IOC oraz IOA to wskaźniki cyberbezpieczeństwa pomagające w poznaniu wielu informacji na temat przeprowadzonych lub planowanych ataków oraz podatności. Dane w postaci IOC/IOA są dostarczane z różnych obszarów sieci: firewalli, systemów antywirusowych, monitoringu sieci (SIEM) czy systemów IDS/IPS. Specjaliści pozyskują je zarówno ze źródeł wewnętrznych, jak i w drodze wymiany bądź kupna ze źródeł pozafirmowych. Opracowane wskaźniki można także pozyskać z publicznych baz danych i forów internetowych (w tym także działających w darknecie).

Wskaźniki IOC/IOA są wykorzystywane przez zespoły SOC, CERT i CSIRT do szczegółowej analizy zdarzeń i aktywnego monitoringu sieci firmowej.

IOC

IOC (ang.: Indicator of Compromise) wskazuje na kompromitację systemu, a więc informuje analityków o wystąpieniu rzeczywistego incydentu bezpieczeństwa. IOC dostarcza informacji zarówno na temat ataków z zewnątrz, jak i incydentów wewnątrz sieci – np. o wyciekach danych.

IOC dostarcza takie informacje, jak adresy IP, pliki czy rodzaje naruszeń. Dzięki IOC specjaliści mogą w przyszłości wykorzystać informacje o atakach, np. do selekcjonowania plików, które będą poddawane kwarantannie.

Minusem wskaźnika IOC jest generowanie przez systemy, oparte o ten wskaźnik, wielu fałszywych alarmów o atakach. Niedogodnością niekiedy jest dostarczanie danych z przeszłości, ale to może mieć swoje plusy w postaci kompletnej informacji o ataku, które można wykorzystać w przyszłości.

IOA

IOA (ang.: Indicators of Attack) wykazuje proaktywne podejście do cyberbezpieczeństwa. To wskaźnik informujący w czasie rzeczywistym o anomaliach systemowych, podejrzanych aktywnościach i możliwości wystąpienia ataku – jeszcze zanim on nastąpi. Jego przewagą jest szybka reakcja i możliwość udaremnienia poważnych zniszczeń systemu czy wycieku danych. Dzieje się to dzięki dynamicznej analizie wzorców zachowań hakerów oraz znajomości ich metod i kolejnych etapów ataku.

Dla lepszego zrozumienia tematu zamieszczamy kilka charakterystycznych wskaźników z grupy IOC oraz IOA.

IOC

• modyfikacja zasad firewalla i konfiguracji innych systemów,


• obecność w systemie obcych plików i ich niecodzienna lokalizacja,


• logi systemowe wskazujące na atak,


• próby rozszerzenia swoich uprawnień przez szeregowych użytkowników,


• zmiany w ważnych plikach systemowych,


• wszelkie anomalie w ruchu sieciowym.

IOA

• problemy z uwierzytelnianiem (nierzadko dla wielu kont jednocześnie) – wielokrotne nieudane próby logowania, używanie starych haseł, a także próby logowania z nieznanych, egzotycznych lokalizacji,


• próby eksploatacji luk w zabezpieczeniach,


• logi systemowe wskazujące na próbę instalacji niezweryfikowanego oprogramowania,


• próby skanowania sieci w poszukiwaniu otwartych portów i luk w zabezpieczeniach,


• wzmożony ruch wychodzący.