Indicators of Compromise (pol. Wskaźniki skompromitowania) to zbiór fragmentów danych kryminalistycznych, pochodzących z wpisów w dzienniku systemowym lub plików, które identyfikują się jako potencjalnie złośliwe aktywności w systemie lub sieci. Wskaźniki pomagają specjalistom ds. bezpieczeństwa oraz informatykom w wykrywaniu naruszeń danych, infekcji złośliwym oprogramowaniem lub innych zagrożeń.
Przykłady Indicator of Compromise
Zgodnie z tym co zostało powiedziane, Indicator of Compromise oznacza, że prawdopodobnie niepożądana osoba – cyberprzestępca – uzyskał dostęp do naszej sieci, jednak my możemy na to szybko zareagować. Warto więc dowiedzieć się, jakie mogą być przykłady Indicator od Compromise, by faktycznie móc na nie sprawnie odpowiedzieć. Do najpopularniejszych z nich można zaliczyć:
- nagłe działanie nieznanych nam wcześniej aplikacji;
- atak DDoS – często jest stosowany jako swoista zasłona dymna;
- nietypowa i podejrzana aktywność kont, które mają znacznie szerszy zakres uprawnień niż zwykli użytkownicy;
- inny i anormalny ruch sieciowy – dla przykładu można tu wskazać masowe i niekoordynowane odwiedzanie złośliwych witryn;
- ruch sieciowy z miejsc, w których dana organizacja i firma nie ma serwerów;
- niezliczone ilości prób niepoprawnego logowania – jest to sygnał wielokrotnego ataku, którego celem jest złamanie hasła.
Jak więc widać, wskaźniki skompromitowania dają przeciętnemu użytkownikowi komputera jasny sygnał, że jest on obecnie przedmiotem ataku cyberprzestępcy i powinien on podjąć jasne działanie, celem udaremnienia tego typu prób.
Jakie są kluczowe różnice pomiędzy IOC i IOA?
IOC to Indicator of Compromise natomiast IOA to nic innego jak Indicator od Attack. Oba pojęcia wskazują na całkiem odmienne kwestie, jednak bardzo często bywają one ze sobą mylone. Wobec tego jakie są między nimi różnice? Otóż przede wszystkim IOC opiera się na działaniach, które miały miejsce w przeszłości, podczas gdy IOA bazuje jedynie na tym, co dzieje się w czasie rzeczywistym. Można nawet wskazać na to, że IOC jest bazą danych, które następnie są wykorzystywane przez IOA celem np. umocnienia systemów bezpieczeństwa w obliczu aktualnie trwających ataków. IOC pomaga również określić, co było dokładnym celem ataku i na co on miał wpływ, podczas gdy IOA zajmuje się już tylko i wyłącznie przewidywaniem nadchodzącego ataku ze strony cyberprzestępcy. Warto więc o tych różnicach pamiętać.