Gestión y detección de IOCs

IOC (Indicators Of Compromise) es un estándar de la industria que permite describir condiciones en los equipos informáticos que, de cumplirse, pueden comprometer la seguridad de las organizaciones. Siendo un concepto similar al del fichero de firmas, su principal diferencia con éste es su formato abierto, que favorece la colaboración e intercambio de inteligencia de seguridad, y permite al administrador extender de forma sencilla las capacidades de detección de Advanced EPDR.

Este capítulo describe las herramientas implementadas en Advanced EPDR para importar y exportar IOCs en el producto, buscar en los equipos protegidos indicadores de compromiso y visualizar de forma rápida los resultados.

Para obtener información adicional sobre los distintos apartados del módulo Software autorizado consulta las referencias siguientes:

Crear y gestionar configuraciones: información sobre crear, modificar, borrar o asignar configuraciones a los equipos de la red.
Acceso, control y supervisión de la consola de administración : gestión de cuentas de usuario y asignación de permisos.
Protección avanzada: configuración de los modos lock y hardening.

Conceptos de IOCs

Para una correcta comprensión de los procesos involucrados en el uso de IOCs es necesario presentar algunos conceptos relativos a las tecnologías que soportan este estándar de la industria.

IOC (Indicator Of Compromise, Indicador de compromiso)

Conjunto de reglas que describen patrones de comportamiento sospechosos de pertenecer a un ciberataque. A diferencia del fichero de firmas, con un objetivo similar, el IOC tiene un formato abierto que permite el intercambio de inteligencia de seguridad entre los diversos actores (proveedores, consumidores, usuarios etc.).

Existen varios estándares para describir patrones de comportamiento sospechosos, de entre todos ellos el más extendido en la actualidad es STIX.

STIX (Structured Threat Information Expression)

Es un lenguaje basado en JSON que describe las amenazas de seguridad de manera estructurada e interrelacionada para lograr una mejor legibilidad y comprensión. Esta basado en grafos que representa los objetos y sus relaciones de manera intuitiva.

Cada IOC contiene una serie de entidades y relaciones que describen al detalle cada “artefacto” o indicio que identifica al ataque, como por ejemplo direcciones IP o dominios susceptibles de albergar servidores C&C (Command & Control), MD5 o SHA de ficheros sospechosos de contener virus y otras amenazas etc.

STIX también permite aprovechar la información descrita en otros formatos, como por ejemplo reglas YARA.

Advanced EPDR es compatible con el estándar STIX 2.x

YARA (Yet Another Recursive Acronym)

Es un lenguaje basado en reglas que permite crear descripciones de familias de malware basadas en patrones textuales o binarios. Estas reglas están formadas por conjuntos de cadenas de caracteres y expresiones booleanas que las relacionan, y se utilizan en búsquedas sobre los ficheros del equipo sospechoso de haber sido infectado.

Un IOC puede incorporar una única regla YARA en su definición, aunque ésta puede ser todo lo compleja que sea necesaria para detectar familias enteras de malware.

Otros formatos de IOCs

Actualmente, en el mercado existen varios formatos abiertos para el intercambio de inteligencia de seguridad que cumplen funciones equivalentes. Algunos de esos formatos son OpenIOC y TAXII, entre otros. Por otra parte, un mismo formato de IOC puede tener varias versiones incompatibles entre sí, como es el caso de STIX 1.x y 2.x.

Para poder reutilizar IOCs descritos en formatos no compatibles con Advanced EPDR, existen herramientas gratuitas que realizan las conversiones necesarias para transformar cualquier IOC en uno con el formato STIX 2.x.

Resultados generados por una búsqueda de IOCs

Para no sobrecargar a los equipos de la red, Advanced EPDR limita la profundidad de las búsquedas complejas de IOCs aplicando las reglas siguientes:

  • Para IOCs simples o con una regla YARA: son aquellos que buscan un único atributo con un valor concreto. Estos IOCs devolverán hasta 10 resultados por equipo, momento en que la búsqueda se detendrá.

  • Para IOCs complejos: son aquellos que buscan varios atributos, o un atributo con varios valores. Estos IOCs devolverán el primer resultado encontrado en cada equipo, momento en que la búsqueda se detendrá.

Debido a este modo de funcionamiento, el número de resultados mostrado en los listados y widgets puede no ser completo, sobre todo en infecciones masivas con muchos ficheros afectados en cada equipo de la red de la empresa. En estos casos se garantiza que por lo menos se muestre un resultado por cada equipo de la red sin afectar a su rendimiento.

Flujo de trabajo general con IOCs

Sigue el flujo de trabajo para buscar con éxito indicios de ataques informáticos en la red:

  • Comprueba que la cuenta de usuario que accede a la consola tiene los permisos requeridos. Consulta el apartado Gestión de IOCs para más información.

  • Importa IOCs de terceros o créalos mediante el asistente. Consulta el apartado Gestión de IOCs para más información.

  • Crea una tarea de búsqueda de IOCs. Consulta el apartado Búsqueda de IOCs en la redpara más información.

  • Visualiza los IOCs encontrados mediante los resultados de la tarea de búsqueda, con el listado de IOCs o con los widgets disponibles. Consulta el apartado Búsqueda de IOCs en la red y Paneles / widgets de IOCs para más información.