Introducción a los conceptos de IOAs

En esta sección se incluyen los conceptos que el administrador necesita conocer para comprender los procesos involucrados en la detección de IOAs, y en la ejecución de acciones (automáticas y manuales) de resolución.

Evento

Acción relevante ejecutada por un proceso en el equipo del usuario y monitorizada por Advanced EPDR. Los eventos se envían a la nube de Cytomicen tiempo real como parte del flujo de telemetría. Las tecnologías avanzadas de análisis automático, los analistas y threat hunters los analizan en su contexto para determinar si son susceptibles de pertenecer a la cadena CKC de un ataque informático.

Indicio

Secuencia de acciones poco frecuentes encontradas en los eventos generados por los equipos del cliente y que pueden pertenecer a un ataque informático en fase temprana.

Indicador de ataque (IOA)

Es un indicio con alta probabilidad de pertenecer a un ataque informático. Por lo general, se trata de ataques en fase temprana o en fase de explotación. Generalmente, estos ataques no utilizan malware, ya que los atacantes suelen utilizar las propias herramientas del sistema operativo para ejecutarlos y así ocultar su actividad. Se recomienda su contención o resolución con la mayor urgencia posible.

Para facilitar la gestión de IOAs, Advanced EPDR asocia a cada uno de ellos dos posibles estados, modificables de forma manual por el administrador:

  • Pendiente: el IOA está pendiente de investigación y/o resolución. El administrador debe comprobar que el ataque es real y tomar las medidas necesarias para mitigarlo. Todos los IOAs nuevos se crean con el estado pendiente asignado.

  • Archivado: el IOA ya fue investigado por el administrador y las acciones de resolución se completaron, o no fueron necesarias por tratarse de un falso positivo. Por cualquiera de estas razones, el administrador cierra el IOA.

Advanced EPDR muestra información relevante del IOA, como la táctica y técnica MITRE empleadas, los campos del evento registrado en el equipo que generó el IOA y, en caso de estar disponible, los informes siguientes:

  • Investigación avanzada del ataque: incluye información del equipo involucrado, una descripción detallada de la táctica y técnica utilizadas, recomendaciones para mitigar el ataque y la secuencia de eventos que desencadenó la generación del IOA. Consulta Campos de la ventana Detalle del IOA .

  • Gráfica del ataque: incluye un diagrama de grafos interactivo con la secuencia de eventos que desencadenó la generación del IOA. Consulta Diagramas de grafos .

Los informes tienen una duración de un mes desde la generación del IOA, transcurrido el cual dejarán de estar accesibles. A su vez, un informe muestra los eventos que forman parte del ataque en el intervalo de los 30 días anteriores a la detección del IOA.

Indicador de ataque avanzado

Los indicadores de ataque avanzados son aquéllos que realizan un seguimiento detallado de las aplicaciones que se ejecutan en los equipos, para detectar comportamientos sospechosos, analizar los eventos generados por las aplicaciones y determinar si constituyen un ataque.

La existencia de este tipo de indicador avanzado por sí sola no implica que se esté produciendo un ataque, y por ello es necesario que el administrador del parque informático los analice para determinar si se trata de un ataque o no.

Advanced EPDR muestra información relevante del IOA avanzado, como la táctica y técnica MITRE empleadas y la secuencia de eventos registrada en el equipo que lo generó.

Los indicadores de ataque avanzados solo son compatibles con equipos con sistema operativo Windows.

CKC (Cyber Kill Chain)

La empresa Lockheed-Martin describió en 2011 un marco o modelo para defender las redes informáticas, en el que se afirmaba que los ciberataques ocurren en fases y cada una de ellas puede ser interrumpida a través de controles establecidos. Desde entonces, la Cyber Kill Chain ha sido adoptada por organizaciones de seguridad de datos para definir las fases de los ciberataques. Estas fases abarcan desde el reconocimiento remoto de los activos del objetivo hasta la exfiltración de datos.

Mitre corp.

Empresa sin ánimo de lucro que opera en múltiples centros de investigación y desarrollo financiados con fondos federales dedicados a abordar problemas relativos a la seguridad. Ofrecen soluciones prácticas en los ámbitos de defensa e inteligencia, aviación, sistemas civiles, seguridad nacional, judicatura, salud y ciberseguridad. Son los creadores del framework ATT&CK.

ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)

Conjunto de recursos desarrollados por la empresa Mitre Corp. para describir y categorizar los comportamientos peligrosos de los ciberdelincuentes, basados en observaciones a lo largo de todo el mundo. ATT&CK es una lista ordenada de comportamientos conocidos de los atacantes, separados en tácticas y técnicas, y que se expresan a través de una matriz. Ya que esta lista es una representación completa de los comportamientos que los hackers reproducen cuando se infiltran en las redes de las empresas, es un recurso útil para desarrollar mecanismos tanto defensivos como preventivos y resolutivos por parte de las organizaciones. Para más información sobre el framework ATT&CK consulta https://attack.mitre.org/.

Técnica (“Cómo”)

En terminología ATT&CK, las técnicas representan la forma o la estrategia un adversario logra un objetivo táctico. Es decir, el “cómo”. Por ejemplo, un adversario, para lograr el objetivo de acceder a algunas credenciales (táctica) realiza un volcado de las mismas (técnica).

Subtécnica (“Cómo”)

En terminología ATT&CK, una subtécnica describe un "cómo" para una técnica particular. Es un proceso o mecanismo para lograr el objetivo de una táctica. Por ejemplo, el Password Spraying es un tipo de ataque de fuerza bruta para lograr el Credential Access.

Táctica (“Qué”)

En terminología ATT&CK, las tácticas representan el motivo u objetivo final de una técnica. Es el objetivo táctico del adversario: la razón para realizar una acción.