CompuNetGroup - Blog CompunetGroup , Seguridad

¿Qué son los IoC y los IoA?

Wed, 15 Mar 2023 14:26:07 -0300

¿Qué son los IoC y los IoA?

La monitorización, análisis, correlación e inteligencia de ciberseguridad es un rol clave, fundamental, el cual es realizado por los analistas de ciberseguridad que operan un SOC. Su labor es la analizar, de manera constante y continua, cualquier “indicador” que pueda representar una amenaza para la seguridad y ciberseguridad de nuestros activos y ciber-activos; Para el negocio.

Para que tengas contexto respecto de la operación que realiza un SOC, te invito a leer nuestro artículo escrito por Darling Núñez, analista de ciberseguridad: https://www.compunetgroup.net/blogs/post/conoces-que-labor-cumple-un-soc

¡Entonces, vamos!

¿Qué es un IoC?

IoC son las siglas de Indicator of Compromise. Es decir, se trata de una unidad métrica para determinar la existencia o no de un compromiso sobre uno o más activos o ciberactivos. Es, en estricto rigor, un indicado estático y de carácter forense. Es estático, toda vez que es un indicador que está o no está (booleano) y cuando está, se trata de una evidencia forense de una posible brecha de seguridad que se ha materializado. Se trata entonces de un indicador que permite realizar búsquedas proactivas de actividad inusual, brechas y/o vulnerabilidades sea de forma manual o automatizada a través de algún software o script desarrollado para este propósito desde el equipo de analistas de SOC, como parte de las tareas del SOC, para detección y búsqueda temprana de actividad maliciosa.

Un IoC no siempre es fácil de detectar, en ocasiones está “escondido” en registros de LOG “sin correlacionar”, en índices de bases de datos, en sistemas “silos”, en metadatos, etc. Ejemplos de IoC pueden ser:

Archivos
Actividad anómala en procesos de log-in (red flags)
Consultas DNS
Actividad anómala en la red
Incremento o actividad inusual de disco (base de datos, registros)
Accesos anómalos al contexto (ubicación, intentos fallidos, dispositivos, sistemas operativos, etc.)
Cambios en privilegios, permisos, roles, archivos, registros, etc.

¿Qué es un IoA?

IoA son las siglas de Indicator of Attack. Es decir, se del registro de un ataque (o intención de ataque) registrando el alcance (activo) y las técnicas, tácticas y procedimientos (TTP) que se están empleando, siendo esto último, en términos de indicador, más relevante que el origen que lo detona sea esto un malware, un atacante externo u otro; Por supuesto, en el contexto del análisis y uso del indicado de ataque toda vez que se trata de un indicador, dinámico, el cual efectivamente señala la materialización de un incidente y es dinámico al “cambiar” conforme las distintas etapas del ataque se suceden siendo un indicador fidedigno, con bajo o nulo falso-positivo, y que ayuda a identificar el tipo de ataque (campaña a través de las TTP).

En el contexto de que este indiciador es dinámico ya que permite “avanzar” en las distintas etapas del ataque: Reconnassance, Weaponization, Delivery, Explotation, Instalation, C&C and Movement (Lateral). Es decir, se trata de un indicador altamente dinámico y proactivo que operan en tiempo real por la naturaleza propia de un ataque.

¿Cuál es la diferencia entre un IoC y un IoA?

Primeramente, mientras el IoC es un indicador estático, IoA es dinámico y mientras IoC es una evidencia, desde el punto de vista forense, IoA es un indicador predictivo al que se le debe poner énfasis toda vez que “avisa” de un ataque en progreso o inminente. Entonces, normalmente los equipos SOC detectan IoA antes o durante la ejecución de un ataque de manera tal de contener y evitar la exfiltración de datos o el compromiso de sistemas e infraestructura deteniendo, consecuentemente, el negocio. Finalmente, el IoC es una firma estática donde, de manera previa, alguien debió conocer el IoC para tomar su firma y así podamos reconocerlo mientras que un IoA es dinámico y se le detecta por las TTP empleadas.

Los indicadores de ataque (IOA) se centran en detectar la intención de lo que un agente de amenaza se encuentra realizando, independientemente del malware o exploit utilizado en un ataque. Mientras que los indicadores de compromiso (IoC), al igual que las firmas AV, abordan un enfoque basado en la detección sin ser capaz de detectar las crecientes amenazas de intrusiones que no hacen uso de malware y/o emplean exploits de día cero. (Thank so much my dear friend Mike!).

Los equipos de analistas de ciberseguridad que operan en SOC hacen uso de ambos indicadores creando una sinergia en el uso de ambos indicadores apoyados por el mapa de TTP que ha documentado MITRE (ATT&CK), correlación a inteligencia de amenazas para tener una visibilidad 360 de todos los activos gestionados y el comportamiento de la infraestructura en su totalidad.

¿Y qué pasa cuando hay un ataque?

Entonces viene la respuesta a incidentes. Otro día 😉

César Millavil A

CompunetGroup CEO

C|EH - ISO27001LA – ISO27032LM

Vulnerabilidades de alta gravedad encontradas en los dispositivos empresariales de HP

Wed, 14 Sep 2022 09:03:27 -0300

Vulnerabilidades de alta gravedad encontradas en los dispositivos empresariales de HP

El equipo de investigación de seguridad de Binarly ha revelado seis vulnerabilidades de firmware de alta gravedad que la empresa ha encontrado a lo largo del año.

Comentadas por primera vez en la conferencia Black Hat 2022, las fallas afectan a los dispositivos HP EliteBook y tienen puntuaciones de Common Vulnerability Scoring System (CVSS) entre 7,5 y 8,2.

"Un implante de firmware es el objetivo final de un atacante para mantener la persistencia", escribió Binarly en un aviso el pasado jueves. "El atacante puede instalar el implante malicioso en diferentes niveles del firmware, ya sea como un módulo legítimo modificado o como un controlador independiente".

Según el documento, a menudo se subestima el impacto que tiene el hecho de que un actor de la amenaza se dirija a controladores o aplicaciones en tiempo de ejecución sin privilegios en modo de gestión del sistema (SMM), y este tipo de controlador DXE malicioso puede eludir el Secure Boot e influir en las etapas adicionales de arranque.

"En muchos casos, el firmware es un único punto de fallo entre todas las capas de la cadena de suministro y el dispositivo del cliente final", escribió Binarly.

La compañía también advirtió que algunas de las vulnerabilidades de HP Enterprise que reveló en Black Hat aún no han sido parcheadas.

"Desafortunadamente, en el momento de escribir este artículo, algunos dispositivos empresariales de HP (portátiles y ordenadores de sobremesa) todavía no han recibido actualizaciones para parchear las vulnerabilidades mencionadas, a pesar de que se han divulgado públicamente durante más de un mes", se lee en el aviso.

Al mismo tiempo, la compañía de seguridad dijo que ha puesto a disposición en su repositorio de GitHub las reglas de FwHunt para las vulnerabilidades de HP comentadas en su último aviso.

"Animamos a los defensores y a los socios de investigación a que utilicen estas reglas para localizar, a escala, los dispositivos vulnerables en su infraestructura empresarial", explicó Binarly.

"Además, estas reglas están siendo empujadas al Linux Vendor Firmware Service (LVFS) para mejorar la seguridad de la cadena de suministro y la conciencia en los entornos empresariales en todo el mundo".

El aviso de Binarly llega semanas después de que un informe de Team82 sugiriera que el número de divulgaciones de vulnerabilidades que afectan a los dispositivos del Internet de las cosas extendido (XIoT) aumentó un 57% en la primera mitad de 2022.

Fuente: https://www.infosecurity-magazine.com/news/vulnerabilities-found-hp-enterprise/

Get Started Now

Pegasus spyware utilizado contra el movimiento prodemocrático de Tailandia

Tue, 19 Jul 2022 10:28:17 -0400

Pegasus spyware utilizado contra el movimiento prodemocrático de Tailandia

El Citizen Lab, una iniciativa de investigación interdisciplinar centrada en las tecnologías de la información y la comunicación y los derechos humanos de la Universidad de Toronto, ha afirmado que el software espía Pegasus se está utilizando contra el movimiento prodemocrático de Tailandia.

En una operación denominada GeckoSpy, la investigación reveló una "amplia campaña de espionaje" dirigida a los manifestantes y activistas prodemocráticos del país. La metodología de la investigación se basó en la ciencia forense digital, mediante la cual se recogieron y analizaron las pruebas de los iPhones de las víctimas y de los objetivos potenciales, y el Citizen Lab tenía un alto grado de confianza en que al menos "30 individuos fueron infectados con el software espía Pegasus de NSO Group" entre octubre de 2020 y noviembre de 2021. Esto fue analizado y verificado independientemente por el Laboratorio de Seguridad de Amnistía Internacional.

La investigación se inició a raíz de las notificaciones "enviadas por Apple a miembros de la sociedad civil tailandesa en noviembre de 2021", donde muchos de los que recibieron las advertencias comenzaron a ponerse en contacto con organizaciones de la sociedad civil. Esto se produce en un momento en el que las protestas prodemocráticas se están generalizando, y el gobierno las contrarresta con un mayor uso de la vigilancia y la represión, especialmente desde el golpe de Estado de 2014. La introducción de controles y equilibrios contra los poderes de vigilancia draconianos y en constante evolución del gobierno ha fracasado hasta ahora.

NSO Group ha rechazado cualquier acusación de mala conducta, afirmando que sus productos deben utilizarse "de manera legal y según las órdenes judiciales y la legislación local de cada país." Sin embargo, el informe de The Citizen Lab critica esta respuesta, afirmando que hay pruebas significativas de abuso del software espía Pegasus "contra numerosas víctimas en múltiples países" y que la empresa tecnológica tiene un desprecio por "los derechos humanos en el extranjero."