detección
4 artículos con esta etiqueta
Qué es EDR: registrar el 'comportamiento' de los endpoints para detectar y responder a los ataques que se cuelan
EDR registra de forma continua el comportamiento del endpoint, detecta actividad sospechosa (estilo IOA) y apoya la respuesta (aislar, investigar). Atrapa ataques sin archivos y de abuso de herramientas legítimas que el antivirus basado en firmas/IOC se pierde, mediante el comportamiento y una línea de tiempo. Los equipos pequeños a menudo no necesitan un EDR completo: la protección integrada del sistema operativo más registros más la mentalidad IOA aportan gran parte del valor.
Qué es un IOA (Indicador de Ataque): detectar una brecha por el comportamiento, no por los rastros
Un IOA (Indicador de Ataque) detecta una brecha por el comportamiento de un ataque en curso (escalada de privilegios → movimiento lateral → exfiltración). Es la contraparte del IOC a posteriori. Los atacantes cambian hashes e IPs al instante, pero la técnica (el comportamiento) es difícil de cambiar, así que los IOA perduran. Incluso los equipos pequeños pueden acercarse a ello vigilando el comportamiento que difiere de lo normal.
Qué es un IOC (Indicador de Compromiso): rastros que revelan una brecha
Un IOC (Indicador de Compromiso) es un rastro que deja una brecha: hashes de archivos maliciosos conocidos, IPs/dominios de atacantes, URLs, procesos inusuales. Su valor es detectar/bloquear mecánicamente lo malo conocido. Pero es una pista reactiva que los atacantes pueden cambiar barato, así que el cotejo de IOC es una última comprobación, no una cura. La defensa real es un diseño que no arda (mínimo privilegio, parcheo, MFA).
Qué es C2 (mando y control): el canal que usan los atacantes para controlar un dispositivo tras una brecha
C2 es el canal que un dispositivo comprometido usa para llamar al servidor del atacante (una baliza) para recibir órdenes y exfiltrar datos: la fase posterior a la brecha. Las claves para detectarlo son el tráfico saliente periódico sospechoso y los destinos maliciosos conocidos. Defensas: filtrado de salida, monitoreo de DNS, cotejo de IOC/IOA, mínimo privilegio. Confirmar que 'no hay C2 residente' es una parte clave de la investigación de una brecha.