CompuNetGroup - Blog CompunetGroup #SOC

¿Qué son los IoC y los IoA?

Wed, 15 Mar 2023 14:26:07 -0300

¿Qué son los IoC y los IoA?

La monitorización, análisis, correlación e inteligencia de ciberseguridad es un rol clave, fundamental, el cual es realizado por los analistas de ciberseguridad que operan un SOC. Su labor es la analizar, de manera constante y continua, cualquier “indicador” que pueda representar una amenaza para la seguridad y ciberseguridad de nuestros activos y ciber-activos; Para el negocio.

Para que tengas contexto respecto de la operación que realiza un SOC, te invito a leer nuestro artículo escrito por Darling Núñez, analista de ciberseguridad: https://www.compunetgroup.net/blogs/post/conoces-que-labor-cumple-un-soc

¡Entonces, vamos!

¿Qué es un IoC?

IoC son las siglas de Indicator of Compromise. Es decir, se trata de una unidad métrica para determinar la existencia o no de un compromiso sobre uno o más activos o ciberactivos. Es, en estricto rigor, un indicado estático y de carácter forense. Es estático, toda vez que es un indicador que está o no está (booleano) y cuando está, se trata de una evidencia forense de una posible brecha de seguridad que se ha materializado. Se trata entonces de un indicador que permite realizar búsquedas proactivas de actividad inusual, brechas y/o vulnerabilidades sea de forma manual o automatizada a través de algún software o script desarrollado para este propósito desde el equipo de analistas de SOC, como parte de las tareas del SOC, para detección y búsqueda temprana de actividad maliciosa.

Un IoC no siempre es fácil de detectar, en ocasiones está “escondido” en registros de LOG “sin correlacionar”, en índices de bases de datos, en sistemas “silos”, en metadatos, etc. Ejemplos de IoC pueden ser:

Archivos
Actividad anómala en procesos de log-in (red flags)
Consultas DNS
Actividad anómala en la red
Incremento o actividad inusual de disco (base de datos, registros)
Accesos anómalos al contexto (ubicación, intentos fallidos, dispositivos, sistemas operativos, etc.)
Cambios en privilegios, permisos, roles, archivos, registros, etc.

¿Qué es un IoA?

IoA son las siglas de Indicator of Attack. Es decir, se del registro de un ataque (o intención de ataque) registrando el alcance (activo) y las técnicas, tácticas y procedimientos (TTP) que se están empleando, siendo esto último, en términos de indicador, más relevante que el origen que lo detona sea esto un malware, un atacante externo u otro; Por supuesto, en el contexto del análisis y uso del indicado de ataque toda vez que se trata de un indicador, dinámico, el cual efectivamente señala la materialización de un incidente y es dinámico al “cambiar” conforme las distintas etapas del ataque se suceden siendo un indicador fidedigno, con bajo o nulo falso-positivo, y que ayuda a identificar el tipo de ataque (campaña a través de las TTP).

En el contexto de que este indiciador es dinámico ya que permite “avanzar” en las distintas etapas del ataque: Reconnassance, Weaponization, Delivery, Explotation, Instalation, C&C and Movement (Lateral). Es decir, se trata de un indicador altamente dinámico y proactivo que operan en tiempo real por la naturaleza propia de un ataque.

¿Cuál es la diferencia entre un IoC y un IoA?

Primeramente, mientras el IoC es un indicador estático, IoA es dinámico y mientras IoC es una evidencia, desde el punto de vista forense, IoA es un indicador predictivo al que se le debe poner énfasis toda vez que “avisa” de un ataque en progreso o inminente. Entonces, normalmente los equipos SOC detectan IoA antes o durante la ejecución de un ataque de manera tal de contener y evitar la exfiltración de datos o el compromiso de sistemas e infraestructura deteniendo, consecuentemente, el negocio. Finalmente, el IoC es una firma estática donde, de manera previa, alguien debió conocer el IoC para tomar su firma y así podamos reconocerlo mientras que un IoA es dinámico y se le detecta por las TTP empleadas.

Los indicadores de ataque (IOA) se centran en detectar la intención de lo que un agente de amenaza se encuentra realizando, independientemente del malware o exploit utilizado en un ataque. Mientras que los indicadores de compromiso (IoC), al igual que las firmas AV, abordan un enfoque basado en la detección sin ser capaz de detectar las crecientes amenazas de intrusiones que no hacen uso de malware y/o emplean exploits de día cero. (Thank so much my dear friend Mike!).

Los equipos de analistas de ciberseguridad que operan en SOC hacen uso de ambos indicadores creando una sinergia en el uso de ambos indicadores apoyados por el mapa de TTP que ha documentado MITRE (ATT&CK), correlación a inteligencia de amenazas para tener una visibilidad 360 de todos los activos gestionados y el comportamiento de la infraestructura en su totalidad.

¿Y qué pasa cuando hay un ataque?

Entonces viene la respuesta a incidentes. Otro día 😉

César Millavil A

CompunetGroup CEO

C|EH - ISO27001LA – ISO27032LM

¿Conoces que labor cumple un SOC?

Thu, 16 Feb 2023 11:38:35 -0300

¿Conoces que labor cumple un SOC?

¿Sientes que estas totalmente seguro en tu empresa? ¿cuentas con sistemas de seguridad? Puede que sí, que tengas el mejor antivirus, firewall y varios elementos más, pero cuentas con un Soc., ¿conoces que labor cumple un SOC?

Hablemos de que es un SOC, conversemos de la seguridad que debemos tener dentro de una organización.

Will: ¿Has oído hablar de un SOC?

Chris: ¿SOC? ¿Qué es?

Will: Pfff! ¿y como sabes si hay amenazas en tu empresa? Déjame y te cuento en ingles, SOC significa “Security Operations Center” lo que se traduces en el español “Centro de Operaciones de Seguridad”. O sea, es un equipo especializado en la protección de los sistemas y datos de una organización contra amenazas de seguridad informática.

Chris: Ah, ya entiendo, pero aún no me queda tan claro…

Will: tranquilo, yo te explico a mayor profundidad que es un SOC. Un SOC está compuesto por un grupo de expertos en seguridad informática (analistas) que monitorean constantemente la red de una organización en busca de amenazas. Utilizan herramientas de análisis y técnicas avanzadas de detección para identificar y responder rápidamente a cualquier actividad sospechosa. Además, el SOC también se encarga de implementar medidas preventivas y correctivas para evitar futuros incidentes de seguridad.

Chris: Aaah entonces es super bueno, pero ¿es tan importante para que mi empresa cuente con uno?

Will: ¡¡SII!! La ciberseguridad se ha convertido en una preocupación crítica para todas las organizaciones, independientemente de su tamaño o sector. Los ciberataques son cada vez más sofisticados y frecuentes, lo que puede poner en riesgo la información confidencial de la organización, dañar su reputación y afectar sus operaciones comerciales. Un SOC es crucial para laprotección efectiva de la red y los datos de una organización, al tiempo que reduce el tiempo de respuesta ante incidentes de seguridad y minimiza los posibles daños causados por ellos.

Chris: Entonces ¿todas las organizaciones deberían tener un SOC?

Will: En general, las organizaciones que manejan información confidencial o crítica, o que dependen en gran medida de sus sistemas informáticos para operar, deberían considerar seriamente la creación de un SOC interno o externalizarlo a una empresa especializada en seguridad. Es importante destacar que un SOC es un inversió importante, pero es una inversión crucial para proteger a la organización de amenazas y reducir el riesgo de daño financiero y reputacional en el futuro.

Chris: ¡Gracias por la información! Ahora entiendo todo… hablare de inmediato en la empresa debemos contar si o si con un SOC.

Ya entendemos que es un SOC, revisemos sus puntos clave para llevar a cabo estas operaciones para ello lo ejemplificaremos.

Supongamos que el equipo del SOC de una empresa recibe una alerta de seguridad informática que indica que uno de los servidores de la empresa ha sido atacado. El equipo de seguridad del SOC se pone en acción y sigue los siguientes pasos para llevar a cabo una respuesta a incidente:

Evaluación del incidente: El equipo del SOC evalúa la alerta y determina la gravedad del incidente. En este caso, el ataque se ha detectado en uno de los servidores críticos de la empresa, por lo que se considera un incidente de alta prioridad.

Contención: El equipo tomara medidas para contener el incidente, aísla el servidor afectado de la red y detiene cualquier actividad maliciosa que se esté llevando a cabo. De esta manera, se evita que el ataque se propague a otros sistemas o dispositivos.

Investigación: El SOC lleva a cabo una investigación exhaustiva del incidente, analizando los registros de actividad del servidor afectado y de otros sistemas de la red. También se examinan otros dispositivos cercanos al servidor, en busca de signos de actividad maliciosa.

Mitigación: Una vez que se ha identificado la causa raíz del incidente, el equipo del SOC toma medidas para mitigar el impacto del ataque. En este caso, podrían desplegar una actualización de seguridad para cerrar la vulnerabilidad que fue explotada por el atacante.

Restauración: Una vez que se ha eliminado la amenaza y se han implementado las medidas de seguridad necesarias, el equipo del SOC trabaja para restaurar los sistemas y dispositivos afectados a su estado anterior al incidente.

Informe de incidente: El equipo del SOC elabora un informe detallado del incidente, que incluye una descripción del ataque, el impacto en la empresa, las medidas de mitigación implementadas y las recomendaciones para prevenir futuros incidentes.

En resumen, un SOC debe seguir un proceso sistemático y riguroso para garantizar una respuesta eficaz a cualquier incidente de seguridad. Al seguir estos pasos, el equipo del SOC puede minimizar el impacto del incidente, restaurar los sistemas y dispositivos afectados y ayudar a prevenir futuros incidentes.

Escrito por : Darling Núñez Cartagena

Cybersecurity analys