¿Qué son los indicadores públicos de riesgo (IOC)?
Obtenga información sobre cómo supervisar, identificar, usar y responder a indicadores de riesgo.
Indicadores de riesgo explicados
Un indicador de riesgo (IOC) es prueba de que alguien puede haber vulnerado la red o punto de conexión de una organización. Estos datos forenses no solo indican una amenaza potencial, sino que indican que ya se ha producido un ataque, como malware, credenciales en peligro o filtración de datos. Los profesionales de seguridad buscan IOC en los registros de eventos, soluciones de detección y respuesta extendidas (XDR) y soluciones de administración de eventos e información de seguridad (SIEM). Durante un ataque, el equipo usa IOC para eliminar la amenaza y mitigar los daños. Después de la recuperación, los IOC ayudan a una organización a comprender mejor lo que ha sucedido, por lo que el equipo de seguridad de la organización puede reforzar la seguridad y reducir el riesgo de otro incidente similar.
Ejemplos de IOC
En la seguridad de IOC, TI supervisa el entorno en busca de las siguientes pistas de que haya un ataque en curso:
Anomalías de tráfico de red
En la mayoría de las organizaciones hay patrones coherentes para el tráfico de red que pasa y sale del entorno digital. Cuando se producen cambios, como, por ejemplo, si hay mucho más datos saliendo de la organización o si hay actividad procedente de una ubicación inusual en la red, puede ser un signo de un ataque.
Intentos de inicio de sesión inusuales
Al igual que el tráfico de red, los hábitos de trabajo de las personas son predecibles. Normalmente inician sesión desde las mismas ubicaciones y aproximadamente las mismas horas durante la semana. Los profesionales de seguridad pueden detectar una cuenta en peligro prestando atención a los inicios de sesión a horas extrañas del día o desde zonas geográficas inusuales, como un país donde una organización no tiene una oficina. También es importante tomar nota de varios inicios de sesión erróneos de la misma cuenta. Aunque los usuarios olvidan periódicamente sus contraseñas o tienen problemas para iniciar sesión, normalmente pueden resolver el problema después de unos cuantos intentos. Los intentos de inicio de sesión erróneos repetidos pueden indicar que alguien está intentando acceder a la organización con una cuenta robada.
Anomalías en los privilegios de la cuenta
Muchos atacantes, ya sean internos o externos, están interesados en acceder a cuentas administrativas y adquirir datos confidenciales. Un comportamiento inusual asociado a estas cuentas, como un intento de escalar privilegios, puede ser indicador de una vulneración.
Cambios en la configuración de los sistemas
A menudo, el malware se programa para realizar cambios en las configuraciones de los sistemas, como habilitar el acceso remoto o deshabilitar el software de seguridad. Mediante la supervisión de estos cambios de configuración inesperados, los profesionales de seguridad pueden identificar una vulneración antes de que se produzcan demasiados daños.
Instalaciones o actualizaciones de software inesperadas
Muchos ataques comienzan con la instalación de software, como malware o ransomware, que está diseñado para hacer que los archivos sean inaccesibles o para proporcionar a los atacantes acceso a la red. Mediante la supervisión de instalaciones y actualizaciones de software no planeadas, las organizaciones pueden detectar estos IOC rápidamente.
Numerosas solicitudes para el mismo archivo
Varias solicitudes de un solo archivo pueden indicar que un actor incorrecto está intentando robarlo y ha intentado varios métodos para acceder a él.
Solicitudes inusuales de sistemas de nombres de dominio
Algunos actores malintencionados usan un método de ataque denominado comando y control. Instalan malware en el servidor de una organización que crea una conexión a un servidor de su propiedad. A continuación, envían comandos desde su servidor al equipo infectado para intentar robar datos o interrumpir las operaciones. Las solicitudes inusuales de sistemas de nombres de dominio (DNS) ayudan a TI a detectar estos ataques.
Por qué son importantes los IOC
La supervisión de IOC es fundamental para reducir el riesgo de seguridad de una organización’. La detección temprana de IOC permite a los equipos de seguridad responder a los ataques y resolverlos rápidamente, lo que reduce la cantidad de tiempo de inactividad e interrupciones. La supervisión regular también proporciona a los equipos más información sobre las vulnerabilidades de la organización, que luego se pueden mitigar.
Respuesta a los indicadores de riesgo
Una vez que los equipos de seguridad identifican un IOC, deben responder de forma eficaz para garantizar el menor daño posible a la organización. Los pasos siguientes ayudan a las organizaciones a mantenerse centradas y a detener las amenazas lo más rápido posible:
Establecer un plan de respuesta a incidentes
Responder a un incidente resulta estresante y el tiempo cuenta, ya que cuanto más tiempo permanezcan los atacantes sin detectar, más probabilidades hay de que alcancen sus objetivos. Muchas organizaciones desarrollan un plan respuesta a incidentes para ayudar a guiar a los equipos durante las fases críticas de una respuesta. El plan describe cómo la organización define un incidente, los roles y las responsabilidades, los pasos necesarios para resolver un incidente y cómo el equipo debe comunicarse con los empleados y las partes interesadas externas.
Aislar sistemas y dispositivos en riesgo
Una vez que la organización identifica una amenaza, el equipo de seguridad aísla rápidamente las aplicaciones o sistemas víctimas de un ataque del resto de las redes. Esto ayuda a evitar que los atacantes accedan a otras partes de la empresa.
Realizar análisis forense
El análisis forense ayuda a las organizaciones a descubrir todos los aspectos de una vulneración, incluido el origen, el tipo de ataque y los objetivos del atacante. El análisis se realiza durante el ataque para comprender el alcance del riesgo. Una vez que la organización se ha recuperado del ataque, el análisis adicional ayuda al equipo a comprender las posibles vulnerabilidades y otras conclusiones.
Eliminar la amenaza
El equipo expulsa al atacante y elimina el malware que haya afectado a los sistemas y recursos, algo que puede conllevar la desconexión de los sistemas.
Implementar mejoras de seguridad y procesos
Una vez que la organización se haya recuperado del incidente, es importante evaluar por qué se produjo el ataque y si hay algo que la organización podría haber hecho para evitarlo. Es posible que haya mejoras de procesos y directivas sencillas que reducen el riesgo de un ataque similar en el futuro, o que el equipo identifique soluciones de mayor alcance para agregarlas a una hoja de ruta de seguridad.
Soluciones IOC
La mayoría de las infracciones de seguridad dejan trazos forenses en los sistemas y archivos de registro. Aprender a identificar y supervisar estos IOC ayuda a las organizaciones a aislar y eliminar rápidamente a los atacantes. Muchos equipos recurren a soluciones SIEM, como Microsoft Sentinel y Microsoft Defender XDR, que usan inteligencia artificial y automatización para exponer E/S por segundo y correlacionar con otros eventos. Un plan de respuesta a incidentes permite a los equipos anticiparse a los ataques para apagarlos rápidamente. En lo que respecta a la ciberseguridad, cuanto más rápido se comprende lo sucedido, más probable es detener un ataque antes de que este cueste dinero o dañe su reputación. La seguridad de IOC es clave para ayudar a las organizaciones a reducir el riesgo de vulneraciones costosas.
Más información sobre la Seguridad de Microsoft
Protección contra amenazas de Microsoft
Identifica y responde a incidentes en toda la organización con las últimas novedades en protección contra amenazas.
Microsoft Sentinel
Descubra amenazas sofisticadas y responda con decisión con una potente solución SIEM basada en la nube.
Microsoft Defender XDR
Detenga los ataques en puntos de conexión, correos electrónicos, identidades, aplicaciones y datos con soluciones XDR.
Comunidades de inteligencia sobre amenazas
Obtenga las actualizaciones más recientes sobre Inteligencia contra amenazas de Microsoft Defender, versión de la comunidad.
Preguntas más frecuentes
-
Hay varios tipos de IOC. Algunos de las más comunes son:
- Anomalías de tráfico de red
- Intentos de inicio de sesión inusuales
- Anomalías en los privilegios de la cuenta
- Cambios en la configuración del sistema
- Instalaciones o actualizaciones de software inesperadas
- Numerosas solicitudes para el mismo archivo
- Solicitudes inusuales de sistemas de nombres de dominio
-
Un indicador de riesgo es una prueba digital de que ya se ha producido un ataque. Un indicador de un ataque es una prueba de que es probable que se produzca un ataque. Por ejemplo, una campaña de suplantación de identidad (phishing) es un indicador de ataque porque no hay ninguna prueba de que el atacante haya infringido la empresa. Sin embargo, si alguien hace clic en un vínculo de suplantación de identidad (phishing) y descarga malware, la instalación del malware es un indicador de riesgo.
-
Los indicadores de riesgo en el correo electrónico incluyen una avalancha repentina de correo no deseado, datos adjuntos o vínculos extraños o un correo electrónico inesperado de una persona conocida. Por ejemplo, si un empleado envía a un compañero de trabajo un correo electrónico con datos adjuntos extraños, puede indicar que su cuenta se ha puesto en peligro.
-
Hay varias maneras de identificar un sistema en peligro. Un cambio en el tráfico de red desde un equipo determinado podría ser un indicador de que se ha puesto en peligro. Si una persona que normalmente no necesita un sistema comienza a acceder a este con regularidad, es un indicador de que algo va mal. Los cambios en las configuraciones del sistema o en una instalación de software inesperada también pueden indicar que se ha puesto en peligro.
-
Tres ejemplos de IOC son:
- Una cuenta de usuario ubicada en Norteamérica comienza a iniciar sesión en los recursos de la empresa desde Europa.
- Miles de solicitudes de acceso en varias cuentas de usuario, lo que indica que la organización es víctima de un ataque por fuerza bruta.
- Nuevas solicitudes de sistemas de nombres de dominio procedentes de un nuevo host o de un país en el que los empleados y los clientes no residen.
Seguir a Seguridad de Microsoft