Uso de Indicadores de Compromiso (IOC) para mejorar el tiempo de respuesta ante incidentes
Según muestra el Incident Response Survey de SANS publicado en 2019, por segundo año consecutivo se ha producido una mejora en la forma en la que los equipos responden ante incidentes. El 67% de los encuestados indica que han pasado de la detección a la contención en menos de 24 horas, un aumento del 6% respecto al año anterior. Además, el 89% de los esfuerzos de remediación suceden dentro del primer mes, un periodo que, dependiendo de la naturaleza del incidente, puede considerarse como razonable. No obstante, y a raíz de estas cifras, aún hay margen de mejora.
“Teniendo en cuenta la velocidad a la que avanza el cibercrimen y que un ataque puede suponer graves consecuencias para las organizaciones, la rapidez con que se detecte y mitigue un incidente es crucial para la supervivencia de cualquier negocio”, explica María Campos, VP de Cytomic. “De cara a agilizar la identificación de dispositivos y la respuesta ante amenazas, contar con un proveedor de servicios que tenga soporte de búsqueda retrospectiva y en tiempo real de IOCs y reglas Yara en el endpoint no es una opción a escoger, sino una necesidad”, añade.
Los IOCs funcionan a modo de base de datos de virus y anomalías, de forma que los equipos de seguridad, el CISO y el proveedor del servicio sepan qué ha pasado en el momento en el que ocurre y actúen con agilidad. La caracterización de un IOC podrá ser distinta según las necesidades, tanto para su detección posterior, caracterización o compartición, pudiendo usar diferentes estándares; así, estos indicadores se posicionan como una herramienta con la que empresas o partners pueden adelantarse a problemas e intercambiar información para una respuesta rápida.
Con la inclusión de la búsqueda de IOCs (Indicadores de compromiso), con soporte a reglas Yara, en nuestras consolas EDR y EPDR, dotamos a nuestros clientes de la posibilidad de buscar, directamente en sus equipos y en tiempo real, indicios de ataques basados en información compartida por diferentes fuentes. Esto ayuda les ayuda a poder detectar posibles ataques, evitando, aún más si cabe, cualquier riesgo”, comenta la responsable de Cytomic.