Los Security Operations Centers (SOC) son la piedra angular de la lucha contra el cibercrimen en cualquier gran organización, ya sea pública o privada, ya que constituyen la principal barrera de resistencia para proteger su seguridad. Y por ello deben disponer de las tecnologías más avanzadas.

Pero la lucha contra los ciberdelincuentes no consiste solo en una cuestión de tecnología, sino también de actitud o, cuando menos, de posición estratégica ante las posibles ataques. Y es aquí donde surgen dos conceptos esenciales que ayudan, en mayor o menor medida, a todos los SOC: los IOC (Indicadores de Compromiso) y los IOA (Indicadores de Ataque). ¿En qué se diferencian? ¿son excluyentes o complementarios? ¿en qué momento actúan? ¿cuáles son más determinantes? Vamos a analizarlo.

 

IOC (Indicadores de Compromiso)_

Los IOC son aquellos indicadores que identifican ataques o vulnerabilidades una vez que la brecha ya se ha producido de manera concluyente. Es decir, se encargan de diagnosticar un problema de seguridad que acaba de tener lugar en los procesos internos del sistema informático de una organización. Es la evidencia de que una brecha de seguridad ha tenido lugar.

Para ello, los IOC son capaces de identificar archivos o conductas previamente catalogadas como maliciosas: un email con intenciones de phishing, un archivo con malware, una filtración de datos, una distribución de IPs para un uso relacionado con el cibercrimen, etc. En este sentido, los IOC sirven a las compañías para analizar la naturaleza del daño que acaban de sufrir y reaccionar ante él, bien sea eliminándolo o, al menos, mitigando su efecto.

De manera añadida, los IOC también pueden ser útiles para las compañías que, una vez han sufrido un ataque o vulnerabilidad, necesitan hacer un diagnóstico certero de lo que ha pasado para saber dónde radicó exactamente el problema.

 

IOA (Indicadores de Ataque)_

Los IOA tienen una filosofía distinta a la de los IOC. Y es que, frente a la acción como reacción a una vulnerabilidad ya ejecutada, los IOA tienen una filosofía proactiva, es decir, no intervienen cuando el ataque ya se ha producido, sino cuando se está produciendo o incluso antes de que llegue a constituir una amenaza real.

Los IOA cubren los huecos que dejan los IOC: alertan de cualquier intento de ataque independientemente del método empleado para evadir la seguridad empresarial. Es decir, permite identificar ataques que no requieren malware como los ataques LotL (Living off the Land). Estos indicadores son el resultado de la labor realizada de manera conjunta por las soluciones de ciberseguridad más avanzadas y los equipos de Threat Hunting que investigan y analizan toda la actividad de los procesos del sistema informático buscando comportamientos anómalos o que puedan representar un peligro para la seguridad de la organización. En caso de detectarlos, los IOA permitirán actuar antes de que la vulnerabilidad haya sido explotada y el daño ya se haya consumado definitivamente.

 

La clave: proactividad_

La pregunta parece evidente: ¿qué es más efectivo para proteger la ciberseguridad de una organización, los IOC o los IOA? Ambas técnicas son necesarias y complementarias, pero hay una cosa que está clara: el enfoque proactivo de los IOA siempre ir un paso por delante para evitar incidentes de seguridad.

Y es que los IOC actúan una vez que el daño se ha iniciado, mientras que el IOA parte de una investigación previa y una posición ciber-resiliente. Y el problema es que la mayoría de soluciones de ciberseguridad, en su trabajo de análisis, detección y mitigación de ciberataques, suelen limitarse a los IOC, con lo que su lucha contra el cibercrimen solo será efectiva a posteriori, con el daño ya hecho. Además, algunas formas de ciberataques como aquellos que se aprovechan del malware sin fichero no pueden ser detectadas con una estrategia en exclusiva de IOC, con lo que el proceso de definición y perfilado que implican los IOA se tornan imprescindibles para salvaguardar la ciberseguridad empresarial.

“La proactividad de de los Cytomic Threat Hunting Services basados en nuestra solución Cytomic Orion, que analizan y perfilan en tiempo real todos los comportamientos e investigan y certifican todos los procesos que tienen lugar en el sistema informático buscando posibles anomalías, la convierten en un binomio de tecnología y servicio eficaz a la hora de proteger la gran empresa de amenazas avanzadas”, explica Pedro Viñuales, VP Global Presales de Cytomic. “De esta manera, somos capaces de eliminar el margen de actuación antes siquiera de que llegue a producir ningún tipo de daño. Así, los indicadores IOA a los que recurre ORION resultan de gran ayuda para los equipos de ciberseguridad de las grandes compañías que necesitan de estrategias de ciberseguridad avanzada para evitar cualquier tipo de ciberincidente”, comenta Viñuales.

La conclusión está clara: los indicadores IOC son útiles y muy necesarios, pero cualquier compañía interesada en proteger su ciberseguridad de forma proactiva, deben centrarse en desarrollar estrategias de investigación basadas en indicadores IOA para eliminar el peligro antes que se convierta en un incidente real.