Utilizar Indicadores de Compromiso (IOCs) es grandioso, pero su real poder está en permitir a los equipos de respuesta de incidentes encontrar lo dañino de una manera automática, ya sea a través de una plataforma para respuesta de incidentes empresarial o a través de guiones WMI o VB. El éxito de una investigación depende de la habilidad de buscar Indicadores de Compromiso a través de la empresa y reportarlos de una manera automática; esto es lo considerado como el despliegue de los Indicadores de Compromiso. Por lo tanto la organización debe poseer alguna capacidad para implementar Indicadores de Compromiso o no serán de mucha utilidad. Para los Indicadores de Compromiso basados en red esta perspectiva es sencilla; muchas soluciones soportan reglas de Snort. Sin embargo esto no es necesariamente un estándar aceptado para los Indicadores de Compromiso basados en host. Debido a esto la utilización efectiva de los Indicadores de Compromiso basados en host, en el proceso de investigación puede ser un desafío.

Formatos de la Industria e IOCs

Existe una principal deficiencia en la industria de seguridad en computadoras cuando se trata de Indicadores de Compromiso basados en host: no existe un estándar aceptado. Aunque Snort es ampliamente aceptado y utilizado para Indicadores de compromiso basado en host, no existe una solución libre basada en host el cual incluya un lenguaje de indicadores y herramientas, para efectivamente utilizarlas en una empresa. Sin una solución, los profesionales en respuesta de incidentes continuarán enfrentando desafíos significativos en busca de Indicadores de Compromiso basados en host, durante sus investigaciones.

Al momento de realizar la presente publicación, existen STIX (Structured Threar Information Expression), el cual es un lenguaje y formato de serialización utilizado para intercambiar inteligencia de ciber amenazadas (CTI). STIX es de fuente abierta y libre, lo cual permite a todos los interesados su contribución libre. En el caso de YARA, es una herramienta con el propósito (no limitado) de ayudar a identificar y clasificar muestras de malware. Con YARA se pueden crear descripciones de familias de malware, basados en patrones textuales o binarios.

No se necesita un gran presupuesto para utilizar Indicadores de Compromiso, aunque la habilidad de utilizarlos efectivamente a través de la empresa, probablemente requerirá una financiación significativa. Existen herramientas tanto gratuitas y comerciales las cuales pueden ser utilizadas. Estas herramientas son bastante efectivas en una diversidad de empresas, pero tal vez no se amplíen muy bien. Para buscar eficazmente Indicadores de Compromiso en una empresa, se necesita invertir en soluciones de gran escala. Se debe tener en consideración se necesita software y procesos maduros para soportar el uso de Indicadores de Compromiso. Este aspecto en la industria de la seguridad mejora en el tiempo.

Fuentes:

https://github.com/VirusTotal/yara
https://virustotal.github.io/yara/
https://cyboxproject.github.io/
https://oasis-open.github.io/cti-documentation/