® 
IOA (Indicadores de Ataque)
Definicion
Los IOA son indicadores conductuales que senalan un ataque en curso, a diferencia de los IOC que detectan el ataque a posteriori.
Los Indicadores de Ataque (IOA) son indicadores conductuales que senalan un ataque en curso, a diferencia de los IOC que detectan el ataque a posteriori. Los IOA permiten a los equipos de seguridad detener los ataques antes, a menudo antes de que se produzca dano.
Como funcionan los IOA?
Los IOC son reactivos: buscan artefactos conocidos como hashes de malware. Los IOA son proactivos: reconocen el comportamiento de ataque independientemente del malware especifico. Ejemplos de IOA: PowerShell iniciado por un documento Word (ataque de macro), inicio de sesion a hora inusual, proceso intentando escalar privilegios de kernel, herramienta de administracion conectandose a cientos de sistemas rapidamente (movimiento lateral), grandes volumenes de datos enviados a IP externa (exfiltracion).
IOA versus IOC
Los IOC detectan amenazas conocidas con hashes conocidos. Los IOA detectan el comportamiento de ataque fundamental que todo atacante exhibe. Una operacion de seguridad madura combina ambos.
Impacto para las organizaciones
La deteccion basada en IOA es el nucleo de las plataformas EDR y XDR modernas. NIS2 exige capacidades de deteccion que vayan mas alla de la deteccion basada en firmas.
Proteccion
Implemente EDR/XDR con analisis conductual que reconozca patrones IOA. Defina reglas de deteccion basadas en tecnicas MITRE ATT&CK. Realice threat hunting buscando patrones IOA.
Como ayuda DEFION
DEFION integra deteccion basada en IOA en Managed Threat Detection. Purple Teaming valida la efectividad de las reglas de deteccion IOA.