inteligencia de amenazas
3 artículos con esta etiqueta
Qué es un IOA (Indicador de Ataque): detectar una brecha por el comportamiento, no por los rastros
Un IOA (Indicador de Ataque) detecta una brecha por el comportamiento de un ataque en curso (escalada de privilegios → movimiento lateral → exfiltración). Es la contraparte del IOC a posteriori. Los atacantes cambian hashes e IPs al instante, pero la técnica (el comportamiento) es difícil de cambiar, así que los IOA perduran. Incluso los equipos pequeños pueden acercarse a ello vigilando el comportamiento que difiere de lo normal.
Qué es un IOC (Indicador de Compromiso): rastros que revelan una brecha
Un IOC (Indicador de Compromiso) es un rastro que deja una brecha: hashes de archivos maliciosos conocidos, IPs/dominios de atacantes, URLs, procesos inusuales. Su valor es detectar/bloquear mecánicamente lo malo conocido. Pero es una pista reactiva que los atacantes pueden cambiar barato, así que el cotejo de IOC es una última comprobación, no una cura. La defensa real es un diseño que no arda (mínimo privilegio, parcheo, MFA).
Qué es C2 (mando y control): el canal que usan los atacantes para controlar un dispositivo tras una brecha
C2 es el canal que un dispositivo comprometido usa para llamar al servidor del atacante (una baliza) para recibir órdenes y exfiltrar datos: la fase posterior a la brecha. Las claves para detectarlo son el tráfico saliente periódico sospechoso y los destinos maliciosos conocidos. Defensas: filtrado de salida, monitoreo de DNS, cotejo de IOC/IOA, mínimo privilegio. Confirmar que 'no hay C2 residente' es una parte clave de la investigación de una brecha.