Las tecnologías IOA e IOC protegen todos los aspectos de la infraestructura tecnológica, desde la gestión de identidades hasta la seguridad en la nube y la vigilancia continua
La evolución de la ciberseguridad: de los SIEM tradicionales reactivos a un enfoque proactivo con IOA e IOC
Por esta razón, las medidas necesarias suelen aplicarse en capas que, a grandes rasgos, son la defensa de la red, la defensa del dispositivo, la defensa de la aplicación, la defensa de los datos.
Una de las soluciones que se ha aplicado mayoritariamente en los últimos años es SIEM, una alternativa que combina la gestión de información de seguridad (SIM, por sus siglas en inglés) y la gestión de eventos de seguridad (SEM) en un solo sistema centralizado. Su objetivo principal es supervisar, detectar, recopilar, analizar y responder a eventos de seguridad en tiempo real, proporcionando a las organizaciones una visión completa de su entorno de seguridad.
SIEM funciona recopilando datos de una variedad de fuentes, como firewalls, servidores, sistemas de detección de intrusos (IDS) y sistemas de prevención de intrusos (IPS). Estos datos se analizan en busca de patrones y anomalías que podrían indicar una actividad maliciosa. Si se detecta una amenaza, SIEM puede alertar a los equipos de seguridad y tomar medidas automatizadas, como bloquear el acceso a la red o aislar un dispositivo infectado.
Las capacidades de SIEM pasan por la recopilación y gestión de registros de una amplia gama de fuentes, incluyendo firewalls, servidores, endpoints, aplicaciones y dispositivos IoT, el análisis y correlación de eventos, analizando los datos en tiempo real, la detección de amenazas y respuesta a incidentes, detectando intentos de intrusión, malware, phishing y otras amenazas con gran precisión y, por último, la investigación forense y cumplimiento normativo, es decir, la investigación de incidentes de seguridad que ayudan a cumplir las regulaciones de seguridad generando informes auditables y evidenciando las actividades de seguridad realizadas.
En definitiva, utilizar SIEM mejora la visibilidad de la seguridad proporcionando una visión completa de la actividad en toda la red, reduciendo el tiempo de respuesta a incidentes y mejorando el cumplimiento normativo para evitar multas y sanciones, mejorando la protección de los datos sensibles de las filtraciones y el robo de información, mientras se reducen los costes de seguridad.
A pesar de sus beneficios, los sistemas SIEM de primera generación presentan algunas limitaciones que pueden condicionar su efectividad en el día a día de las empresas. Por ejemplo, sus paneles e informes son básicos y sus alertas carecen de sofisticación. Los primeros SIEM también adolecían de una escalabilidad adecuada, ya que cada etapa del proceso —ingerir datos, definir políticas, reglas y umbrales, revisar alertas y analizar anomalías— requería intervención manual. Alrededor de 2015, la integración del aprendizaje automático y la inteligencia artificial (IA) las hizo aún más eficientes a la hora de orquestar datos de seguridad y gestionar amenazas en rápida evolución. La precisión y utilidad de las alertas SIEM mejoraron aún más después de que SIEM comenzara a ingerir datos de registro de infraestructuras implementadas en la nube, aplicaciones SaaS y otras fuentes de datos no estándar, entre ellas fuentes de inteligencia de amenazas de terceros que contenían indicadores de compromiso obtenidos de múltiples fuentes.
Aún así, el enfoque de la tecnología SIEM siempre es reactivo, respondiendo a amenazas conocidas, pero no a las nuevas que surgen diariamente. Además los sistemas modernos generan hoy en día más datos de los que SIEM puede manejar, y el personal que los ejecuta tiene que ser altamente especializado lo que hace muy compleja su operatividad.
Esto, sumado a que la tecnología SIEM no incluye los datos sin contexto, hace necesaria la introducción e implantación de otras tecnologías en las unidades SOC (Centro de Operaciones de Seguridad): las nuevas tecnologías IOC y IOA.
IOA, Indicadores de Ataque
Los IOC o Indicadores de Compromiso ayudan a determinar quién es el responsable del ciberincidente de forma estática. Sin embargo, existe otro tipo de inteligencia basada en el comportamiento de los actores maliciosos llamada IOA o Indicadores de Ataque. Estos indicadores nos ayudan a poder detectar en fases tempranas un posible ataque, es decir, estarían ayudando en la fase de prevención y detención, indicando las motivaciones del atacante y las técnicas y tácticas que utilizan en cada fase.
Los IOA se apoyan en la matriz de de mitre ATT&CK, donde están reflejados todos los TIPS, técnicas, tácticas y procedimientos de los atacantes con hasta 14 tipos de tácticas, cada una con diferentes sub-técnicas, lo cual permite un grado de profundidad altísimo.
El enfoque de esas nuevas tecnologías es proactivo y no reactivo: los indicadores de ataque (IOA) demuestran las intenciones detrás de un ciberataque y los indicadores de compromiso (IOC) las técnicas utilizadas por el actor de la amenaza para lograr sus objetivos.
Las amenazas cibernéticas específicas que activan el ataque, como el malware, el ransomware o las amenazas avanzadas, son de poca importancia al analizar los IOA. En cambio, en esta estrategia de ciberseguridad solo se considera la secuencia de eventos que conducen al despliegue de una amenaza cibernética, los IOA dan a conocer las motivaciones del atacante. Los IOA se preocupan por el "por qué" detrás de cada etapa del ciberataque, mientras que los IOC se preocupan por el "cómo", por las herramientas utilizadas.
Además, los IOA permiten una visualización completa de toda la infraestructura y no solo los eventos de ciberseguridad específicos. El enfoque es holístico utilizando telemetría para recopilar endpoints, redes, apps en la nube, dispositivos IoT etc para ver todas las amenazas y no solo las que detecta el SIEM.
El análisis no va por lotes y es mucho más rápido y preventivo, básicamente se asemeja al business intelligence de ciberseguridad, quick and big. La automatización permite que las tareas repetitivas como la recopilación de datos o el análisis de logs sea más rápido y puede generar informes con esa información. Gracias a ello los equipos de ciberseguridad pueden centrar los esfuerzos en la investigación de incidentes de seguridad.
En nettaro somos conscientes de la importancia de apostar por toda aquella tecnología que sirva para potenciar la seguridad en las empresas. Por ello nos especializamos en la seguridad de tecnologías operativas (OT), internet de las cosas (IoT) e internet de las cosas médicas (IoMT), trabajando estrechamente con las nuevas tecnologías IOA e IOC para desarrollar estrategias de ciberseguridad innovadoras que evolucionen al ritmo que lo hacen los nuevos ataques y amenazas. Solo así conseguiremos acercar a nuestros clientes a sus objetivos de negocio, de forma segura y eficiente.
Estas soluciones integrales protegen todos los aspectos de la infraestructura tecnológica, desde la gestión de identidades hasta la seguridad en la nube y la vigilancia continua. Utilizamos ciberinteligencia para anticiparnos y neutralizar amenazas en tiempo real, reaccionando más rápidamente y de una forma totalmente proactiva y preventiva.