Introducción a los conceptos de IOAs

Esta sección incluye los conceptos que el administrador necesita conocer para comprender los procesos involucrados en la detección de IOAs, y en la ejecución de acciones (automáticas y manuales) de resolución.

Evento

Acción relevante ejecutada por un proceso en el equipo del usuario y monitorizada por Advanced EPDR. Los eventos se envían a la nube de Cytomic en tiempo real como parte del flujo de telemetría. Las tecnologías avanzadas de análisis automático, los analistas y threat hunters los analizan en su contexto para determinar si son susceptibles de pertenecer a la cadena CKC de un ataque informático.

Indicio

Secuencia de acciones poco frecuentes encontradas en los eventos generados por los equipos del cliente y que pueden pertenecer a un ataque informático en fase temprana.

Indicador de ataque (IOA)

Es un indicio con alta probabilidad de pertenecer a un ataque informático. Por lo general, se trata de ataques en fase temprana o en fase de explotación. Generalmente, estos ataques no utilizan malware, ya que los atacantes suelen utilizar las propias herramientas del sistema operativo para ejecutarlos y así ocultar su actividad. Se recomienda su contención o resolución con la mayor urgencia posible.

Para facilitar la gestión de detecciones de IOAs, Advanced EPDR asocia a cada uno de ellos un estado, modificables de forma manual por el administrador:

  • Pendiente: la detección está pendiente de investigación y/o resolución. El administrador debe comprobar que el ataque es real y tomar las medidas necesarias para mitigarlo. Todas las detecciones nuevas se crean con el estado pendiente asignado.

  • Archivado: la detección ya fue investigada por el administrador y las acciones de resolución se completaron, o no fueron necesarias por tratarse de un falso positivo. Por cualquiera de estas razones, el administrador cierra la detección.

  • Eliminado: el administrador o una regla de eliminación automática ha borrado la detección. Consulta Borrar automáticamente detecciones generadas por un IOA y Borrar una o varios detecciones de IOAs.

  • Eliminado: el administrador ha borrado la detección. Consulta Borrar una o varios detecciones de IOAs.

Advanced EPDR muestra información relevante de la detección, como la táctica y técnica MITRE empleadas, los campos del evento registrado en el equipo que generó la detección y, en caso de estar disponible, los informes siguientes:

  • Investigación avanzada del ataque: incluye información del equipo involucrado, una descripción detallada de la táctica y técnica utilizadas, recomendaciones para mitigar el ataque y la secuencia de eventos que desencadenó la generación de la detección. Consulta Campos de la ventana Detalle del IOA .

  • Gráfica del ataque: incluye un diagrama de grafos interactivo con la secuencia de eventos que desencadenó la generación de la detección. Consulta Diagramas de grafos .

  • Investigación: abre la consola de investigación donde muestra toda la telemetría registrada en el equipo en el momento en que se produce la detección. Para facilitar la búsqueda al administrador, la consola de investigación se posiciona en el último evento que generó la detección del IOA. El administrador puede revisar los eventos generados hasta 5 días antes, los del día de la detección y los ocurridos hasta 1 día después.

CKC (Cyber Kill Chain)

La empresa Lockheed-Martin describió en 2011 un marco o modelo para defender las redes informáticas, en el que se afirmaba que los ciberataques ocurren en fases y cada una de ellas puede ser interrumpida a través de controles establecidos. Desde entonces, la Cyber Kill Chain ha sido adoptada por organizaciones de seguridad de datos para definir las fases de los ciberataques. Estas fases abarcan desde el reconocimiento remoto de los activos del objetivo hasta la exfiltración de datos.

Mitre corp.

Empresa sin ánimo de lucro que opera en múltiples centros de investigación y desarrollo financiados con fondos federales dedicados a abordar problemas relativos a la seguridad. Ofrecen soluciones prácticas en los ámbitos de defensa e inteligencia, aviación, sistemas civiles, seguridad nacional, judicatura, salud y ciberseguridad. Son los creadores del framework ATT&CK.

ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)

Conjunto de recursos desarrollados por la empresa Mitre Corp. para describir y categorizar los comportamientos peligrosos de los ciberdelincuentes, basados en observaciones a lo largo de todo el mundo. ATT&CK es una lista ordenada de comportamientos conocidos de los atacantes, separados en tácticas y técnicas, y que se expresan a través de una matriz. Ya que esta lista es una representación completa de los comportamientos que los hackers reproducen cuando se infiltran en las redes de las empresas, es un recurso útil para desarrollar mecanismos tanto defensivos como preventivos y resolutivos por parte de las organizaciones. Para más información sobre el framework ATT&CK consulta https://attack.mitre.org/.

Técnica (“Cómo”)

En terminología ATT&CK, las técnicas representan la forma o la estrategia con la que un adversario logra un objetivo táctico. Es decir, el “cómo”. Por ejemplo, un adversario, para lograr el objetivo de acceder a algunas credenciales (táctica) realiza un volcado de las mismas (técnica).

Subtécnica (“Cómo”)

En terminología ATT&CK, una subtécnica describe un "cómo" para una técnica particular. Es un proceso o mecanismo para lograr el objetivo de una táctica. Por ejemplo, el Password Spraying es un tipo de ataque de fuerza bruta para lograr el Credential Access.

Táctica (“Qué”)

En terminología ATT&CK, las tácticas representan el motivo u objetivo final de una técnica. Es el objetivo táctico del adversario: la razón para realizar una acción.