¿Qué son los indicadores de compromiso (IoC)?

Los indicadores de riesgo (IoC) son pruebas dejadas por un atacante o un software malicioso que pueden utilizarse para identificar un incidente de seguridad.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir indicadores de riesgo (IoC)
  • Destacar IoC comunes
  • Más información sobre cómo utilizar los IoC para mejorar la detección y la respuesta

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué son los indicadores de compromiso (IoC)?

Los indicadores de riesgo (IoC) son información sobre un fallo de seguridad concreto que puede ayudar a los equipos de seguridad a determinar si se ha producido un ataque. Estos datos pueden incluir detalles sobre el ataque, como el tipo de malware utilizado, las direcciones IP implicadas y otros detalles técnicos.

¿Cómo funcionan los indicadores de riesgo (IoC)?

Los indicadores de riesgo (IoC) ayudan a las organizaciones a identificar y confirmar la presencia de software malicioso en un dispositivo o red. Los ataques dejan rastros de pruebas, tal como los metadatos. Las pruebas pueden ser utilizadas por expertos en seguridad para detectar, investigar y resolver los incidentes de seguridad.

Los IoC pueden obtenerse por varios métodos, entre los que se incluyen:

  • Observación: observar actividades o comportamientos anormales en sistemas o dispositivos
  • Análisis: determinar las características de la actividad sospechosa y analizar su impacto
  • Firmas: identificar las firmas de software malicioso conocidas

¿Cuáles son los tipos habituales de IoC?

Hay varios tipos diferentes de IoC que pueden utilizarse para detectar incidentes de seguridad. Estos incluyen:

  • Los IoC basados en la red, como direcciones IP, dominios o URL maliciosos, también pueden incluir patrones de tráfico de red, actividad inusual del puerto, conexiones de red a hosts maliciosos conocidos o patrones de exfiltración de datos.
  • Los IoC basados en el servidor están relacionados con la actividad en una estación de trabajo o servidor.Los nombres de archivo o hash, las claves de registro o los procesos sospechosos que se ejecutan en el servidor son ejemplos de IoC basados en el servidor.
  • Los IoC basados en archivos incluyen archivos maliciosos, tales como malware o scripts.
  • Los IoC de comportamiento cubren varios tipos de comportamiento sospechoso, como comportamientos extraños de los usuarios, patrones de inicio de sesión, patrones de tráfico de red e intentos de autenticación.
  • Los IoC de metadatos tienen que ver con los metadatos asociados a un archivo o documento, como el autor, la fecha de creación o los detalles de la versión.

Indicadores de riesgo frente a indicadores de ataque

Los IoC se parecen a los indicadores de ataque (IoA); sin embargo, difieren ligeramente. Los IoA se centran en la probabilidad de que una acción o acontecimiento pueda representar una amenaza.

Por ejemplo, un IoA indica que un grupo de amenazas conocido tiene una alta probabilidad de lanzar un ataque (DDoS) de denegación de servicio distribuido contra un sitio web. En esta situación, un IoC podría mostrar que alguien ha accedido al sistema o a la red y que ha transferido una gran cantidad de datos.

Los equipos de seguridad suelen utilizar tanto los IoA como los IoC para identificar el comportamiento de los atacantes.Por dar otro ejemplo, un IoC identifica un tráfico de red inusualmente alto, mientras que el IoA es la predicción de que el alto tráfico de red puede indicar un ataque DDoS inminente.Ambos indicadores ayudan a proporcionar una visión importante de las posibles amenazas y vulnerabilidades de las redes y los sistemas.

Prácticas recomendadas de indicadores de riesgo

Las mejores prácticas de los Indicadores de riesgo (IoC) abarcan varias técnicas, incluido el uso de herramientas automatizadas y manuales para supervisar, detectar y analizar pruebas de ciberataques.

A medida que surgen nuevas tecnologías y vectores de ataque, es increíblemente importante actualizar regularmente los procedimientos de IoC. Al mantenerse al día sobre los procedimientos y las mejores prácticas de IoC, las organizaciones pueden anticiparse al panorama de amenazas y protegerse de las actividades maliciosas.

Cloudforce One

Cloudforce One es un equipo de operaciones e investigación de amenazas que se encarga de rastrear y desarticular redes de atacantes. Las funciones avanzadas de información sobre amenazas del equipo permiten una cobertura exhaustiva de todas las entidades del panorama de amenazas, y ayudan a las organizaciones a tomar medidas antes de que cualquier amenaza pueda causar daños.