¿Por cuánto tiempo deben monitorearse los COI, incluso si están "desactualizados"? ¿Existen mejores prácticas u otros razonamientos?
Creo que monitorear los COI de forma indefinida no es lo ideal. ¿Quizás bastarían 90 días?
Ejemplo: un IP IOC no será efectivo después de un tiempo dado que la dirección IP podría haber cambiado. Igualmente para dominios IOCs.
A menudo se pide a los analistas de malware que relacionen los IoC de forma retroactiva. Las IoC recientemente correlacionadas que volvieron al código chino desde 2002 en 2016. Hace solo unos meses, encontramos IoC significativas que vincularon una comunidad de amenazas a sus predecesoras desde 2006. Sin la capacidad de rastrear todas estas IoC a través de los años, habría No haber sido una correlación.
También hay formas de calificar IoC:
Nivel 1: hashes SHA2, ASN de BGP, nombres de host
Nivel 2: hashes MD5 + SHA1, prefijos IPv4 / IPv6
Nivel 3: Nombres Mutex, Imphashes
Nivel 4: Yara gobierna
Nivel 5: similitudes de archivos, clases o bloques (por ejemplo, Icewater, GCluster.py, TLSH o hashes difusos ssdeep)
Nivel 6: Técnicas de análisis de malware de nivel maestro y de Apiscout
El malware tiende a evitar todo lo anterior de diferentes maneras. Algunos programas maliciosos pueden incluso mentir u omitir todo lo anterior, simultáneamente. Definitivamente quieres escalar tus IoC cuando trabajas contra ese espacio de amenaza. Sin embargo, también querrá tener en cuenta los factores que las computadoras no pueden escalar: el elemento humano, la sorpresa y las indicaciones.
Quizás te refieres a cuánto tiempo debes monitorear los IoC en la red. ¿O te refieres a barrer en una flota?
Si está buscando una manera de administrar los IoC en la red, visite Bro Intelligence Framework . Para la gestión de flotas de IoC hay algunas herramientas, como Viper para la base de datos y ver los IoCs clásicos, YaraGuardian para organizar y buscar reglas de Yara, Timesketch para jugar con los datos, así como las formas de recopilar artefactos y extraer / monitorear datos de registro.
Hay muchas maneras de enfocar la colección de artefactos y registros, además del monitoreo, análisis y síntesis. Me gusta cómo estos profesionales describen 3 enfoques: - enlace , especialmente a través de sus conjuntos de herramientas como Contención y Enriquecimiento Automáticos (ACE Server), Hunting ELK (HELK) y UpRoot. Verá las técnicas de estos conjuntos de herramientas en plataformas comerciales, como Infocyte, Splunk Enterprise Security y Carbon Black Cb Response, respectivamente. Si realmente desea escalar los barridos de flota de IoC, el ACE Server, InfoCyte y quizás incluso las herramientas PowerForensics o PowerShell Kansa son mis sugerencias de primera ronda.
WannaCry salió 90 días después de que se anunciara la vulnerabilidad de EternalBlue. Si dejara de buscar las IoC de EternalBlue después de 90 días, habría perdido la oportunidad de ver a WannaCry.
Además, algunos malware o técnicas persisten durante años porque las redes pueden tardar en adaptarse, por lo que aún funcionan. Si dejas de buscarlos, perderás información valiosa sobre amenazas.
Si tiene las herramientas correctas, debe poder administrar el mantenimiento de IoC a largo plazo. Algunas IoC son inherentemente limitadas en el tiempo (como las IoC dependientes de Internet), por lo que pueden tener una vida útil corta.
De lo contrario, me parece que si tiene herramientas automatizadas para detectar y responder a IoC, o puede bloquearlas antes de que se manifiesten (antimalware, firewalls, IDS, etc.), entonces puede (tal vez) detener buscándolos activamente en las capas de detección que ocurren después de esos controles técnicos.
Depende de lo que quieras detectar realmente. Eso podría significar que solo busca indicadores existentes en un entorno, si está bastante seguro de que algo se ha comprometido y quiere saber si el atacante ha ido más lejos, o puede significar que sigue observando los indicadores de forma continua. si estás tratando de detectar proactivamente las intrusiones.
Por ejemplo, si una cadena en particular que se envía a un servidor HTTP permite que un atacante haga que se bloquee, como una solución temporal, puede valer la pena configurar un firewall para bloquear esa cadena en los servidores HTTP. Sin embargo, una vez que haya arreglado el servidor HTTP, por lo que la cadena ya no causa un problema, probablemente no le importe, excepto por un interés puramente académico, por lo que puede dejar de monitorearlo. El indicador sigue siendo válido (dice "alguien sabe acerca de esta cadena y está tratando de provocar un bloqueo"), pero ya no se aplica a su entorno.
De manera similar, de una manera un tanto menos ingeniosa, si está monitoreando el tráfico de un país específico como probable que sea malicioso, es posible que deba ajustar esta regla si su empresa se expande a ese país, lo que significa que el tráfico legítimo también es procedente de la misma fuente.
Hay algunos casos en los que es necesario seguir supervisando esencialmente para siempre: cualquier sistema puede convertirse en el objetivo de un ataque DDoS con muy poco aviso, por lo que la recuperación en las primeras etapas y la respuesta adecuada requieren un monitoreo continuo. No puede decir "nunca vamos a ser un objetivo para los ataques DDoS", mientras que puede decir con confianza "no estamos ejecutando SSH, así que no es necesario monitorear el tráfico potencialmente peligroso en los puertos SSH", ya que siempre y cuando estés dispuesto a actualizar tu monitoreo si ocurren cambios.
Si la calidad de su inteligencia es alta, no hay razón (aparte de los problemas relacionados con el almacenamiento / rendimiento) por lo que no debe mantener los indicadores por tiempo indefinido.
Asegúrese de que haya algún tipo de validación de los indicadores antes de actuar y de que mantendrá una buena higiene de inteligencia de amenazas.
La infraestructura del atacante se reutiliza, por lo que si pasa por la ruta de eliminación después de 90 días, se perderán eventos importantes con el tiempo.
Lea otras preguntas en las etiquetas ioc indicator-of-compromise