Los IOC, claves para mejorar el tiempo de respuesta ante incidentes
- Actualidad
Para que una estrategia de ciberseguridad dé los resultados que realmente se esperan de ella, tiene que dotar a la empresa de los recursos que necesita para responder rápidamente ante los incidentes que se produzcan. Para Cytomic, la clave está en el uso de Indicadores de Compromiso (IOC) en tiempo real.
La respuesta rápida y ágil ante incidentes es algo básico para una buena estrategia de ciberseguridad, especialmente si tenemos en cuenta las amenazas que surgen a través de dominios web maliciosos. Es una observación de Cytomic, la unidad de negocio de Panda, que sostiene que los equipos de seguridad deben prestar especial atención en materia de protección a estos espacios web, ya que forman parte del día a día de cualquier trabajador y empresa, y actúen con rapidez para mitigar la actividad ilícita.
Según muestra el Incident Response Survey de SANS publicado en 2019, por segundo año consecutivo se ha producido una mejora en la forma en la que los equipos responden ante incidentes. El 67% de los encuestados indica que han pasado de la detección a la contención en menos de 24 horas, un aumento del 6% respecto al año anterior. Además, el 89% de los esfuerzos de remediación suceden dentro del primer mes, un periodo que, dependiendo de la naturaleza del incidente, puede considerarse como razonable. No obstante, según Cytomic, “aún hay margen de mejora”.
Sus expertos explican que, para asegurar y mantener una infraestructura TI, es vital conocer en profundidad los servidores o redes, así como ser consciente de qué procesos se están ejecutando y cuál es la situación del endpoint en tiempo real. Esto implica que la estrategia de ciberdefensa tiene que ser capaz de detectar lo antes posible toda la actividad anómala, identificarla y reaccionar rápidamente ante el incidente. Además, también es esencial llevar a cabo un análisis avanzado de todos los eventos de seguridad para reunir los patrones e información en lo que se denomina Indicador de Compromiso (IOC), que actúa como descripción del incidente para que las compañías desgranen la naturaleza del daño que han sufrido y reaccionen ante él.
Así funcionan
Los IOCs funcionan a modo de base de datos de virus y anomalías, de forma que los equipos de seguridad, el CISO y el proveedor del servicio sepan qué ha pasado en el momento en el que ocurre y actúen con agilidad. La caracterización de un IOC podrá ser distinta según las necesidades, tanto para su detección posterior, caracterización o compartición, pudiendo usar diferentes estándares; así, estos indicadores se posicionan como una herramienta con la que empresas o sus partners pueden adelantarse a problemas e intercambiar información para una respuesta rápida.
