Fran 🐝 Brizzolis en Emprendedores y Empresarios, Marketing y Producto, beBee en Español Global Brand Ambassador • beBee Affinity Social Network 17/4/2018 · 10 min de lectura · 1,9K

La importancia de los "Indicadores de Compromiso" (IoC) en seguridad informática


La importancia de los "Indicadores de Compromiso" (IoC) en seguridad informática

¡Hola abejas!

Después de 3 semanas sin PC (por una nueva avería) vuelvo a la carga… Para los curiosos diré que la incidencia que esta vez me dejó otra vez sin PC es en realidad “la misma” de antes.

Mi PC (nuevo de hace 2 años) en algún momento empezó a calentarse por un funcionamiento, digamos menos eficaz de uno de sus ventiladores, un fallo “sin ruido” y sin una clara evidencia de avería, que fue causando el sobrecalentamiento de la GPU, lo que provocó la avería anterior del pasado mes de diciembre, (fallo GPU y fallo posterior del monitor), y que fue reparada convenientemente.


                                        Aquí os dejo una foto de mi "pepinillo", ya "recuperado de su cirugía"


Pero dado que el citado ventilador seguía fallando sin “hacer ruido”, y que “afortunadamente” (antes del final de la garantía) ese ventilador “sigiloso” falló de forma evidentemente, saliendo de su “anonimato” y empezando a hacer muchísimo ruido (es un ventilador de 4200 rpm), que ocasionó la nueva avería, que en realidad es la 2ª fase de la avería inicial, pero que ya ha sido solucionada de forma óptima, y que dejó en evidencia de la elevada (pero no exagerada) temperatura de funcionamiento, y mantenida en el tiempo de antes, y que yo no vigilé de forma adecuada, aunque si lo notaba, pero no lo monitoricé con algún software disponible para tales tareas y que yo conocía, pero no utilicé. El ventilador empezó a fallar hace tiempo, y causó la primera avería, sin embargo, ese ventilador se estropeó mucho más tarde, pero lo hizo en período de garantia, por lo que mi PC dispone de componentes nuevos en un 80%.

Tal vez si hubiéramos podido “analizar el comportamiento” del ventilador, nos hubiésemos anticipado a la avería.

Después de la “parrafada” para “abejas curiosas”, vamos al tema que quiero tratar con vosotros en este nuevo “primer post de regreso”, después del parón fortuito de estas semanas, y que seguro algunos de vosotros habréis deducido, o tal vez no.



                                               *         *         *         *         *         *




¿Quién no recuerda el inicio del siglo XXI con su “efecto 2000”?


Una época en la ocurrían cosas muy “raras”, como el que nuestro detector de SPAM tuviera “que aprender” a detectar esos correos basura, o que nuestros anti-virus comenzaran a analizar el “comportamiento” de las aplicaciones. Sin duda eran tiempos muy extraños, tan extraños que “incluso hasta yo tenía trabajo”, algo casi impensable en estos momentos.

Bueno, bromas aparte, algunos ya habréis deducido que voy a hablaros de “análisis de patrones” (no, no es sacarle sangre al capitán del barco), y que es de suma importancia hoy en día, ya que hoy todo, absolutamente todo, lleva información en “su interior”, y el extraer y analizar esa información de forma correcta, puede suponer una gran ventaja frente a la competencia, ya que nos hace disponer de información privilegiada, muy útil para poder anticipar tendencias y comportamiento futuros, tanto de personas y mercados, como de máquinas, llegando por ejemplo, a poder prevenir averías futuras antes de que se produzcan.

Hoy en día, el análisis de patrones, (ocultos o no) es algo imprescindible, para muchas cosas, como puedan ser la minería de datos, la publicidad dirigida, o por ejemplo toda la analítica web y las métricas SEO, pero esto no es algo nuevo, recordad los analistas bursátiles, o las películas de espías, donde aparecen "analistas" de diferentes agencias de seguridad.


La recopilación de información, para su posterior análisis, intentando encontrar patrones (ocultos o no), y así conseguir una posición de ventaja, bien sea, frente a la competencia, o frente al enémigo en un conflicto bélico, por ejemplo, existe desde practicamente "siempre"... Es algo "inherente" al ser humano, en mi modesta opinión.

Pensad por un momento en la intuición, en ese "sentido arácnido" que todos hemos sentido alguna vez. ¿No podría esto responder a un "análisis incosciente de patrones", que pueda hacernos "intuir" lo que pudiera acontencer en un futuro cercano?...


Y en seguridad informática no va a ser menos, aunque sí que es verdad, que esos patrones son más del tipo de “blanco y en botella…”, y no corresponden tanto a la utilización de complejos algoritmos y métricas, como los que se puedan usar para el análisis de la gestión correcta de la calidad en una determinada organización, o el desempeño de los trabajadores de una empresa, o el “engagement” de los usuarios y sus publicaciones o comentarios en una red social, por citar algunos ejemplos.


Para poneros en situación de algo que muchas abejas saben que vengo diciendo desde hace tiempo,  os recomiendo que veáis  este vídeo   de Cuarto Milenio, donde se aborda esta temática, pero desde un punto de vista, que sin duda "acongoja" un poco, donde grandes expertos abordan esta temática, incluso desde la perspectiva militar y de las fuerzas de seguridad.


En un mundo donde las organizaciones necesitan estar observando o monitorizando sus redes continuamente, saber qué buscar es fundamental. En este post trataremos de discutir cómo detectar incidentes de manera temprana al identificar "precursores de ataques" y otros indicadores principales que ayudarán a proteger nuestra organización y pueden detener un ataque.





Tipos de amenazas de ataque


Existen varias fuentes de actores amenazantes, por ejemplo:


Molestos - Los ataques son oportunistas. La organización está dirigida porque es vulnerable.

Insider - La información privilegiada de confianza roba datos. Difícil de prevenir, pero la detección y atribución es posible.

Hacktivistas - Motivado por una causa. Determinado, pero no siempre sofisticado.

Propiedad financiera e intelectual (PI) - Ataques más sofisticados. Típicamente, información de destino para ganancia   financiera o competitiva.

Patrocinado por el estado - Persistente y dirigido. Los ataques continúan hasta que se obtienen datos específicos.



Anatomía de un ataque


Con suficiente tiempo y recursos, un atacante experto siempre encontrará una manera de entrar. Entonces, ¿cómo lidian las empresas con esto? Las empresas deben tener un Programa de Respuesta a Incidentes (IRP) en su lugar. Se requiere un IRP exitoso para juntar los recursos necesarios de una manera organizada para detectar y enfrentar un evento adverso relacionado con la seguridad del personal, los sistemas y los datos. Un IRP debe analizarse exhaustivamente para evaluar la respuesta de una organización a los incidentes que ocurren en su entorno.


La mayoría de las organizaciones no están preparadas para detectar y responder a intrusiones específicas, la mayoría de las veces porque:


---  Las defensas tradicionales no funcionan.

---  Visión enfocada en vulnerabilidades y prevención de Zero Days.

---  Procesos de respuesta a incidentes insuficientemente desarrollados.

---  Compromiso de los recursos humanos con las habilidades necesarias, la capacitación y la preparación.


Las organizaciones necesitan una nueva estrategia de defensa en profundidad, que esté diseñada y desplegada como una postura de seguridad defendible, y  que permita las capacidades de:


---  Detectar.

---  Contener.

---  Investigar.

---  Erradicar.

---  Recuperar.


Ningún producto o productos por si solo puede detener a los atacantes humanos innovadores que pueden evolucionar a medida que surge la necesidad, alterando las tácticas y desarrollando niveles cada vez mayores de sofisticación.



Indicadores de compromiso


En el entorno de amenazas actual, la comunicación rápida de la información de amenazas es la clave para detectar, responder y contener rápidamente ataques dirigidos. La búsqueda de indicadores de compromiso (IOC) es una forma efectiva de combatir a los atacantes avanzados. Los IOC son artefactos forenses de una intrusión que se pueden identificar en un host o red.

Los IOC vinculados a “observables” se relacionan con eventos cuantificables o propiedades con estado que pueden representar desde la creación de una clave de registro en un host (evento medible) hasta la presencia de un mutex (propiedad con estado).

Por ejemplo, después de usar un Framework de Detección APT para optimizar y verificar cualquier brecha, una organización debe monitorear y detectar continuamente cosas como:


---  Tráfico de red saliente inusual.

---  Actividad geográfica o de campo a través de inicios de sesión inusuales o patrones de acceso.

---  Intentos de ocultar pistas o de oscurecer su presencia en nuestros sistemas.

---  Señales de envenenamiento de caché ARP, suplantación de ARP y otros ataques de "hombre en el medio".

---  Cambios sospechosos en los puertos de escucha, los servicios del sistema y los controladores, las tareas           de inicio y las tareas programadas.

---  Anomalías en la actividad de la cuenta de usuario privilegiado o cambios de permisos.

---  Cambios en las configuraciones locales de Firewall y cuentas de usuario locales.

---  Cambios en los servidores DNS o el enrutamiento de IP.

---  Síntomas o presencia de rootkits.


Todos estos elementos pueden proporcionar indicios tempranos de malos actores y ayudarlo a identificar y contener incidentes de seguridad antes de que resulten en pérdida para el negocio. Aunque no están presentes en todos los escenarios de respuesta a incidentes, los IOC están presentes con mayor frecuencia si el analista de seguridad tiene los ciclos y la oportunidad de aprender dónde y cómo identificarlos. La capacidad de un analista de seguridad, que trabaje en el CSIRT o investigador / cazador de amenazas para recopilar, registrar y anotar IOC de manera detallada es un factor de éxito crítico.

 

La fórmula de alto nivel más adecuada en la búsqueda de indicadores de compromiso podría ser algo así:


Detección

Herramientas y metodología del atacante del documento (también conocido como inteligencia):

  • Red DNS, IP y patrones de protocolo de tráfico (de salida).
  • Entradas del archivo de registro.
  • Alojar artefactos forenses y memoria viva.
  • Metadatos.
  • Analiza las herramientas del atacante para crear IOC altamente efectivas.
  • Uso de la inteligencia para buscar proactivamente actividad de atacante.


Contención

Cuarentena en la red.
  • Realizar una respuesta ante incidentes para identificar lo que sucedió y su actividad relacionada.


Investigar

  • Investigar incidentes para aumentar el compromiso de inteligencia y alcance.
  • Llevar a cabo sesiones de escenarios de amenazas basadas en la inteligencia recolectada.


Erradicar y recuperar

Identificar todo:

  • Cuentas y servidores comprometidos.
  • Puertas traseras activas (balizas) y pasivas (escuchas).
  • Otros puntos de entrada como servidores web, VPN y servicios de terminal.


Deberemos:

  • Restablecer contraseñas.
  • Eliminar puertas traseras.
  • Separar los sistemas vulnerables que están explotando para poder acceder.
  • Continuar buscando IOCs para garantizar que la reparación funcionó e identificar si el atacante regresa.
  • Llevar a cabo las lecciones aprendidas y las sesiones después del incidente.


Limpiar y repetir

Los indicadores comienzan simplemente buscando firmas específicas. Estos pueden ser los artefactos forenses tradicionales como las sumas de comprobación MD5, los tiempos de compilación, el tamaño del archivo, el nombre, la ubicación de las rutas, las claves de registro, etc. Se pueden combinar muchos tipos diferentes de indicadores específicos en una IOC, de modo que cualquiera de varios conjuntos de firmas de diferentes tipos de complejidad podría aplicarse dentro de una IOC particular.


Cuando un administrador de sistemas e infraestructuras informáticas ha logrado reunir todos los patrones de los incidentes de seguridad, obtiene un resultado acumulado conocido cono Indicadores de Compromiso (IOC), y cada analista de seguridad debe encontrarse familiarizado con este concepto y todo lo que implica.


Un Indicador de Compromiso es una descripción de cualquier incidente de ciberseguridad, artefacto malicioso y/o actividad, mediante el análisis de sus patrones para que pueda llegar a ser identificado en cualquier red o endpoint, lo que ayuda a mejorar las capacidades en cuanto a la gestión de cualquier incidente que ocurra en este aspecto.




Por ende, los indicadores de compromiso resultan vitales para el cuidado de la estructura de TI, dado que se adapta a las necesidades particulares de cada compañía, tanto para su posterior detección, y su compartición o caracterización para que puedan ser aprovechados por terceros manual o automáticamente.

Un incidente de seguridad se define como un evento adverso que compromete o intenta comprometer la confidencialidad, integridad o disponibilidad de la información.  De acuerdo con este concepto, la clave para determinar si un comportamiento “anormal” (ya sea real o sospechado) se trata de un incidente de seguridad o no, está en el análisis preliminar del estado del sistema en dicho momento, que involucra la revisión de múltiples variables (aumento del tráfico de red, alto consumo de CPU o de memoria RAM, lentitud en la respuesta de procesos, ejecución de binarios extraños, cambios en los ficheros de configuración), que en conjunto permiten detectar o inferir que algo extraño está ocurriendo y de forma paralela empezar a perfilar una respuesta acorde con la tipología del evento.

Lamentablemente, el principal enemigo en este tipo de análisis preliminares es el tiempo, ya que la información del potencial incidente puede provenir de diferentes fuentes  como por ejemplo: revisiones manuales del sistema por parte del administrador, notificaciones de usuarios, alertas de diferentes herramientas de seguridad y monitorización instaladas como antivirus, FIM, IDS/IPS, etc.

Durante la ventana de tiempo en la cual se obtienen estos datos, se correlacionan y se analizan, el sistema estará expuesto a que el incidente esté amplificando su impacto o simplemente se trate de un falso positivo, desgastando injustificadamente al equipo encargado de la respuesta a incidentes.



Frente a ello, han surgido múltiples iniciativas técnicas, dentro de las cuales resaltan los IoC (Indicators of Compromise – Indicadores de Compromiso). Se trata de modelos basados por lo general en metalenguajes que permiten registrar, parametrizar, comparar, categorizar y compartir la información conocida del comportamiento de incidentes analizados previamente desde una perspectiva holística, cubriendo todas las variables clave y propiedades que pueden dar pie a una detección y clasificación efectiva, y analizando exclusivamente aquellos elementos relacionados sin perder el tiempo en análisis adicionales “a ciegas” que no ofrezcan valor en las conclusiones.



Indicadores de Compromiso (IOC) que debemos supervisar


En la búsqueda por detectar violaciones de datos con mayor rapidez, los indicadores de compromiso pueden actuar como importantes migas de pan para los profesionales de seguridad que miran sus entornos TIC. Actividad inusual en la red o en los sistemas puede ayudar con frecuencia a las organizaciones a detectar la actividad atacante para por lo menos evitarla en sus primeras etapas.

Según los expertos, aquí están algunas claves para detectar Indicadores de Compromiso:


1. Tráfico de salida de red inusual

Tal vez uno de los mayores signos reveladores de que algo anda mal es cuando se encuentran patrones de tráfico inusuales en la red.

Teniendo en cuenta que las posibilidades de mantener a un atacante en la red son difíciles de cara a los sofisticados ataques modernos, los indicadores de salida pueden ser mucho más fáciles de controlar según los expertos en materia de seguridad, por lo que deberemos estar atentos ante tráfico de salida de la red hacia direcciones IP no habituales o desconocidas por nosotros.


2. Anomalías en la actividad de la cuenta de usuario con privilegios

Un ataque bien orquestado se puede realizar mediante una escalada de privilegios de las cuentas que ya han comprometido, o comprometiendo nuevas cuentas para dejar atrás otras cuentas (usadas anteriormente) con privilegios elevados. Mantener una supervisión  de estas cuentas, utilizando tablas sobre el comportamiento inusual de las cuentas privilegiadas de la organización,  es un "must" , nos protege de los ataques internos.


3. Irregularidades geográficas

Ya sea a través de una cuenta con privilegios o no, irregularidades geográficas en los patrones de log-in y de acceso nos pueden proporcionar pruebas convincentes de que los atacantes están moviendo los hilos desde lejos. Por ejemplo, el tráfico entre los países en que la compañía no hace negocio.

Del mismo modo, cuando una cuenta se conecta en un corto período de tiempo desde diferentes direcciones IP en todo el mundo, eso es un buen indicacativo de problemas.


4. Banderas rojas

Irregularidades y fallos, o una cantidad inusual de intentos de login pueden proporcionar excelentes pistas de red y del sistema de sondeo por los atacantes.

Del mismo modo, el intento, o el éxito de inicio de sesión en la actividad después de horas (de intentos fallidos), nos proporcionará indicios de que en realidad no es un empleado el que está accediendo a los datos.


5. Incremento del volumen de "lecturas" de la base de datos

Una vez que un atacante se ha hecho con las joyas de la corona y busca exfiltrar información, habrá señales de que alguien ha curioseado en los sistemas de información. Una de ellas es el posible aumento de lecturas de la base de datos.


6. Tamaño del archivo HTML de respuesta

Si los atacantes utilizan la inyección SQL para extraer datos a través de una aplicación web, las solicitudes emitidas por ellos por lo general tendrán un tamaño de respuesta HTML más grande que una solicitud normal. Por ejemplo, si el atacante extrae la base de datos completa de tarjetas de crédito, entonces una sola respuesta para ese atacante podría ser de 20 a 50 MB, donde una respuesta normal es de sólo 200 KB.


7. Un gran número de solicitudes para el mismo archivo

Se necesita mucho de ensayo y error para manipular un sitio (los atacantes tienen que seguir intentando diferentes exploits para encontrar los que son efectivos). Y cuando se encuentran indicios de que una explotación pueda ser exitosa, suelen utilizar distintas combinaciones para aprovecharla.

Así, mientras que la dirección que están atacando cambiará en cada solicitud, la parte real nombre probablemente será la misma, por lo tanto, es posible que veamos un solo usuario o IP haciendo 500 solicitudes de "join.php",  cuando normalmente una sola IP o usuario pedirían esa página.


8. El tráfico "Port" y de aplicación no coinciden

Los atacantes a menudo se aprovechan de los puertos oscuros moverse más sencillas técnicas de filtrado Web. Así que, si una aplicación utiliza un puerto inusual, podría ser señal de tráfico de mando y de control disfrazado de comportamiento de la aplicación “normal”.

En varios casos de hosts infectados envío de C & C enmascarado comunicaciones, peticiones DNS a través del puerto "estándar" (puerto 80). A primera vista, estas solicitudes pueden parecer consultas DNS habituales, sin embargo, no es hasta que realmente se analizan estas consultas, cuando podemos ver que dicho tráfico no es un "tráfico estándar.”


9. Registro o cambios sospechosos del sistema de archivos

Una de las formas en las que el malware establece persistencia dentro de un huésped es infectado es a través de cambios en el registro.

Del mismo modo, muchos atacantes dejarán atrás los signos que han manipulado con una serie de archivos de sistema y configuraciones. Esto hará a las organizaciones identificar rápidamente los sistemas comprometidos mediante la búsqueda de este tipo de cambios.


10. El DNS realiza peticiones "extrañas"

Una de las señales de alerta más eficaces que una organización puede tener en cuenta, son los patrones reveladores dejados por las consultas DNS maliciosos.

El tráfico de comando y control es a menudo el tráfico más importante para un atacante, ya que les permite la gestión continua del ataque y tiene que ser seguro para que los profesionales de seguridad no pueden revertir el problema con facilidad.  

Los patrones únicos de este tráfico pueden ser reconocidos y es un enfoque muy estándar y fiable para la identificación de un IOC.






Referencias:


https://www.pandasecurity.com/spain/mediacenter/seguridad/iocs-y-sus-capacidades/

https://conexioninversa.blogspot.com.es/2013/03/indicadores-de-compromiso-ante-una.html

https://www.certsi.es/blog/el-valor-los-indicadores-compromiso-industria

http://www.gurudelainformatica.es/2018/01/herramienta-de-deteccion-de-malware.html

http://blog.elevenpaths.com/2018/02/iocseeder-analisis-dinamico-de-malware.html

https://www.acamstoday.org/ciberseguridad-indicadores-de-compromiso/



Fran 🐝 Brizzolis 20/4/2018 · #13

#12 Me alegra poder cambiar vuestra perspectiva sobre la dificultad.... Dedicacion y dedicacion, sin olvidar que siempre habrá quien te supere...

0
Sonia Roselló Puig 20/4/2018 · #12

Y así, tan fácil, lo expones, y te quedas tan feliz. Estoy encantada con tu conocimiento, estoy con @Ignacio Orna (Nacho), puedes con ello seguro¡¡¡

+1 +1
Fran 🐝 Brizzolis 17/4/2018 · #11

#10 Pues no lo habia oido nunca... Al menos con ese nombre... Gracias, lo investigaré

0
Ignacio Orna (Nacho) 17/4/2018 · #10

#9 Si te entiendo se le llama el complejo de la pizza y el helado.

+1 +1
Fran 🐝 Brizzolis 17/4/2018 · #9

#8 Estoy en ello. Debo conseguir la "documentación obligatoria". Y hacer la "solicitud". Y ya veremos... Soy yo quien más me exijo, y a veces me "boicoteo" a mi mismo, es uno de mis infinitos defectos, pero es que quiero hacerlo "muy bien" (dentro de mis posibilidades), y todo me parece poco.

+1 +1
Ignacio Orna (Nacho) 17/4/2018 · #8

#7 El "ACONGOJA" escuché hace poco que se quita haciendo.

+1 +1
Fran 🐝 Brizzolis 17/4/2018 · #7

#6 Jajaja.... Gracias por tus ánimos @Ignacio Orna... Me conformo con mucho menos... Hay grandes profesionales en este universo de la informática que sin duda requiere muchos más conocimientos de los que yo pueda tener... Pero "podemos hablar del tema"... De momento estoy condiderando seriamente hacerme #cibercooperante del INCIBE... Y "acongoja" un pelín la verdad.

+1 +1
Ignacio Orna (Nacho) 17/4/2018 · #6

Te veo impartiendo cursos y dando conferencias por Ayuntamientos y otros organismos oficiales.

+1 +1