Los Indicadores de Compromiso o «Indicators of
Compromise» (IOCs) hacen referencia a una tecnología estandarizada que consiste
en definir las características técnicas de una amenaza por medio de las
evidencias existentes en un equipo comprometido, es decir, se identifican
diferentes acciones como ficheros creados, entradas de registro modificadas,
procesos o servicios nuevos, etc. de manera que puedan servir para identificar
otros ordenadores afectados por la misma amenaza o prevenirlos de la misma.
De este modo, es posible realizar un intercambio
sencillo y práctico de información con otras personas y grupos de gestión de
incidentes e implementar las firmas en diferentes herramientas como:
- Sistemas de detección de
intrusions o «Intrusion Detection System» (IDS).
- Sistemas de prevención de
intrusions o «Intrusion Prevention System» (IPS).
- Sistema de detección de
intrusiones en un Host o «Host-based intrusion detection system» (HIDS).
- Sistema de prevención de
intrusiones en un Host o «Hostbased Intrusion Prevention System» (HIPS).
- Firewalls.
Dichas pruebas digitales forenses pueden reportar
anomalías, como direcciones IP, dominios, archivos y pistas digitales que
parecen conectar la red atacada cibernéticamente con el presunto atacante
cibernético, con herramientas de administración de punto final que pueden detectar incidentes de seguridad y remediar el entorno.
Pinky/Byt3#