informe describe las amenazas, los problemas de seguridad y las preocupaciones de la industria que son más apremiantes. La información resumida en el CDR se recopila a través de encuestas realizadas en 17 países…

Ciberseguridad Bootcamp: Descubre los cursos ofrecidos

Ciberseguridad Bootcamp: Descubre los cursos ofrecidos

PorJulio Huerta

La ciberseguridad es un tema de vital importancia en la actualidad, ya que cada vez más empresas y organizaciones dependen de la tecnología para llevar a cabo sus operaciones diarias. Es por eso que la demanda de profesionales en el campo de la ciberseguridad está en constante crecimiento. Si estás interesado en adentrarte en este…

Equipo de ciberseguridad: buenas prácticas en crisis

Equipo de ciberseguridad: buenas prácticas en crisis

PorJulio Huerta

En un mundo cada vez más digitalizado, la ciberseguridad se ha convertido en una preocupación fundamental para las organizaciones. Los ataques cibernéticos pueden tener consecuencias devastadoras, desde la pérdida de datos hasta el robo de información confidencial. Por esta razón, contar con un equipo de ciberseguridad competente y preparado es esencial para proteger los activos…

De DevOps a DevSecOps: cómo integrar la seguridad en el ciclo de vida del desarrollo

De DevOps a DevSecOps: cómo integrar la seguridad en el ciclo de vida del desarrollo

PorJulio Huerta

DevSecOps es una nueva forma de hacer de la seguridad un punto central en cualquier práctica DevOps. Integrar la seguridad en la base de una aplicación o programa permite a las empresas proteger su producto y a los usuarios sin necesidad de lanzar cientos de parches y actualizaciones. Lo curioso es que, si la gente…

Formación profesional ciberseguridad: cursos disponibles

Formación profesional ciberseguridad: cursos disponibles

PorJulio Huerta

1. Curso de Especialización en Ciberseguridad en entornos de las tecnologías de la información La ciberseguridad se ha convertido en una de las principales preocupaciones en el mundo digital. Con el aumento de los ataques cibernéticos y la creciente dependencia de las tecnologías de la información, es fundamental contar con profesionales capacitados en este campo….