Uso de Indicadores de Compromiso (IOC) para mejorar el tiempo de respuesta ante incidentes

La respuesta rápida y ágil ante incidentes es básico para una buena estrategia de ciberseguridad, especialmente si tenemos en cuenta las amenazas que surgen a través de dominios web maliciosos. Este 1 de agosto se celebra el Día de la World Wide Web, por lo que es buen momento para destacar la importancia de que los equipos de seguridad presten especial atención en materia de protección a estos espacios web, ya que forman parte del día a día de cualquier trabajador y empresa, y actúen con rapidez para mitigar la actividad ilícita.

Según muestra el Incident Response Survey de SANS publicado en 2019, por segundo año consecutivo se ha producido una mejora en la forma en la que los equipos responden ante incidentes. El 67% de los encuestados indica que han pasado de la detección a la contención en menos de 24 horas, un aumento del 6% respecto al año anterior. Además, el 89% de los esfuerzos de remediación suceden dentro del primer mes, un periodo que, dependiendo de la naturaleza del incidente, puede considerarse como razonable. No obstante, y a raíz de estas cifras, aún hay margen de mejora.

Ante un incidente, la posibilidad de buscar IOCs en tiempo real permite agilizar la identificación de los dispositivos que están siendo atacados, y poder tomar las medidas de remediación pertinentes para contener la brecha lo más rápido posible y reducir el tiempo de exposición.

Con el fin de asegurar y mantener una infraestructura TI, es vital conocer en profundidad los servidores o redes, así como ser consciente de qué procesos se están ejecutando y cuál es la situación del endpoint en tiempo real. Esto implica que la estrategia de ciberdefensa tiene que ser capaz de detectar lo antes posible toda la actividad anómala, identificarla y reaccionar rápidamente ante el incidente. Además, también es vital llevar a cabo un análisis avanzado de todos los eventos de seguridad para reunir los patrones e información en lo que se denomina Indicador de Compromiso (IOC), que actúa como descripción del incidente para que las compañías desgranen la naturaleza del daño que han sufrido y reaccionen ante él.

“Teniendo en cuenta la velocidad a la que avanza el cibercrimen y que un ataque puede suponer graves consecuencias para las organizaciones, la rapidez con que se detecte y mitigue un incidente es crucial para la supervivencia de cualquier negocio”, explica María Campos, VP de Cytomic. “De cara a agilizar la identificación de dispositivos y la respuesta ante amenazas, contar con un proveedor de servicios que tenga soporte de búsqueda retrospectiva y en tiempo real de IOCs y reglas Yara en el endpoint no es una opción a escoger, sino una necesidad”, añade.

Los IOCs funcionan a modo de base de datos de virus y anomalías, de forma que los equipos de seguridad, el CISO y el proveedor del servicio sepan qué ha pasado en el momento en el que ocurre y actúen con agilidad. La caracterización de un IOC podrá ser distinta según las necesidades, tanto para su detección posterior, caracterización o compartición, pudiendo usar diferentes estándares; así, estos indicadores se posicionan como una herramienta con la que empresas o partners pueden adelantarse a problemas e intercambiar información para una respuesta rápida.

Con la inclusión de la búsqueda de IOCs (Indicadores de compromiso), con soporte a reglas Yara, en nuestras consolas EDR y EPDR, dotamos a nuestros clientes de la posibilidad de buscar, directamente en sus equipos y en tiempo real, indicios de ataques basados en información compartida por diferentes fuentes. Esto ayuda les ayuda a poder detectar posibles ataques, evitando, aún más si cabe, cualquier riesgo”, comenta la responsable de Cytomic.