Indicador de comprometimento ou IOC é um termo forense que se refere à evidência em um dispositivo que aponta para uma violação de segurança. Neste artigo, discutimos como o IOC pode ser útil para sua equipe de segurança cibernética.
O que é um indicador de compromisso?
Indicador de comprometimento ou IOC é um termo forense que se refere à evidência em um dispositivo que aponta para uma violação de segurança . Os dados do IOC são coletados após um incidente suspeito , evento de segurança ou chamadas inesperadas da rede. Além disso, é uma prática comum verificar os dados do IOC regularmente para detectar atividades incomuns e vulnerabilidades . Com essa prática, é possível desenvolver ferramentas mais inteligentes, capazes de identificar e isolar arquivos duvidosos .
Os indicadores de comprometimento também podem servir como peças de informação que permitem aos membros das equipes de segurança da informação e TI detectar atividades malignas na rede em um estágio bastante inicial. Assim, essas atividades podem ser interrompidas antes que se transformem em ataques reais ou um comprometimento e ameacem toda a rede.
Por outro lado, nem sempre é fácil detectar indicadores de comprometimento, pois sua forma varia. Eles podem ser logs, metadados ou sequências complexas de códigos. É por isso que os profissionais de TI e as equipes de segurança da informação muitas vezes tentam colocar a informação dentro do contexto para dar sentido a ela e identificar desvios . Além disso, eles reúnem vários indicadores para encontrar uma correlação entre eles.
Quais são os exemplos de indicadores de compromisso?
Existem vários indicadores de comprometimento que as equipes de TI e segurança da informação devem observar. Abaixo, você pode encontrar os 15 indicadores mais importantes de compromisso.
Anomalias encontradas na atividade do usuário privilegiado
Sinalizadores vermelhos encontrados na atividade de login
Solicitações de DNS desviantes
Tráfego da web com comportamento desumano
Atividade incomum no tráfego de saída da rede
Anormalidades geográficas
Aumento do volume de leitura do banco de dados
Tamanhos incomuns de resposta HTML
Mudanças nos perfis de dispositivos móveis
Sinais de atividade DDoS
Pacotes de dados mal colocados
Tráfego de porta-aplicativo conflitante
Mais solicitações do que o normal para o mesmo arquivo
Alterações incomuns no registro e / ou arquivos do sistema
Patching abrupto de sistemas
Qual é a diferença entre indicadores de comprometimento e indicadores de ataque?
Os indicadores de comprometimento servem para a detecção de eventos de segurança e comprometimentos, enquanto os indicadores de ataque servem para a detecção da intenção do invasor. Para conter e cessar o ataque com sucesso, é essencial saber o que o invasor está tentando realizar. É por isso que os indicadores de ataque são importantes.
Os indicadores de comprometimento ajudam os profissionais de TI e as equipes de segurança cibernética a detectar qualquer intrusão, mas para impedir essa intrusão, suas equipes de segurança precisam saber o que o invasor está planejando. Saber a próxima etapa e a intenção do invasor dá à equipe de segurança uma vantagem. É por isso que os dados coletados pelos indicadores de comprometimento devem ser apoiados por indicadores de ataque.
Como os indicadores de comprometimento podem ser usados para melhorar a detecção e a resposta?
Ficar de olho nos indicadores de comprometimento permite que as organizações tenham um melhor desempenho na detecção e resposta a eventos de segurança. Coletar e correlacionar IOCs significa que suas equipes de segurança podem identificar qualquer atividade suspeita que poderia não ter sido detectada por outras ferramentas de segurança . Além disso, com os dados fornecidos por indicadores de comprometimento, sua equipe de segurança pode tomar decisões informadas com mais rapidez e precisão. Como resultado, eles podem agir sobre os problemas de segurança mais rapidamente - rápido o suficiente para contê-los antes que se espalhem e causem uma violação irreversível ou prejudicial .
Para saber mais sobre os recursos da solução de inteligência de segurança Logsign, por favor, clique no link abaixo;
Referências:
https://digitalguardian.com/blog/what-are-indicators-compromise
https://www.optiv.com/cybersecurity-dictionary/ioc
https://www.crowdstrike.com/blog/indicators-attack-vs-indicators-compromise/
https://searchsecurity.techtarget.com/definition/Indicators-of-Compromise-IOC
Imagem de Darwin Laganzon por Pixabay
Nenhum comentário:
Postar um comentário