Con la ayuda de los Indicadores de Compromiso, usted y su equipo pueden identificar actividades maliciosas o amenazas a la seguridad, como brechas de datos, amenazas internas o ataques de malware. Por lo tanto, las brechas de seguridad pueden adoptar diferentes formas: archivos desconocidos en el sistema, patrones de red extraños, comportamientos de cuentas inusuales o configuraciones inexplicables. En este artículo, descubrirá cómo reconocer ocho tipos de indicadores para proteger su negocio.
¿Qué son exactamente los indicadores de compromiso?
Los indicadores de compromiso o IoCs son pistas y pruebas de una brecha de datos, que generalmente se ven durante un ataque de ciberseguridad. Estos indicadores pueden revelar que se ha producido un ataque, qué herramientas se han utilizado para el mismo y quién está detrás. Suelen ser recolectados a través del software, incluyendo los sistemas antivirus y antimalware. Para entenderlo mejor, intenta pensar que los indicadores de compromiso son como las migas de pan que deja un atacante tras un ciberataque.
¿Cómo funcionan los IoCs?
Cuando se produce un ataque de malware, pueden quedar rastros de su actividad en el sistema y en los archivos de registro. Si se detecta una brecha de seguridad, los «datos forenses» se recogen de estos archivos y por los profesionales de TI. Estos indicios pueden utilizarse para determinar si se ha producido una brecha de datos o si la red está siendo atacada. La identificación de los IoCs es realizada casi en su totalidad por profesionales formados en materia de seguridad de la información. Normalmente, estas personas utilizan tecnología avanzada para escanear y analizar el tráfico de grandes redes y aislar las actividades sospechosas.
La estrategia de ciberseguridad más eficaz combina los recursos humanos con soluciones tecnológicas avanzadas (como la IA, el ML y otras formas de automatización inteligente) para detectar mejor la actividad anormal y mejorar el tiempo de respuesta y remediación.
¿Cómo se pueden reconocer los indicadores?
Hay algunos IoCs comunes que las organizaciones empresariales deberían conocer para detectarlos e investigarlos. A continuación se exponen algunos indicadores de compromiso más comunes para que los recordemos:
1. Tráfico inusual de salida de la red
- Las anomalías en los patrones y volúmenes de tráfico de la red son uno de los signos más comunes de una brecha de seguridad.
- No obstante, mantener a los intrusos fuera de su red es cada vez más difícil. Algunos expertos afirman que podría ser más fácil supervisar el tráfico saliente en busca de posibles indicadores de compromiso.
- Cuando un intruso intenta extraer datos de su red o cuando un sistema infectado transmite información a un servidor de comando y control, se puede detectar en la red un inusual tráfico saliente .
2. Actividad de zonas geográficas ajenas
- Si, por ejemplo, toda la operación de su empresa tiene su sede en Los Ángeles (Estados Unidos), debería sorprenderse al ver que un usuario se conecta a su red desde otro lugar, especialmente desde otro país con mala reputación por la ciberdelincuencia a nivel internacional.
- Benjamin Caudill, consultor principal de Rhino Security, afirma que: «En cuanto a los indicios de brechas de datos, una de las partes más útiles que he encontrado son los registros que muestran una cuenta que se conecta desde múltiples IPs en un corto período de tiempo, particularmente cuando se combina con el etiquetado de geolocalización. La mayoría de las veces, esto es un síntoma de que un atacante utiliza un conjunto de credenciales vulneradas para entrar en sistemas confidenciales.»
- La vigilancia de las direcciones IP en la red y su procedencia es una forma sencilla de detectar los ciberataques antes de que puedan causar un daño real a su organización.
3. Actividad inexplicable en las cuentas de usuario con privilegios
- En los ciberataques complejos, como las amenazas persistentes avanzadas, un método común es comprometer cuentas de usuarios con pocos privilegios antes de escalar sus privilegios y autorizaciones o exponer el vector de ataque a cuentas con más privilegios.
- Cuando los operadores de seguridad observan un comportamiento sospechoso de las cuentas de usuarios con privilegios, esto puede ser evidencia de ataques internos o externos a los sistemas y a los datos de la organización.
4. Aumento sustancial del volumen de lectura de la base de datos
- La mayoría de las empresas almacenan sus datos más personales y confidenciales en formato de base de datos. Por lo tanto, las bases de datos siempre serán un objetivo principal para los atacantes.
- Un pico en el volumen de lectura de la base de datos representa un buen indicador de que un atacante está tratando de infiltrarse en los archivos.
Así lo afirma Kyle Adams, arquitecto jefe de software para Junos WebApp Secure en Juniper Networks:
«Cuando el atacante intente extraer la base de datos completa de tarjetas de crédito, generará una enorme cantidad de volumen de lectura, que será muy superior a la que normalmente se vería para las lecturas en las tablas de tarjetas de crédito».
Kyle Adams
5. Frecuentes fallos de autentificación
En los casos de apropiación de cuentas, los atacantes utilizan la automatización para autentificarse utilizando credenciales falsificadas. Un alto índice de intentos de autenticación podría indicar que alguien ha robado las credenciales y está intentando encontrar una cuenta que le dé acceso a la red.
6. Muchas solicitudes en archivos importantes
- Sin una cuenta con privilegios elevados, un atacante se ve obligado a explorar diferentes recursos y encontrar la vulnerabilidad adecuada para acceder a los archivos.
- Cuando los atacantes encuentran indicios de que un exploit puede tener éxito, suelen utilizar diferentes variaciones para lanzarlo.
- Kyle Adams declaró lo siguiente: «puedes ver a un solo usuario o IP haciendo 500 peticiones para ‘join.php’, cuando normalmente una sola IP o usuario solicitaría esa página sólo unas pocas veces como máximo».
7. Cambios de configuración sospechosos
Puede que ni siquiera lo sepamos, pero cambiar las configuraciones de los archivos, servidores y dispositivos podría dar al atacante una segunda entrada («backdoor») a la red. Los cambios también podrían añadir vulnerabilidades para que el malware las aproveche.
8. Indicadores de ataques DDoS ( Denegación de Servicio Distribuida)
- Estos ataques se producen cuando un operador malintencionado intenta cerrar un servicio inundándolo de tráfico y peticiones desde una red de máquinas controladas, llamada botnet.
- Los DDoS se utilizan con frecuencia como cortinas de humo para camuflar otros ataques más dañinos.
- Las señales deDDoS: rendimiento lento de la red, indisponibilidad de los sitios web, fallo del cortafuegos, sistemas de back-end trabajando al máximo de su capacidad por razones desconocidas.
- Ashley Stephenson, CEO de Corero Network Security, afirma que:
«Además de sobrecargar los servicios principales, no es raro que los ataques DDoS sobrecarguen los sistemas de información de seguridad, como las soluciones IPS/IDS o SIEM. Esto presenta nuevas oportunidades para que los ciberdelincuentes planten malware o roben datos sensibles. Como resultado, cualquier ataque DDoS también debe ser revisado para la actividad de brecha de datos relacionados.»
Ashley Stephenson
Conclusión
Después de un ataque, las medidas de ciberseguridad de IoC se pueden utilizar para establecer qué funcionó mal, con el fin de que su empresa pueda evitar futuros exploits de la misma vulnerabilidad. Es importante aplicar la supervisión en la red para detectar un ataque, pero para las investigaciones, los registros y las pistas de auditoría son igual de importantes. Cuanto más rigurosos sean los registros y las pistas de auditoría de las organizaciones, más eficaz será su investigación durante la respuesta a incidentes. Para prevenir los ataques y salvar su negocio, ¡asegúrese de observar a tiempo esas banderas rojas anteriores de las que hemos hablado!
