Decidiendo la duración de los IOCs en ciberseguridad
Aprende a manejar la duración de los indicadores de compromiso de manera efectiva.
― 8 minilectura
Tabla de contenidos
- ¿Qué son los Indicadores de Compromiso?
- El Desafío de Monitorear IOCs
- Cómo Se Crean y Monitorean los IOCs
- La Importancia de los Modelos de Envejecimiento
- Datos y Metodología
- Hallazgos sobre los Costos de Monitoreo
- Entendiendo el Conjunto de Datos
- Clasificando Indicadores
- El Papel de los Valores Atípicos
- Costos de Monitoreo y Costos de Pérdida
- La Importancia de un Monitoreo Eficiente
- Direcciones Futuras
- Conclusión
- Fuente original
- Enlaces de referencia
En el campo de la ciberseguridad, a menudo lidiamos con Indicadores de compromiso (IOCs). Estos indicadores, como direcciones IP, hashes de archivos y nombres de dominio, ayudan a identificar actividades maliciosas en una red. Sirven como firmas de posibles Amenazas y son vitales para monitorear sistemas. Sin embargo, decidir cuánto tiempo mantener estos indicadores puede ser complicado. Este documento presenta hallazgos sobre cómo determinar la vida útil adecuada de los IOCs, centrándose en su Monitoreo y los Costos asociados con perder alertas.
¿Qué son los Indicadores de Compromiso?
Los IOCs son componentes clave en la inteligencia de amenazas. Ayudan a reconocer riesgos y al comparar datos recopilados de una red con IOCs conocidos, los sistemas de seguridad pueden activar alertas. Cuantos más IOCs se monitorean, mejor es la protección contra ataques cibernéticos conocidos. Sin embargo, monitorear muchos IOCs puede llevar a altos costos y, si no se gestionan correctamente, se pueden pasar por alto indicadores importantes. Es esencial encontrar un equilibrio en la cantidad de IOCs monitoreados para no perder amenazas mientras no se sobrecarga el sistema.
El Desafío de Monitorear IOCs
La seguridad de una red puede verse comprometida si la cantidad de IOCs monitoreados es demasiado baja. Esto puede significar riesgos significativos ya que indicadores cruciales pueden pasar desapercibidos. Por otro lado, tener demasiados IOCs puede llevar a tareas de monitoreo abrumadoras y costos asociados, ya que los equipos de seguridad tendrían que investigar numerosas alertas potenciales sin saber cuáles son realmente peligrosas.
Para abordar estos desafíos, entender cómo se crean los IOCs y con qué frecuencia se notan es vital. Prestar atención al ciclo de vida de estos indicadores puede llevar a mejores estrategias para monitorear y responder a amenazas.
Cómo Se Crean y Monitorean los IOCs
Normalmente, un IOC es descubierto por proveedores o fuentes de inteligencia de amenazas. Pueden encontrarse en entornos de laboratorio controlados o a través de honeypots. Una vez descubierto, el IOC se publica y se comparte a través de plataformas que permiten un acceso más amplio a datos sobre amenazas, como la Plataforma de Intercambio de Información sobre Malware (MISP). Los equipos de seguridad utilizan sistemas de Gestión de Información y Eventos de Seguridad (SIEM) para rastrear estos IOCs y reportar sus avistamientos.
Con el tiempo, los IOCs pueden perder su importancia. Continuar monitoreando indicadores obsoletos lleva a muchas falsas alarmas, lo que puede distraer a los equipos de seguridad de amenazas reales. Esto también resulta en gastos innecesarios basados en los precios actuales del sistema de monitoreo, que varían según el proveedor de servicios.
La Importancia de los Modelos de Envejecimiento
Para gestionar el ciclo de vida de los IOCs, las plataformas de inteligencia de amenazas han desarrollado modelos de envejecimiento para determinar cuándo dejar de monitorear ciertos indicadores. Sin embargo, estos modelos vienen con varios parámetros que necesitan ser asignados cuidadosamente. Para nuestro trabajo, nos centramos en un modelo simple con dos factores principales: los costos incurridos por perder un avistamiento y los costos asociados con el monitoreo.
Buscamos responder a dos preguntas principales:
- ¿Cuánto tiempo debe monitorearse un indicador específico?
- ¿Cuál es la mejor manera de establecer parámetros de monitoreo que se ajusten a un entorno determinado?
Datos y Metodología
Para nuestro estudio, analizamos un año de datos reales de un entorno corporativo, midiendo tráfico y avistamientos de IOCs. Los datos incluían marcas de tiempo de cuándo ocurrieron los avistamientos, el tipo de IOC y la fecha de su creación. Esta información ayudó a evaluar cómo cambió el número de avistamientos con el tiempo y cómo diferentes parámetros del modelo de envejecimiento impactaron la cobertura y los costos relacionados.
Hallazgos sobre los Costos de Monitoreo
Al observar la relación entre los esfuerzos de monitoreo y el costo de perder alarmas, nuestros hallazgos indicaron umbrales específicos. Si el costo de perder un avistamiento es significativamente menor que el costo diario de monitoreo, puede que no valga la pena monitorear esos IOCs en absoluto. Por el contrario, si el costo de perder es extremadamente alto, se vuelve esencial monitorear todos los IOCs continuamente.
Para valores intermedios entre estos extremos, nuestra investigación destacó los beneficios de monitorear IOCs solo por un tiempo establecido. Por ejemplo, establecer un tiempo de monitoreo de aproximadamente 248 días minimizó los costos combinados de pérdidas y monitoreo.
Entendiendo el Conjunto de Datos
Los datos que usamos provenían de una gran empresa, que tenía más de 300,000 empleados y operaba en más de 12 países. Nuestro conjunto de datos incluyó 5,789 IOCs, cada uno con al menos un avistamiento registrado. El primer IOC se creó en septiembre de 2018, y el último avistamiento ocurrió a principios de septiembre de 2020.
Se presentaron patrones interesantes en los datos. Un 66% significativo de los avistamientos ocurrió dentro de los primeros tres meses de monitoreo. Algunos IOCs incluso tenían avistamientos registrados antes de ser oficialmente creados, ya que registros anteriores a veces los identificaban retrospectivamente.
Clasificando Indicadores
En nuestro análisis, los IOCs se clasificaron en once tipos, incluyendo diferentes tipos de archivos y direcciones de red. La mayoría de los avistamientos estaban asociados con nombres de dominio, mientras que las direcciones IP y hashes también estaban muy representados. Nuestros hallazgos indicaron que ciertos tipos de indicadores, como los hashes, tendían a durar más que las direcciones IP, que a menudo son más transitorias.
Estas categorías influyeron directamente en el tiempo de monitoreo sugerido para cada tipo. Al agrupar indicadores similares, pudimos obtener ideas sobre cuánto tiempo monitorear diferentes IOCs de manera efectiva.
El Papel de los Valores Atípicos
Cualquier análisis que involucre costos también debe considerar la presencia de valores atípicos que pueden distorsionar resultados. Por ejemplo, si uno o dos IOCs tenían tiempos entre avistamientos significativamente más largos, podría impactar el tiempo de monitoreo sugerido para todos los indicadores. Para manejar esto, exploramos varios enfoques estadísticos para determinar parámetros oportunos para cada tipo de indicador.
Costos de Monitoreo y Costos de Pérdida
Los costos de monitoreo y de pérdida pueden variar ampliamente según el sistema elegido y los parámetros específicos asignados. Por ejemplo, si el costo de perder una alarma es relativamente bajo, el monitoreo puede minimizarse. Por otro lado, si el costo de perder un avistamiento es bastante alto, puede ser necesario monitorear continuamente todos los IOCs.
Para determinar efectivamente qué IOCs deben ser monitoreados y por cuánto tiempo, examinar la relación de estos costos se vuelve crucial. Esta relación ayuda a identificar el punto óptimo donde los esfuerzos de monitoreo ofrecen el mejor retorno de inversión, considerando tanto las amenazas potenciales como los recursos requeridos.
La Importancia de un Monitoreo Eficiente
Tener un sistema de monitoreo eficiente permite a las organizaciones enfocar sus recursos de manera efectiva. Al analizar los datos relacionados con cómo se crean los IOCs y con qué frecuencia se monitorean, los equipos de seguridad pueden priorizar sus esfuerzos según la probabilidad de encontrar amenazas significativas.
El monitoreo debe adaptarse no solo a los costos, sino también a la naturaleza específica de los indicadores en cuestión. Por ejemplo, las amenazas asociadas con amenazas persistentes avanzadas (APT) pueden requerir un enfoque diferente en comparación con indicadores más comunes y genéricos.
Direcciones Futuras
Este trabajo plantea más preguntas sobre los modelos de envejecimiento para los IOCs y cómo pueden ser afinados. Si bien esta investigación proporcionó una comprensión básica de las estrategias óptimas de monitoreo, métodos analíticos más detallados podrían mejorar la precisión del modelo.
Examinar cómo diferentes entornos pueden impactar la efectividad de las estrategias de monitoreo es un área que merece más investigación. Estudios futuros podrían expandir el marco establecido en esta investigación para ofrecer ideas y herramientas más comprensivas para los equipos de seguridad.
Conclusión
En resumen, los IOCs son vitales en ciberseguridad. Manejar adecuadamente su vida útil es esencial para equilibrar costos de monitoreo y minimizar amenazas perdidas. A través de un análisis cuidadoso de datos del mundo real y comprendiendo la dinámica de los IOCs, las organizaciones pueden establecer estrategias de monitoreo efectivas que maximicen sus esfuerzos de seguridad. Los hallazgos de esta investigación sirven como base para futuros trabajos en la mejora de la inteligencia de amenazas y prácticas de monitoreo, lo que lleva a un entorno cibernético más seguro.
Título: Learning When to Say Goodbye: What Should be the Shelf Life of an Indicator of Compromise?
Resumen: Indicators of Compromise (IOCs), such as IP addresses, file hashes, and domain names associated with known malware or attacks, are cornerstones of cybersecurity, serving to identify malicious activity on a network. In this work, we leverage real data to compare different parameterizations of IOC aging models. Our dataset comprises traffic at a real environment for more than 1 year. Among our trace-driven findings, we determine thresholds for the ratio between miss over monitoring costs such that the system benefits from storing IOCs for a finite time-to-live (TTL) before eviction. To the best of our knowledge, this is the first real world evaluation of thresholds related to IOC aging, paving the way towards realistic IOC decaying models.
Autores: Breno Tostes, Leonardo Ventura, Enrico Lovat, Matheus Martins, Daniel Sadoc Menasché
Última actualización: 2023-07-31 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2307.16852
Fuente PDF: https://arxiv.org/pdf/2307.16852
Licencia: https://creativecommons.org/licenses/by/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.
Enlaces de referencia
- https://www.overleaf.com/5516466239rpqztkytrmrh
- https://www.computer.org/csdl/magazine/sp/write-for-us/14680?title=Author%20Information&periodical=IEEE%20Security%20%26%20Privacy
- https://www.computer.org/csdl/magazine/sp/write-for-us/14680
- https://www.ieee.org/authortools/trans_jour.tex
- https://www.overleaf.com/blog/278-how-to-use-overleaf-with-ieee-collabratec-your-quick-guide-to-getting-started
- https://apps.na.collabserv.com/wikis/home?lang=en-us#!/wiki/W18e544042a85_4b63_915a_1d1ed2cf8338/page/Publication
- https://mc.manuscriptcentral.com/cs-ieee
- https://www.ieee.org/publications_standards/publications/graphical_abstract.pdf
- https://www.ieee.org/authortools
- https://www.ibm.com/support/