¿Como detectar si la red empresarial ha sido hackeado?

MEXICO CITY - Nov. 5, 2016 - PRLog -- IOC (indicator of compromise) – una lista de datos de amenazas (por ejemplo, secuencias que definen las rutas de archivos o claves de registro) que pueden utilizarse para detectar una amenaza en la infraestructura mediante el análisis basado en software automatizado de ethical hacking.

Simples escenarios de ciberseguridad de uso del IOC implican localizar el sistema de archivos específicos usando una variedad de criterios de búsqueda: hash MD5, nombres de archivo, fecha de creación, tamaños y otros atributos. Además, la memoria puede ser buscada por diversos signos específicos de la amenaza y en registros de Windows pueden buscar registros específicos según expertos de ethical hacking (http://www.iicybersecurity.com/ethical-hacking.html) de International Institute of Cyber Security.

Estos datos se pueden presentar en una variedad de formatos. Los diferentes formatos permiten que los datos se importen en diferentes soluciones de ciberseguridad y ethical hacking para proporcionar el tratamiento posterior de los indicadores. Un administrador de ethical hacking puede integrar IOCs tomado de los reportes en soluciones de ciberseguridad tales como:

§  Las soluciones de Endpoint Security

§  SIEM

§  IDS/IPS

§  HIDS/HIPS

§  Herramienta de investigación de ethical hacking sobre varios incidentes

Hay muchas soluciones comerciales de ciberseguridad para trabajar con IOC, pero en muchos casos las capacidades de los programas de código abierto similares son suficientes para comprobar en sistema en busca de signos de infección. Un ejemplo es Loki.

Loki es un sencillo y gratuito IOC scanner. Estos indicadores se pueden derivar de los informes de incidentes publicados, los análisis forenses o colecciones de muestras de malware en su laboratorio.Creado por expertos de ethical hacking, LOKI ofrece una forma sencilla de escanear tus sistemas de IOCs conocidos.

Es compatible con estos diferentes tipos de indicadores:

§  Hash MD5 / SHA1 / SHA256

§  Reglas de Yara (aplicado al archivo de datos y memoria de proceso)

§  Los nombres de archivo Hard indicador basados en la expresión regular

§  Los nombres de archivo Soft indicador basado en expresiones regulares

LOKI cuenta con algunas de las reglas más eficaces tomadas de los conjuntos de reglas de Thor APT escáner. Los expertos de ethical hacking, decidieron integrar una gran cantidad de reglas WebShell ya que incluso los mejores antivirus no pueden detectar la mayoría de ellos.

La base de firmas IOC no está cifrada o se almacena en un formato de propietario. Puede editar la base de firmas de por ti mismo y añadir tu propio IOCs. Ten en cuenta que los atacantes también pueden tener acceso a estas reglas en los sistemas de destino si usas el escáner y dejas el paquete en un sistema comprometido.

Puedes añadir fácilmente tus propios valores hash, las características de nombre de archivo y las normas de Yara para los conjuntos de reglas que vienen con él. Y por estos razones muchas empresas de de ciberseguridad (http://www.iicybersecurity.com/ciberseguridad-ciberdefens...) usan productos como Loki. Otro escenario es el uso en un laboratorio forense. Escanear imágenes montadas con LOKI para identificar amenazas de ciberseguridad conocidas utilizando las definiciones proporcionadas por IOC.

Al final de la exploración LOKI genera un resultado de la exploración. Este resultado puede ser:

§  El sistema parece estar limpio.

§  ¡Objetos sospechosos detectados!

§  ¡Indicadores detectados!