VIDEO
HIGHLIGHT
Log InSign up
Indicators of Compromise - CompTIA Security+ SY0-701 - 2.4
SummaryTranscriptChat

Indicators of Compromise - CompTIA Security+ SY0-701 - 2.4

¿Qué es un Indicador de Compromiso?

Definición y ejemplos de IOCs

  • Un Indicador de Compromiso (IOC) se refiere a cualquier evidencia que sugiera que un sistema ha sido comprometido o accedido sin autorización.
  • Ejemplos incluyen tráfico inusualmente alto en una red, cambios en los valores hash de archivos, o un aumento del tráfico internacional inesperado.
  • Modificaciones en la información DNS pueden indicar intentos de manipulación del tráfico en la red.
  • Patrones inusuales durante el inicio de sesión también son señales potenciales de compromiso, como archivos que se leen con más frecuencia de lo normal.

Cuentas bloqueadas y su significado

  • Una cuenta bloqueada por múltiples intentos fallidos puede ser un indicador claro si el usuario no realizó esos intentos.
  • Si una cuenta fue deshabilitada administrativamente sin justificación, esto podría señalar un compromiso serio.
  • Los atacantes podrían intentar bloquear cuentas para hacerse pasar por usuarios legítimos y restablecer contraseñas a través del soporte técnico.

Inicios de sesión sospechosos

Análisis de sesiones simultáneas

  • La posibilidad física limita a una persona a estar en un solo lugar; si hay inicios de sesión desde ubicaciones diferentes al mismo tiempo, esto puede ser indicativo de compromiso.
  • Dispositivos múltiples pueden complicar la detección; es importante analizar los registros para identificar patrones anómalos.

Registros y alertas

  • Informes detallados sobre accesos pueden ayudar a determinar si las actividades fueron realizadas por el usuario legítimo o si hubo acceso no autorizado.

Desactivación de actualizaciones como señal

Comportamiento del malware

  • Los atacantes buscan permanecer dentro del sistema; desactivar actualizaciones antivirus les permite mantener el acceso sin ser detectados.

Conexiones restringidas

  • Dificultades para conectarse a sitios web seguros o descargar parches pueden ser indicadores claros de compromisos.

Inicios imposibles: ¿qué buscar?

Análisis geográfico

  • Inicios desde ubicaciones distantes en cortos períodos deben generar alertas inmediatas debido a su improbabilidad lógica.

Comparación temporal

  • Revisar los registros puede revelar discrepancias significativas entre inicios y cierres de sesión que indiquen actividad sospechosa.

Consumo de recursos como pista

Actividades sospechosas dentro del sistema

Indicadores de Compromiso en Redes

Tráfico Inusual y Transferencias de Datos

  • Un aumento repentino en el tráfico de la red, especialmente a horas inusuales como las 3:00 AM, puede ser un indicador de compromiso. Los registros del firewall mostrarán transferencias de información que podrían alertar sobre actividad sospechosa.
  • La primera notificación de una posible intrusión podría ser una transferencia pequeña de archivos en momentos inesperados. Esto ha sido el único indicio en algunos casos de brechas de seguridad.

Recursos Inaccesibles

  • La inaccesibilidad a ciertos recursos puede no siempre ser un problema grave, pero también puede indicar un compromiso. Por ejemplo, un servidor podría volverse inaccesible si un atacante intenta explotar vulnerabilidades.
  • Intentos por parte del atacante para transferir datos pueden causar fallos en los servidores o interrupciones en la red, lo que sugiere que se están llevando a cabo actividades maliciosas.

Encriptación y Ransomware

  • Si al acceder a datos se encuentra que están cifrados y no disponibles, esto podría indicar una infección por ransomware.
  • Un intento fallido de inicio de sesión debido a un bloqueo puede ser resultado de ataques por fuerza bruta realizados por atacantes.

Registros y Actividades Sospechosas

  • Los registros (logs) son cruciales para detectar compromisos; cualquier actividad fuera del ciclo normal (como instalaciones inesperadas de parches) debe ser investigada.
  • Los firewalls registran todos los flujos de tráfico; anomalías en estos registros pueden señalar actividades sospechosas o compromisos.

Eliminación y Manipulación de Registros

  • Los atacantes suelen eliminar información registrada para ocultar su presencia. Cada acción realizada por ellos debería dejar algún rastro en los logs.
  • Es recomendable establecer notificaciones para detectar la falta inesperada de información en los registros, lo cual podría indicar un compromiso activo.

Exfiltración y Publicación No Autorizada

  • Un claro indicador es cuando datos sensibles organizacionales aparecen repentinamente en internet. Esto puede suceder sin que la organización tenga conocimiento previo del ataque.
Playlists: Page 3
Video description

Security+ Training Course Index: https://professormesser.link/701videos Professor Messer’s Course Notes: https://professormesser.link/701notes - - - - - It's important to identify an intrusion as soon as possible. In this video, you'll learn about indicators such as account lockouts, impossible travel, resource consumption, and more. - - - - Subscribe to get the latest videos: https://professormesser.link/yt Calendar of live events: https://www.professormesser.com/calendar/ FOLLOW PROFESSOR MESSER: Professor Messer official website: https://www.professormesser.com/ Twitter: https://www.professormesser.com/twitter Facebook: https://www.professormesser.com/facebook Instagram: https://www.professormesser.com/instagram LinkedIn: https://www.professormesser.com/linkedin