CompuNetGroup - Blog CompunetGroup #Ethical Hacking

¿Qué son los IoC y los IoA?

Wed, 15 Mar 2023 14:26:07 -0300

¿Qué son los IoC y los IoA?

La monitorización, análisis, correlación e inteligencia de ciberseguridad es un rol clave, fundamental, el cual es realizado por los analistas de ciberseguridad que operan un SOC. Su labor es la analizar, de manera constante y continua, cualquier “indicador” que pueda representar una amenaza para la seguridad y ciberseguridad de nuestros activos y ciber-activos; Para el negocio.

Para que tengas contexto respecto de la operación que realiza un SOC, te invito a leer nuestro artículo escrito por Darling Núñez, analista de ciberseguridad: https://www.compunetgroup.net/blogs/post/conoces-que-labor-cumple-un-soc

¡Entonces, vamos!

¿Qué es un IoC?

IoC son las siglas de Indicator of Compromise. Es decir, se trata de una unidad métrica para determinar la existencia o no de un compromiso sobre uno o más activos o ciberactivos. Es, en estricto rigor, un indicado estático y de carácter forense. Es estático, toda vez que es un indicador que está o no está (booleano) y cuando está, se trata de una evidencia forense de una posible brecha de seguridad que se ha materializado. Se trata entonces de un indicador que permite realizar búsquedas proactivas de actividad inusual, brechas y/o vulnerabilidades sea de forma manual o automatizada a través de algún software o script desarrollado para este propósito desde el equipo de analistas de SOC, como parte de las tareas del SOC, para detección y búsqueda temprana de actividad maliciosa.

Un IoC no siempre es fácil de detectar, en ocasiones está “escondido” en registros de LOG “sin correlacionar”, en índices de bases de datos, en sistemas “silos”, en metadatos, etc. Ejemplos de IoC pueden ser:

Archivos
Actividad anómala en procesos de log-in (red flags)
Consultas DNS
Actividad anómala en la red
Incremento o actividad inusual de disco (base de datos, registros)
Accesos anómalos al contexto (ubicación, intentos fallidos, dispositivos, sistemas operativos, etc.)
Cambios en privilegios, permisos, roles, archivos, registros, etc.

¿Qué es un IoA?

IoA son las siglas de Indicator of Attack. Es decir, se del registro de un ataque (o intención de ataque) registrando el alcance (activo) y las técnicas, tácticas y procedimientos (TTP) que se están empleando, siendo esto último, en términos de indicador, más relevante que el origen que lo detona sea esto un malware, un atacante externo u otro; Por supuesto, en el contexto del análisis y uso del indicado de ataque toda vez que se trata de un indicador, dinámico, el cual efectivamente señala la materialización de un incidente y es dinámico al “cambiar” conforme las distintas etapas del ataque se suceden siendo un indicador fidedigno, con bajo o nulo falso-positivo, y que ayuda a identificar el tipo de ataque (campaña a través de las TTP).

En el contexto de que este indiciador es dinámico ya que permite “avanzar” en las distintas etapas del ataque: Reconnassance, Weaponization, Delivery, Explotation, Instalation, C&C and Movement (Lateral). Es decir, se trata de un indicador altamente dinámico y proactivo que operan en tiempo real por la naturaleza propia de un ataque.

¿Cuál es la diferencia entre un IoC y un IoA?

Primeramente, mientras el IoC es un indicador estático, IoA es dinámico y mientras IoC es una evidencia, desde el punto de vista forense, IoA es un indicador predictivo al que se le debe poner énfasis toda vez que “avisa” de un ataque en progreso o inminente. Entonces, normalmente los equipos SOC detectan IoA antes o durante la ejecución de un ataque de manera tal de contener y evitar la exfiltración de datos o el compromiso de sistemas e infraestructura deteniendo, consecuentemente, el negocio. Finalmente, el IoC es una firma estática donde, de manera previa, alguien debió conocer el IoC para tomar su firma y así podamos reconocerlo mientras que un IoA es dinámico y se le detecta por las TTP empleadas.

Los indicadores de ataque (IOA) se centran en detectar la intención de lo que un agente de amenaza se encuentra realizando, independientemente del malware o exploit utilizado en un ataque. Mientras que los indicadores de compromiso (IoC), al igual que las firmas AV, abordan un enfoque basado en la detección sin ser capaz de detectar las crecientes amenazas de intrusiones que no hacen uso de malware y/o emplean exploits de día cero. (Thank so much my dear friend Mike!).

Los equipos de analistas de ciberseguridad que operan en SOC hacen uso de ambos indicadores creando una sinergia en el uso de ambos indicadores apoyados por el mapa de TTP que ha documentado MITRE (ATT&CK), correlación a inteligencia de amenazas para tener una visibilidad 360 de todos los activos gestionados y el comportamiento de la infraestructura en su totalidad.

¿Y qué pasa cuando hay un ataque?

Entonces viene la respuesta a incidentes. Otro día 😉

César Millavil A

CompunetGroup CEO

C|EH - ISO27001LA – ISO27032LM

¿Ethical Hacking o Penetration Testing?

Wed, 22 Feb 2023 10:41:48 -0300

¿Ethical Hacking o Penetration Testing?

He ahí la cuestión...

Antes de iniciar: ¿Sabes que hace un Security Operation Center?

Si no lo sabes, entonces DEBES leer nuestro artículo anterior escrito por Darling Núñez, analista de ciberseguridad: https://www.compunetgroup.net/blogs/post/conoces-que-labor-cumple-un-soc

Hace años, muchos < aunque tampoco tantos O_o > ser víctima de un “ciber ataque” era algo que veíamos bastante lejos particularmente descartándonos como “objeto de interés” para un posible ataque. Hoy sabemos que la ciberdelincuencia es, junto al tráfico de drogas y el negocio de las armas (legal o no), uno de los negocios más rentables existentes en la actualidad. Además, las plataformas y software como servicio (PaaS y SaaS respectivamente) que han proliferado en la dark web, para ejecutar y dirigir ciberataques, han abierto el negocio a personas no técnicamente especialistas en el área de la ciberseguridad; Es decir, cualquier persona puede hoy conducir un ciber ataque con las consecuencias que esto implica sin tener, necesariamente, los conocimientos técnicos para programar su propia pieza de software malicioso o desplegar las técnicas, tácticas y procedimientos (TTP) necesarios para este propósito.

En este escenario, llega el momento en el cual necesitamos evaluar la seguridad de nuestros sistemas, aplicaciones, servicios e infraestructura. De una u otra manera, necesitamos conocer,

¿Qué tan segura es mi red?

Por supuesto, todo parte desde el diseño y puesta en marcha, tal como lo indica Alexis Peña, ingeniero de redes, en su artículo: https://www.compunetgroup.net/blogs/post/es-segura-mi-red.

Nace entonces la necesidad de ejecutar una auditoria respecto de la seguridad y/o ciberseguridad de mi red, infraestructura, servicios, aplicaciones…. Y para evaluar nuestra seguridad existen varadas herramientas donde la auditoria de cumplimiento y buenas prácticas, los análisis GAP y los ejercicios de ciberseguridad son las herramientas óptimas para resolver esta necesidad.

Hace unas semanas, Giovanni Díaz, pentester, escribió un artículo bastante detallado hablando y explicando que es un Ethical Hacking y por qué son necesarios e importantes. Te invito a leer lo que escribió Giovanni como introducción: https://www.compunetgroup.net/blogs/post/la-importancia-de-los-ethical-hackings

La duda es:

¿Necesito un Ethical Hacking? O
¿Necesito un Pentesting?

Brevemente, y para entrar a profundizar, Un Ethical Hacking es una vista holística y panorámica actuando bajo el mindset de un ciberdelincuente mientras que un penetration testing es un ejercicio “acotado” y “definido” por un alcance determinado. Entonces, antes de dar respuesta a las preguntas planteadas, permíteme extender un poco esas “definiciones” anteriores y abordar las diferencias entre uno y otro; De esta forma, podrás determinar que ejercicio necesitas y por qué razón.

Ethical Hacking

Un Ethical Hacking es, como lo indica Giovanni en su artículo, el ejercicio de identificar las debilidades y vulnerabilidades de una organización las cuales representan, potencialmente, riesgos para estas. Este ejercicio es realizado, con el consentimiento de la organización, mediante un enfoque global abordando todas las posibles aristas (vectores) de ataque que una organización puede sufrir mediante un acabado entendimiento, conocimiento y levantamiento de información (inteligencia) existente de forma activa y pasiva, publica y/o privada (que sea posible acceder). Se trata, entonces, de un enfoque global para buscar debilidades y vulnerabilidades empleando un “mindset” de un atacante real, con las mismas técnicas, tácticas y procedimientos, pero SIEMPRE bajo el código ético de un profesional de ciberseguridad.

Penetrationg Testing – PenTest

Un penetration testing, o test de penetración, es también un esfuerzo proactivo para buscar debilidades y vulnerabilidades hacia un contexto acotado en términos de alcance. Es decir, al igual que en Ethical Hacking, el objetivo es “levantar” todos los riesgos posibles y explotar los hallazgos, de manera controlada, con un alcance definitivamente acotado. Normalmente, hablamos de Pentesting hacia infraestructura TIC, redes, sistemas, aplicaciones web, aplicaciones móviles, API, etc. Se trata, entonces, de un ejercicio acotado en términos de alcance, hacia uno o más activos, orientado a evaluar las fortalezas y debilidades de seguridad de uno o más ciberactivos.

Principales Diferencias

Enfoque y alcance. Como podrás notar, un pentesting es un ejercicio que posee un objetivo y alcance particular normalmente hacia uno o más sistemas o activos de información mientras que un Ethical Hacking es un enfoque global y holístico en búsqueda de amenazas y debilidades para una organización. Por otro lado, normalmente un pentesting aborda un “contexto” especifico lo cual lo hace un ejercicio mucho más especializado y minucioso para ese “contexto”, ejemplo: Un Web Aplication Pentesting, API Pentesting, Phishing Pentesting o un Wireless Pentesting. Esto último indica que se requieren, por parte de los pentester, conocimientos solidos respecto de las técnicas, tácticas y procedimientos empleadas en este tipo de ejercicios y hacia el “contexto” definido.

Otra diferencia, fundamental, tiene que ver con las posibilidades de encadenar ataques y vulnerabilidades que nos permite el ejercicio de Ethical Hacking al ser este un enfoque holístico, las posibilidades de construir y diseñar un ataque exitoso son infinitas mientras que en un pentesting estamos “acotados” por el alcance y el “contexto” definido.

¿Cuándo?

Si nunca has realizado un ejercicio de esta naturaleza; Un Ethical Hacking es tu opción.
Si ya posees un plan de ejercicios; Al menos 1 vez al año debes realizar un Ethical Hacking.
Paso a producción ¿? Un nuevo desarrollo ¿? Un nuevo sistema ¿? Un Pentesting es lo que debes realizar.
Cuando se necesita evaluar, con foco, la ciberseguridad de uno o más activos. Pentesting claramente.

Por supuesto, lo anterior son sugerencias para que se entienda el concepto de alcance y foco respecto de EH y un PT.

En resumen, podemos decir que el pentesting y el ethical hacking son similares en su objetivo de evaluar la seguridad, pero difieren en su enfoque y objetivos finales. Mientras que el pentesting se centra en identificar las debilidades y vulnerabilidades de un sistema con un enfoque acotado y claramente definido, el ethical hacking busca mejorar la seguridad con un enfoque ético, amplio y holístico en colaboración con la organización.

En conclusión, ambos ejercicios son hoy empleados por todo tipo de organizaciones a y deben ser considerados por las organizaciones para medir y evaluar la seguridad y ciberseguridad de sus sistemas, aplicaciones, infraestructuras y plataformas. Una combinación equilibrada de pentesting y ethical hacking es sin duda mejor estrategia aplicable.

Y eso del Black box, gray o White box ¿?... Eso para otro artículo.

Espero haber aportado. Éxito y gracias por tu tiempo.

Escrito por: César Millavil Arenas

CompunetGroup CEO

C|EH - ISO27001LA – ISO27032LM

La importancia de los Ethical Hackings

Thu, 19 Jan 2023 10:52:39 -0300

La importancia de los Ethical Hackings

Hoy quiero hablarles sobre un tema muy relevante sobre todo en los servicios digitales: los ethical hackings. ¿Qué son los ethical hackings? Se trata de pruebas de penetración realizadas por profesionales cualificados con el objetivo de identificar vulnerabilidades en los sistemas de una empresa.

¿Por qué realizarlos?

Pero ¿por qué es importante que una empresa realice estas pruebas? Bueno, imaginemos por unos segundos que un cibercriminal quiere acceder a los datos sensibles de su empresa. ¿Cómo se aseguraría de que sus sistemas están lo suficientemente seguros como para evitar que eso suceda? Una forma de hacerlo es mediante los ethical hackings.

Al realizar estas pruebas, se pueden detectar y corregir las vulnerabilidades antes de que un cibercriminal las encuentre. Esto ayuda a proteger los datos de la empresa y a evitar posibles pérdidas económicas debido a un ciberataque.

Además, realizar este tipo de actividad también puede ayudar a cumplir con las normas y regulaciones de seguridad de la información tales como ISO 27001, SOC 2 y PCI DSS, lo cual es esencial para cualquier empresa que trabaje con datos sensibles.

Pero ¿cómo se realizan estos ethical hackings?

Bueno, los profesionales que realizan estas pruebas utilizan técnicas, tácticas y procedimientos similares (TPP) a las que utilizaría un cibercriminal, pero con la diferencia de que lo hacen con el conocimiento y el consentimiento de la empresa.

¿Y qué beneficios le trae a mi empresa realizar un Ethical Hacking?

Detectar y corregir vulnerabilidades: Como mencioné anteriormente, al realizar estas pruebas, se pueden detectar y corregir las vulnerabilidades antes de que un cibercriminal las encuentre. Esto ayuda a proteger los datos de la empresa y a evitar posibles pérdidas económicas debido a un ciberataque.

Mejorar la seguridad: Al realizar pruebas de penetración, se pueden identificar y corregir las debilidades en la seguridad de la empresa. Esto ayuda a mejorar la seguridad general de la empresa y a proteger los datos sensibles.

Cumplir con las regulaciones: Muchas empresas están sujetas a regulaciones y normas de seguridad de la información. Los ethical hackings ayudan a cumplir con estas regulaciones al identificar y corregir las vulnerabilidades antes de que un regulador las detecte.

Ahorro de costos: Realizar pruebas de penetración internamente puede ser más económico que tener que lidiar con las consecuencias de un ciberataque. Además, al detectar y corregir las vulnerabilidades, se puede reducir el riesgo de pérdida de datos y de interrupción del negocio.

¿Cuáles son las consecuencias de no realizar un Ethical Hacking?

En realidad, hay varios ejemplos de empresas que no tomaron en serio la seguridad de sus sistemas y sufrieron las consecuencias.

El ciberataque más reciente en nuestro país fue el ataque a la empresa Emco, una compañía de suministros eléctricos y electrónicos. El ataque, permitió obtener acceso a los sistemas internos de la empresa y exfiltrar información confidencial de los clientes, incluyendo información financiera y de identificación personal. Además, los atacantes también utilizaron malware para interrumpir las operaciones de la empresa.

En 2019, la Comisión para el Mercado Financiero (CMF) también fue víctima de un ciberataque. En este caso, los atacantes utilizaron una combinación de técnicas, incluyendo phishing y malware, para obtener acceso a los sistemas internos de la CMF y exfiltrar información confidencial de clientes.

Un ejemplo claro sobre la importancia económica y los problemas que nos podríamos ahorrar si implementamos Ethical Hacking, es el caso de la empresa de comercio electrónico Target. En 2013, los cibercriminales accedieron a los datos de tarjetas de crédito de 40 millones de clientes. Si Target hubiera realizado pruebas de penetración, es posible que se hubiera detectado y corregido la vulnerabilidad que permitió el ataque.

Target reportó un total de $162 millones de dólares en pérdidas como consecuencia del ataque. Quiero reiterar, ¿qué es más costoso: realizar un ethical hacking o lidiar con un ciberataque?

Los ethical hackings son una herramienta esencial para garantizar la seguridad de los sistemas de una empresa. Si no se realizan, se corre el riesgo de sufrir un ciberataque que podría tener consecuencias graves para la empresa. Por lo tanto, es importante que todas las empresas consideren realizar pruebas de penetración de forma regular.

Escrito Por: Giovanni Díaz

Analista de Ciberseguridad