Un indicador de compromiso (IoC) es un artefacto o comportamiento de red observado como parte de un ciberataque. Los IoCs pueden ser direcciones IP, nombres de dominio, URLs web y hashes criptográficos que ayudan a identificar archivos específicos.
Cuando los analistas de seguridad comparten IoCs, otros pueden beneficiarse de estos hallazgos para proteger sus redes y construir conocimiento sobre los actores de amenazas. Después de todo, si usted ve el mismo IoC que otra persona, puede haber sido atacado por el mismo intruso.
Los IoCs pueden compartirse a través de feeds de inteligencia de amenazas que pueden integrarse en una Plataforma de Intercambio de Información sobre Malware (MISP). Aunque esto es muy útil para soluciones XDR/EDR, estos feeds a menudo no tienen suficiente contexto sobre la amenaza general. Sin el contexto adecuado, un analista puede estar casi seguro de que un artefacto es malicioso, pero difícil explicar por qué.
Afortunadamente, muchos IoCs pueden encontrarse en informes técnicos y reportes sobre actores de amenazas o ciberataques y campañas actuales. Polaris, nuestra plataforma de inteligencia de amenazas, puede recopilar estos IoCs mientras rastrea la campaña, incidente, vulnerabilidad o actor de amenaza con los que están asociados.
Siempre que haya necesidad de buscar IoCs para amenazas específicas, Polaris ahorra incontables horas que se gastarían buscando informes técnicos y encontrando todos los IoCs, eliminando duplicados y poniendo los datos en un formato estándar. Solo necesita hacer clic en el botón "Copiar" para tener todos los IoCs en su portapapeles, categorizados por tipo.
La IA aporta el contexto que importa para IoCs
Las Plataformas de Intercambio de Información sobre Malware (MISP) ayudan a recopilar indicadores de compromiso de una manera óptima para detecciones automatizadas. Idealmente, su organización debería implementar herramientas para detección y respuesta extendida (XDR) o detección y respuesta de endpoints (EDR). Al alimentar IoCs compartidos en estas tecnologías, puede mejorar sus capacidades y detectar los primeros signos de un ataque. Para que los IoCs sean útiles para la inteligencia de amenazas, sin embargo, necesitan ser contextualizados y tener una fuente conocida.
Al enfrentar un incidente, un analista querrá verificar los IoCs que se han observado para encontrar casos similares. La atribución -es decir, identificar al actor de la amenaza- a menudo es un desafío, pero puede ser invaluable para decidir qué activos necesitan más atención y para descubrir el camino que un intruso ha tomado dentro del entorno de TI.
En este ejemplo, tener acceso más rápido a IoCs relevantes beneficiará enormemente el esfuerzo de respuesta al incidente, potencialmente acelerando la recuperación y evitando pérdidas que se incurrirían por una interrupción prolongada causada por el ciberataque.
Dado que Polaris correlaciona IoCs con actores de amenazas, artículos de noticias e informes técnicos, los analistas pueden llegar rápidamente a la fuente de esta información para encontrar tantos detalles como necesiten. El analista aún decide la profundidad de la investigación, pero Polaris está continuamente escaneando miles de fuentes para actualizar los conocimientos generados.
Los datos disponibles en el MISP no incluirán esta información contextual, ya que no es necesaria para que XDR/EDR detecte y bloquee amenazas. Esto no significa que estas soluciones sean infalibles, por supuesto: los atacantes no siempre reutilizan los mismos artefactos para cada objetivo, por lo que una solución EDR podría detectar solo una pieza del rompecabezas. Observar el panorama completo permite que un analista descubra mucho más, y una herramienta de recopilación y análisis de datos potenciada por IA hará esto mucho más rápido.
Con conocimientos impulsados por IA y IoCs recopilados, investigar la alerta de la herramienta EDR/XDR será mucho más rápido, permitiendo que un analista de seguridad comprenda rápidamente qué tipo de ataque o amenaza están conectados los artefactos e identifique piezas adicionales de evidencia que aún no son conocidas.
Encuentre los IoCs recopilados por Polaris
Polaris indicará cuántos IoCs se han encontrado en la parte superior, justo debajo del resumen.
Los propios IoCs pueden encontrarse en la sección "Información adicional" en la parte inferior, donde puede encontrar un botón "Copiar todo".
Si solo necesita los IoCs en su portapapeles, simplemente puede hacer clic en la pequeña burbuja "IoCs" justo debajo del resumen del conocimiento. Toda la información se copiará a su portapapeles y puede pegarse en cualquier lugar. La misma operación puede realizarse para CVEs y TTPs de MITRE ATT&CK (Tácticas, Técnicas y Procedimientos).
En la parte superior, el insight también indica el actor de amenaza que ha sido asociado con el ciberataque o campaña. Cuando hay varios actores de amenaza, esto puede significar que todos están usando el mismo malware o técnica, pero los diferentes nombres también pueden ser alias del mismo grupo.
En la parte inferior, puede encontrar una lista de todas las fuentes de donde se extrajo la información contenida en el conocimiento y los IoCs. Esto le permite comenzar su investigación de inteligencia de amenazas con ventaja.
Si necesita buscar IoCs específicos, Polaris tiene una herramienta "Explorar" y un operador de búsqueda "IoC:" para encontrar conocimientos relacionados.
Al aprovechar estos datos, es mucho más fácil preparar informes sobre amenazas y tomar decisiones basadas en datos para mitigar riesgos. También es mucho más rápido investigar alertas de las muchas soluciones de seguridad que pueden haberse desplegado. Sabemos que esto ha sido un desafío constante para muchos equipos de seguridad, por lo que construimos Polaris para acelerar estas tareas.
Si desea ver esto en acción, puede probar Polaris hoy mismo.
Expertos en crear contenido relevante de ciberseguridad externa para hacer de internet un lugar más seguro.