Para que tengas contexto respecto de la operación que realiza un SOC, te invito a leer nuestro artículo escrito por Darling Núñez, analista de ciberseguridad: https://www.compunetgroup.net/blogs/post/conoces-que-labor-cumple-un-soc 

¡Entonces, vamos!

¿Qué es un IoC?

IoC son las siglas de Indicator of Compromise. Es decir, se trata de una unidad métrica para determinar la existencia o no de un compromiso sobre uno o más activos o ciberactivos. Es, en estricto rigor, un indicado estático y de carácter forense. Es estático, toda vez que es un indicador que está o no está (booleano) y cuando está, se trata de una evidencia forense de una posible brecha de seguridad que se ha materializado. Se trata entonces de un indicador que permite realizar búsquedas proactivas de actividad inusual, brechas y/o vulnerabilidades sea de forma manual o automatizada a través de algún software o script desarrollado para este propósito desde el equipo de analistas de SOC, como parte de las tareas del SOC, para detección y búsqueda temprana de actividad maliciosa.

Un IoC no siempre es fácil de detectar, en ocasiones está “escondido” en registros de LOG “sin correlacionar”, en índices de bases de datos, en sistemas “silos”, en metadatos, etc. Ejemplos de IoC pueden ser:

• Archivos 
• Actividad anómala en procesos de log-in (red flags)
• Consultas DNS
• Actividad anómala en la red
• Incremento o actividad inusual de disco (base de datos, registros)
• Accesos anómalos al contexto (ubicación, intentos fallidos, dispositivos, sistemas operativos, etc.)
• Cambios en privilegios, permisos, roles, archivos, registros, etc.

¿Qué es un IoA?

IoA son las siglas de Indicator of Attack. Es decir, se del registro de un ataque (o intención de ataque) registrando el alcance (activo) y las técnicas, tácticas y procedimientos (TTP) que se están empleando, siendo esto último, en términos de indicador, más relevante que el origen que lo detona sea esto un malware, un atacante externo u otro; Por supuesto, en el contexto del análisis y uso del indicado de ataque toda vez que se trata de un indicador, dinámico, el cual efectivamente señala la materialización de un incidente y es dinámico al “cambiar” conforme las distintas etapas del ataque se suceden siendo un indicador fidedigno, con bajo o nulo falso-positivo, y que ayuda a identificar el tipo de ataque (campaña a través de las TTP).

En el contexto de que este indiciador es dinámico ya que permite “avanzar” en las distintas etapas del ataque: Reconnassance, Weaponization, Delivery, Explotation, Instalation, C&C and Movement (Lateral). Es decir, se trata de un indicador altamente dinámico y proactivo que operan en tiempo real por la naturaleza propia de un ataque.

¿Cuál es la diferencia entre un IoC y un IoA?

Primeramente, mientras el IoC es un indicador estático, IoA es dinámico y mientras IoC es una evidencia, desde el punto de vista forense, IoA es un indicador predictivo al que se le debe poner énfasis toda vez que “avisa” de un ataque en progreso o inminente. Entonces, normalmente los equipos SOC detectan IoA antes o durante la ejecución de un ataque de manera tal de contener y evitar la exfiltración de datos o el compromiso de sistemas e infraestructura deteniendo, consecuentemente, el negocio. Finalmente, el IoC es una firma estática donde, de manera previa, alguien debió conocer el IoC para tomar su firma y así podamos reconocerlo mientras que un IoA es dinámico y se le detecta por las TTP empleadas.

Los indicadores de ataque (IOA) se centran en detectar la intención de lo que un agente de amenaza se encuentra realizando, independientemente del malware o exploit utilizado en un ataque. Mientras que los indicadores de compromiso (IoC), al igual que las firmas AV, abordan un enfoque basado en la detección sin ser capaz de  detectar las crecientes amenazas de intrusiones que no hacen uso de malware y/o emplean exploits de día cero. (Thank so much my dear friend Mike!).

Los equipos de analistas de ciberseguridad que operan en SOC hacen uso de ambos indicadores creando una sinergia en el uso de ambos indicadores apoyados por el mapa de TTP que ha documentado MITRE (ATT&CK), correlación a inteligencia de amenazas para tener una visibilidad 360 de todos los activos gestionados y el comportamiento de la infraestructura en su totalidad.

¿Y qué pasa cuando hay un ataque?

Entonces viene la respuesta a incidentes. Otro día 😉

César Millavil A

CompunetGroup CEO

C|EH - ISO27001LA – ISO27032LM