Was bedeutet Indicator of Compromises?
Definition:
IoC – Indicator of Compromise, geben Hinweise auf mögliche oder stattgefundene Sicherheitsverletzungen, z. B. ungewöhnlicher Datenverkehr oder verdächtige Dateien. Es handelt sich um Merkmale, anhand derer die Kompromittierung eines Computersystems oder eines Netzwerks erkennbar wird. Merkmale können beispielsweise Einträge in Logfiles, außergewöhnlicher Netzwerkverkehr, bestimmte Dateien, einzelne Prozesse, Registry-Einträge oder Aktivitäten unter einer Benutzerkennung sein. Wir können Kompromittierungsmerkmale grundsätzlich in dateibasiert und verhaltensbasiert unterteilen.
Was machen wir mit IoCs und woher bekommen wir die?
Die Anzeichen für einen digitalen Angriff werden in den Protokolldateien festgehalten. Im Rahmen der Cybersicherheit des IoCs überwachen die Teams die digitalen Systeme regelmäßig auf verdächtige Aktivitäten. Moderne SIEM-, SOAR- und XDR-Lösungen vereinfachen diesen Prozess mit KI und Algorithmen für maschinelles Lernen, die eine Baseline für das, was im Unternehmen normal ist, festlegen und das Team dann bei Anomalien alarmieren. Es ist auch wichtig, Mitarbeitende außerhalb des Sicherheitsbereichs einzubeziehen, die verdächtige E-Mails erhalten oder versehentlich eine infizierte Datei herunterladen. Gute Sicherheitstrainingsprogramme helfen den Mitarbeitende, kompromittierte E-Mails besser zu erkennen, und bieten ihnen die Möglichkeit, auffällige Vorfälle zu melden.
Die Überwachung von IoCs ist entscheidend, um das Sicherheitsrisiko einer Organisation zu reduzieren. Die frühzeitige Erkennung von IoCs ermöglicht es Sicherheitsteams, schnell auf Angriffe zu reagieren und diese zu beheben, wodurch Ausfallzeiten und Unterbrechungen reduziert werden. Die regelmäßige Überwachung bietet Teams auch einen besseren Einblick in organisatorische Sicherheitsrisiken, die dann entschärft werden können.
IoCs können entweder über große Threat Intelligence Plattformen wie z. B. Google Threat Intelligence bezogen oder aber innerhalb von Sicherheitsvorfällen oder den alltäglichen SOC- und MDR-Aktivitäten selbst identifiziert werden. Im Anschluss werden diese Kompromittierungsmerkmale aufbereit und der Community zur Verfügung gestellt.