Sharing Threat Information

Una característica técnica importante de un análisis forense informático de un sistemas comprometido es que permite identificar ciertos componentes involucrados en el ataque, por ejemplo archivos afectados, herramientas, técnicas y procedimientos utilizados. Es razonable pensar que si los ataques son realizados de manera automática se dejen rastros similares sobre los objetivos atacados. También se puede pensar que en el caso de realizar ataques manuales, y ante una misma vulnerabilidad, el atacante tienda a utilizar patrones de comportamiento similares para atacar los sistemas. En consecuencia, es útil caracterizar los artefactos, técnicas y procedimientos descubiertos como resultado de la realización de un análisis forense y asociarlos a un conjunto de herramientas utilizadas en ataques específicos. Técnicas similares utilizan los sistemas de detecciones de intrusos (IDS) basados en patrones, donde se analizan los paquetes en la red, y los compara con patrones de ataques conocidos, y preconfigurados. Estos patrones se denominan firmas.

En este contexto se pueden definir Indicadores de Compromiso como un conjunto de artefactos, técnicas y procedimientos descubiertos en un análisis forense provenientes de una intrusión y que pueden ser identificados en un dispositivo o red. Identificar las particularidades de dichos indicadores y luego codificarlas permite compartilas y procesarlas de manera automática facilitando los procesos de diagnostico. Asimismo proporciona un marco adecuado para correlacionar ataques clasificándolos según las evidencias y/o patrones de comportamiento.

Este proyecto tuvo como objetivo principal profundizar en el estudio de los indicadores de compromiso y cómo los mismos podrían ser expresados mediante codificaciones estándar. Se obtuvo como resulatdo preliminar una herramienta para asistir en el proceso de creación de la codificación de los indicadores a partir de la evidencias recolectada en un análisis forense.