02
octubre
2019

Indicadores de Compromiso

security

Una de las preocupaciones principales para el soporte a una infraestructura de comunicaciones, es cómo prevenir la aparición de amenazas o cualquier actividad sospechosa que pueda comprometer la seguridad de la información de las redes informáticas.

Un incidente de seguridad informática se define como un evento adverso que compromete o intenta comprometer la confidencialidad, integridad o disponibilidad de la información.

La clave para determinar si un comportamiento anómalo se trata de un incidente de seguridad o no (sea real o sospechado), está en el análisis preliminar del estado del sistema en dicho momento, que involucra la revisión de múltiples variables, como el aumento del tráfico de red, el alto consumo del CPU o de memoria RAM, lentitud en la respuesta de procesos, ejecución de archivos binarios extraños, cambios en los ficheros de configuración, entre otros, que en su conjunto, permiten detectar o inferir que algo extraño está ocurriendo y de forma paralela empezar a perfilar una respuesta acorde con la tipología del evento.

Lamentablemente, el principal enemigo en este tipo de análisis es el tiempo, ya que la información del potencial incidente puede provenir de diferentes fuentes (revisiones manuales del sistema por parte del administrador, notificaciones de usuarios, alertas de diferentes herramientas de seguridad y monitorización instaladas) y ser recibida y procesada por diferentes actores.

Durante la ventana de tiempo en la cual se obtienen estos datos, se correlacionan y se analizan, el sistema estará expuesto a que el incidente esté amplificando su impacto o simplemente se trate de un falso positivo, desgastando injustificadamente al equipo encargado de la respuesta a incidentes.

Los Indicadores de Compromiso (IoC: Indicators of Compromise, según sus siglas en inglés) constituyen la descripción de un incidente de ciberseguridad, actividad o artefacto malicioso, a través de patrones que permiten mejorar la capacidad de acción frente a la presencia de estos incidentes. Estos patrones hacen referencia a evidencias que pueden existir en las redes o en equipos, y que son aprovechadas para realizar el ataque.

Las evidencias que buscan los indicadores de compromiso son, por ejemplo, ficheros nuevos, modificaciones en el registro, o aplicaciones y programas que no fueron instalados previamente. Este intercambio de información permite generar una red de ayuda para dar una respuesta más efectiva ante los ataques.

En otras palabras, un Indicador de Compromiso en el entorno de la seguridad informática puede entenderse como un modelo, que permite registrar, parametrizar, comparar, categorizar y compartir la información conocida del comportamiento de incidentes analizados previamente, cubriendo todas las variables clave y propiedades que pueden dar pie a una detección y clasificación efectiva, analizando exclusivamente aquellos elementos relacionados sin perder el tiempo en análisis adicionales que no ofrezcan valor en las conclusiones.

Importancia

La importancia que tienen los IoC para las infraestructuras de comunicaciones y dispositivos es la posibilidad de predecir los ataques a partir de la detección de las mismas vulnerabilidades en equipos diferentes a los que fueron atacados previamente. Además, permite identificar redes o endpoint infectados cuyos ataques no fueron detectados a tiempo.

Los IoC facilitan elaborar planes de prevención de incidentes informáticos y fortalecer los sistemas de seguridad en los soportes de infraestructura tecnológicas, nutriendo aplicaciones de enfrentamiento como:

  • Sistemas de detección de intrusos (IDS)
  • Sistemas de prevención de intrusos (IPS)
  • Firewalls
  • Antivirus
  • SIEM

Es importante resaltar que un IoC es un documento vivo (generalmente en formato XML) para el intercambio de información sobre incidentes de ciberseguridad. En la mayoría de los casos no es definitivo, sino flexible y de fácil adaptabilidad por las entidades. En él se pueden recoger todo tipo de evidencias, tanto específicas de un sistema, como generales para todos los sistemas afectados.

Modelos de Implementación de IoC

En el tiempo han surgido diferentes modelos de implementación de IoC, aunque no existe un estándar asumido internacionalmente. Sin embargo, a continuación se evidencian algunos muy empleados, dependiendo de las necesidades de las organizaciones:

  • OASIS Cyber Threat Intelligence (CTI): Esta iniciativa está respaldada por algunos de los principales fabricantes de soluciones de seguridad y está orientada hacia la definición y estandarización de un conjunto de representaciones de información y protocolos para gestionar la necesidad de analizar, modelar y compartir datos de inteligencia contra amenazas informáticas.
  • IODEF (Incident Object Description Exchange Format) – RFC 5070: Contiene la descripción básica del esquema XML para el registro de variables técnicas relacionadas con incidentes conocidos para ser empleados principalmente por centros de respuesta a incidentes (CSIRT), orientado hacia la automatización en el procesamiento de datos de incidentes y la gestión de un formato común para construir herramientas interoperables para la gestión de incidentes.
  • OpenIoC (Open Indicators of Compromise): Esquema extensible de XML publicado bajo los términos de la licencia Apache 2, que permite describir las características técnicas que identifican una amenaza conocida, la metodología de un atacante u otra evidencia de compromiso para la detección rápida de brechas de seguridad en un sistema. Esta iniciativa surgió como parte de las estrategias de gestión de incidentes de MANDIANT, quienes son reconocidos por sus análisis de casos de ciberespionaje a nivel mundial.

Indicadores de Compromiso Más Frecuentes

En la búsqueda por detectar violaciones de datos con mayor rapidez, los indicadores de compromiso pueden actuar como importantes alarmas para identificar la evolución de un ataque, e intentar mitigarlo en sus primeras etapas. Algunos de los IoC más empleados son:

  • Tráfico Inusual de la Red: es considerado uno de los mayores signos reveladores de que algo anda mal. Cualquier movimiento extraño que se detecte en el tráfico debe ser un signo de alarma para los administradores. Si bien es posible que no sea un ataque, hay que verificar que no haya un punto vulnerable que pueda ser un lugar de acceso para ello.
  • Anomalías en Cuenta de Usuario: los cambios en el comportamiento de los usuarios pueden indicar que la cuenta de usuario en cuestión está siendo utilizada por otra persona. La observación de cambios, como el tiempo de actividad, los sistemas a los que se accede, el tipo o el volumen de información que se maneja, proporcionará una indicación temprana de una violación.
  • Irregularidades Geográficas: si se detectan conexiones de usuarios en diferentes ubicaciones geográficas que no tienen relación con la entidad o bien que un mismo usuario se conecta desde diferentes direcciones IP, constituye una alerta indicativa de que pueden existir problemas. La mayoría de las veces, este es un síntoma de un ataque que utiliza un conjunto de credenciales comprometidas para iniciar sesión en sistemas confidenciales.
  • Banderas Rojas: el inicio fallido de sesión utilizando cuentas de usuario que no existen, a menudo indica que alguien está tratando de adivinar las credenciales y obtener autorización; de igual modo, el éxito de inicio de sesión después de buen tiempo de intentos fallidos, puede proporcionar indicios de que en realidad no es el propietario de la cuenta el que está accediendo a los datos.
  • Incremento Extraordinario de Consultas a Base de Datos: cuando un atacante intenta extraer información valiosa de una base de datos, generará una enorme cantidad de volumen de lectura, que será mucho más alto de lo que normalmente ocurre en transacciones ordinarias, lo que constituye un indicador de alerta de que se está extrayendo información valiosa.
  • Tráfico por Puertos Inusuales: los atacantes a menudo se aprovechan de puertos inusuales para comprometer dispositivos y redes. El empleo por una aplicación de un puerto poco frecuente podría constituir una señal de alarma.
  • Cambios Sospechosos del Sistema de Archivos: cuando un dispositivo es comprometido, suele instalarse alguna herramienta de rastreo de paquetes para recolectar datos en la red; si bien las posibilidades de detectarla son menores, existe una buena posibilidad de alertar los cambios en el sistema que la contiene (que la alberga), pues para lograr su permanencia, el atacante debe realizar cambios en el registro de archivos. Definir qué se supone debe contener un registro de archivos limpio, y alertar sobre cambios, puede aumentar drásticamente el tiempo de respuesta del equipo de seguridad.
  • Anomalías en DNS: detectar un gran aumento en las solicitudes DNS de un host específico a servidores externos puede servir como un buen indicador de una actividad potencialmente sospechosa. Los patrones únicos de este tráfico pueden ser reconocidos y es un enfoque estándar para la identificación de un IoC.

De forma general, aprender a gestionar los IoC aportará conocimiento de para proteger la información que soporta una infraestructura de comunicaciones. El uso de estos indicadores permitirá disponer y mejorar una serie de herramientas, que pueden ser claves en la resolución y prevención de incidentes de seguridad informática.

La potencia de los indicadores de compromiso se encuentra en la compartición de información relevante de un incidente, dando libertad a los encargados de gestionarlo para aplicar esta información en sus sistemas. El tiempo que no se emplee en repetir el trabajo que otros ya han realizado, probado y compartido en un IoC de confianza, es el tiempo de ventaja para minimizar los riesgos de incidentes.

Los IoC crean una línea base para la identificación de diferentes variables asociadas a incidentes o ataques de seguridad informática, que permiten comparar un dispositivo potencialmente afectado contra dichos parámetros para dar una respuesta rápida y efectiva.