Que es ioc en seguridad

Crowdstrike edr

Los indicadores de compromiso (IOC) se refieren a los datos que indican que un sistema puede haber sido infiltrado por una ciberamenaza. Proporcionan a los equipos de ciberseguridad conocimientos cruciales tras una violación de datos u otro fallo de seguridad.

Los equipos de respuesta a incidentes de seguridad informática (CSIRT) utilizan los IOC para detectar malware, mejorar la seguridad de los Sandbox y verificar la eficacia de los análisis heurísticos. También se utilizan para detectar y prevenir ataques o para limitar los daños causados deteniendo los ataques en una fase temprana.

Los indicadores de ataque se diferencian de los IOC en que éstos se centran en identificar la actividad asociada al ataque mientras éste se está produciendo, mientras que los IOC se centran en examinar lo ocurrido después de que se haya producido un ataque.

Los IOC actúan como banderas que los profesionales de la ciberseguridad utilizan para detectar actividades inusuales que evidencian o pueden conducir a un futuro ataque. Existen varios tipos de IOC. Algunos incluyen elementos simples como metadatos y otros son más complejos, como código complicado de contenido malicioso.

Seguridad TTP

Los indicadores de compromiso (IOC) sirven como prueba forense de posibles intrusiones en un sistema host o una red. Estos artefactos permiten a los profesionales de la seguridad de la información (InfoSec) y a los administradores de sistemas detectar intentos de intrusión u otras actividades maliciosas. Los investigadores de seguridad utilizan los IOC para analizar mejor las técnicas y comportamientos de un malware concreto. Los IOC también proporcionan información procesable sobre amenazas que puede compartirse dentro de la comunidad para mejorar las estrategias de respuesta y corrección de incidentes de una organización.

Algunos de estos artefactos se encuentran en registros de eventos y entradas con marca de tiempo en el sistema, así como en sus aplicaciones y servicios. Los profesionales de la seguridad de la información y los administradores de TI/sistemas también emplean varias herramientas que supervisan los COI para ayudar a mitigar, si no prevenir, las brechas o los ataques.

Indicador de compromiso

Los IoC típicos son firmas de virus y direcciones IP, hashes MD5 de archivos de malware, o URL o nombres de dominio de servidores de mando y control de botnets. Una vez identificados los IoC mediante un proceso de respuesta a incidentes e informática forense, pueden utilizarse para la detección temprana de futuros intentos de ataque mediante sistemas de detección de intrusiones y software antivirus.

Existen iniciativas para estandarizar el formato de los descriptores IoC para un procesamiento automatizado más eficiente[2][3]. Los indicadores conocidos suelen intercambiarse dentro de la industria, donde se está utilizando el Protocolo Semáforo[4][5][6][7][8][9][10].

Indicador de ataque

Un indicador de compromiso (IoC en seguridad informática) es un dato técnico cualificado que permite detectar actividades maliciosas en un sistema de información. Estos indicadores pueden basarse en datos de varios tipos, por ejemplo: un hash de fichero, una firma, una dirección IP, una URL, un nombre de dominio… pero en todos los casos, los datos técnicos por sí solos (observables, véase esta palabra) no bastan para hablar de IoC.

Gracias a un sistema de análisis y contextualización perpetua de estos rastros dejados por los atacantes, la Inteligencia de Ciberamenazas identifica las amenazas desarrollando: datos especializados y medios para explotarlas a través de reglas YARA o reglas SIGMA.

Un error muy común es considerar que un dato técnico bruto (por ejemplo, una dirección IP) constituye un indicador. En realidad, estos datos técnicos por sí solos no son más que un observable, y por falta de contexto y de cualificación, utilizarlos como indicador conduce a muchísimos falsos positivos.

A diferencia de un IoC, un IoA (Indicators of Attack) sirve de indicador de la presencia de un ataque en curso. Por ejemplo, una dirección IP detectada en un ataque anterior puede convertirse en un IoC; cuando esta misma IP se identifique en un sistema de información, constituirá un IoA.