Aduana Americana ¿Cómo identificar los niveles de compromiso de incidentes cibernéticos?

A medida que continuamos viendo ataques más frecuentes y complejos en la cadena de suministro, la Oficina de Aduanas y Protección Fronteriza de los Estados Unidos (CBP, por sus siglas en inglés) está comprometida a prevenir y mitigar los impactos de futuras interrupciones, adaptándose al panorama tecnológico en constante cambio. La CBP espera recopilar los datos necesarios para aprender del pasado y prepararse de manera proactiva para futuras interrupciones en la cadena de suministro. Este documento proporciona un proceso sistemático y repetible para reportar la información adecuada en caso de un ciberataque activo a la industria privada.

¿Qué es un IOC?

Un Indicador de Compromiso (IOC) es evidencia en una computadora (anfitrión) o red que indica que la seguridad de la red ha sido comprometida. Los IOCs actúan como banderas que la ciberseguridad utiliza para detectar actividades inusuales que son evidencia o pueden conducir a un ataque futuro. También actúan como pistas que pueden indicar intención y atribución del actor y pueden ayudar a proporcionar correlación de posibles ataques futuros.

Beneficios de reportar IOCs para la Industria Comercial

Los IOCs pueden ayudar a entender cómo los actores maliciosos pudieron acceder a los sistemas de TI de un miembro comercial y pueden proporcionar información sobre cómo abordar mejor las debilidades identificadas y fortalecer los esfuerzos de ciberseguridad. El reporte consistente y completo de IOCs permite a la CBP agrupar y compartir las mejores prácticas críticas de ciberseguridad, lo que beneficia a todos los actores en cada etapa de nuestras cadenas de suministro.

Beneficios de reportar IOCs para la CBP

Los IOCs proporcionan a la CBP datos sobre los últimos métodos de intrusión cibernética criminal y tendencias sobre qué métodos y/o sistemas específicos tienen la tasa de éxito más alta. La CBP puede utilizar datos de IOC para fortalecer continuamente la identificación de amenazas cibernéticas legítimas y notificar a las partes potencialmente afectadas antes de que un ataque tenga éxito.

IOCs Comunes y Actividades Sospechosas

• Tráfico de red entrante o saliente inusual

• Anomalías en la actividad de cuentas de usuario privilegiadas

• Irregularidades geográficas

• Otras señales de alerta en el inicio de sesión

• Aumento en el volumen de lectura de la base de datos

• Tamaños de respuestas HTML (web/Internet) inusuales

• Múltiples solicitudes para el mismo archivo

• Tráfico de puerto-aplicación no coincidente

• Recursos de Investigación

• Registros del sistema (incluidos registros de eventos)

• Archivos del sistema operativo

• Información de memoria

• Informes preliminares (Observaciones autorizadas de terceros)

• Dispositivos de escritorio, portátiles, dispositivos móviles (si se solicita)

• Capturas de tráfico de red

Actividades Sospechosas Comunes

•Correo electrónico del remitente erróneo

• Correos electrónicos externos sospechosos

• Nuevos contactos desconocidos

• Enlaces web extraños/desconocidos

• Mala gramática o puntuación

• Seguimiento con llamada telefónica en solicitudes de correo electrónico extrañas

• Adjuntos sospechosos

• Información de dominio, CDIR, rango de IP

Mejores Prácticas de Comunicación

Notifique inmediatamente al Centro de Operaciones de Seguridad de la Información (SOC) de la CBP en caso de un ciberataque. Reporte los IOCs más actualizados y los datos relevantes de un ciberataque exitoso. Coordine con la CBP y funcionarios de la agencia para prevenir futuros ataques. Comunique con la CBP durante la remediación de un ciberataque.

Centro de Operaciones de Seguridad de la CBP 703-921-6507 cbpsoc@cbp.dhs.gov.