seguritecnia 460

SEGURITECNIA Enero 2019 91 Artículo Técnico tenida en los IOC posibilita compartir el comportamiento de un incidente ana- lizado desde que es localizado hasta su última actualización. Se pueden incluir tantas variables y propiedades a través de los atributos que consideremos pre- cisos para su descripción. Así pues, esta- mos tratando un elemento que nos faci- lita detectar e identificar de manera an- ticipada amenazas para la seguridad de los activos de cualquier organización. Llegados a este punto es donde la fi- gura del profesional de la seguridad, y especialmente de quien se dedica a la gestión de riesgos, adquiere un prota- gonismo esencial, ya que será el res- ponsable de elaborar tanto los planes de prevención ante incidentes como del fortalecimiento de los sistemas de seguridad. Para ello deberá compren- der los flujos de información de los pro- cesos críticos del negocio y los actores relevantes participantes, identificando de este modo los activos a proteger. Ya no se trata de procesar informa- ción en uno u otro formato en función de las variables predefinidas y actuali- zarla a medida que el incidente muta o evoluciona; ahora se trata de cómo in- terpretar la amenaza, el posible alcance que pudiera llegar a tener en la orga- nización y, además, contemplar la de- pendencia entre sistemas, procesos de negocio e información crítica y el con- texto en el que un posible impacto pu- diera producirse. Es el momento de an- ticiparse y plantear posibles soluciones a los responsables de negocio. Gracias al análisis pormenorizado de estos in- dicadores y a la correcta interpretación del riesgo por parte de los profesiona- les, más de una vez se ha detectado la presencia de una amenaza potencial en entornos internos y de confianza. Esto ha permitido aplicar las medidas preventivas necesarias para reducir el riesgo a un nivel más que aceptable. En resumen, el compartir información a través de estos indicadores en coordi- nación con todas las áreas interesadas de una corporación es un método efi- caz de prevención generando alertas tempranas que ayudan a garantizar de manera proactiva la detección y la ges- tión de incidentes, reforzando los nive- les de seguridad de los activos críticos frente a amenazas ya existentes. Principales IOC Existe una gran cantidad de IOC. Unos hacen una descripción de actividades inusuales en un sistema o en una red, otros se pueden basar en evidencias obtenidas de equipos comprometidos. Como ejemplo, se pueden considerar las modificaciones que hayan tenido lugar en aplicativos o en las entradas de los re- gistros, servicios o nuevos procesos. Como más frecuentes se pueden destacar el uso inusual de puertos por aplicaciones, la detección de tráfico irre- gular, el número elevado de solicitu- des de acceso a un mismo activo, un incremento injustificado de consultas a bases de datos o una actividad anó- mala en cuentas de usuario con privi- legios. Los hay más específicos que re- quieren de un perfil mucho más téc- nico para su procesamiento, como, por ejemplo, las distintas firmas de virus, lis- tas de hash asociados a activos de ma- lware , conjuntos de IP detectadas en ataques dirigidos y en casos de botnets o ransomware , los nombres de dominio o las URL de los servidores de comando y control. Implementación A día de hoy, coexisten varios sistemas estandarizados de intercambio de IOC. Casi todos hacen uso del metalenguaje XML, conteniendo los parámetros que definirán un posible compromiso y el valor asignado en cuanto a su probabi- lidad de ocurrencia. Entre los más cono- cidos destacan: OpenIOC (Open Indicators of Com- promise). CTI (Oasis Cyber Threat Intelligence). CybOX (Cyber Observable eXpression). MAEC (Malware Attribute Enumera- tion and Characterization). Además, existen repositorios de IOC como IOC Bucket u OpenIOC Db, plata- formas gratuitas donde encontrar indi- cadores e información relevante sobre amenazas que son compartidos por una amplia comunidad de usuarios con la única finalidad de que le demos el mejor uso para la protección de nuestros siste- mas. Y para su despliegue hay platafor- mas como MISP o MANTIS encargadas de la recogida, el almacenaje y la distri- bución de indicadores de seguridad Conclusión La prevención como elemento de pro- tección a través de los IOC minimiza la exposición en el tiempo a la detección y respuesta ante un posible incidente de seguridad, siendo ambos factores críticos en un procedimiento de gestión del riesgo. La cantidad de información tan ma- siva que se requiere para la detección de potenciales amenazas y la poste- rior definición de actuaciones y accio- nes preventivas, correctivas o incluso de recuperación precisan de un proce- dimiento automatizado que haga sen- cillo y ágil la identificación de inciden- tes. Esta necesidad queda satisfecha con los IOC al permitir modelar un inci- dente, categorizarlo en función de dife- rentes variables y asociar estas últimas a ese incidente en concreto. El ahorro relativo comparado con los efectos de un impacto es significativo y su mantenimiento y monitorización a través de las plataformas descritas muy asumible para cualquier organización. S La prevención a través de los IOC minimiza la exposición en el tiempo a la detección y respuesta ante un posible incidente de seguridad