Indicators of Compromise (IoCs)

Was sind Idicators of Compromise (IoCs)?

Unter Indicators of Compromise (IoCs) versteht man einen Nachweis dafür, dass ein Cyberangriff stattgefunden hat. Die Indicators of Compromise (IoCs) geben wertvolle Informationen über das Geschehene, können aber auch dazu verwendet werden, sich auf die Zukunft vorzubereiten und ähnliche Angriffe zu verhindern. Antimalware-Software und ähnliche Sicherheitstechnologien verwenden bekannte Indikatoren, wie zum Beispiel eine Virensignatur, um proaktiv vor ausweichenden Bedrohungen zu schützen. Indicators of Compromise (IoCs) können auch für die heuristische Analyse verwendet werden.

Funktion

Bei einem Malware-Angriff können Spuren seiner Aktivität in System- und Protokolldateien verbleiben. Diese Indicators of Compromise (IoCs) stellen die Aktivitäten in dem Netzwerk dar, die sonst möglicherweise nicht in Echtzeit gesehen werden können und die möglicherweise auf schädliche Aktivitäten hinweisen. Wenn eine Sicherheitsverletzung festgestellt wird, werden die IoCs- oder forensischen Daten aus diesen Dateien und von IT-Experten gesammelt. Moderne Antimalware-Systeme verwenden daher bekannte Indikatoren, um Malware-Infektionen, Datenverletzungen und andere Sicherheitsbedrohungen frühzeitig zu erkennen, sodass Unternehmen proaktiv Angriffe abwehren und Daten und IT-Systeme schützen können.

Proaktive Prävention

Die erweiterte Malware-Erkennung ist in Bezug auf die Sicherheitseffizienz unerreicht. Sogar sehr ausweichende Bedrohungen werden durch sogenannte “Deep Content Inspection” von Aktivitäten auf mehreren Ebenen, inaktivem Code und anderen Indicators of Compromise (IoCs) – die von herkömmlichen Sandbox-Sicherheitstechnologien oft übersehen werden – sichtbar.

Beispiele

Sicherheitsverletzungen können viele verschiedene Formen annehmen. Merkwürdige Netzwerkmuster, ungewöhnliches Kontoverhalten, unerwartete oder unerklärliche Konfigurationsänderungen und unbekannte neue Dateien auf Systemen können auf einen Verstoß hinweisen.

Das sind die heute gängigsten Indicators of Compromise (IoCs):

Ungewöhnlicher ausgehender Netzwerkverkehr

Eines der häufigsten Anzeichen für eine Sicherheitsverletzung sind Anomlien in den Netzwerkverkehrs-Mustern und -Volumina. Nutzer sollten nicht nur den Datenverkehr analysieren, der in das Netzwerk gelangt, sondern auch die verbleibenden Daten überwachen. Änderungen im ausgehenden Datenverkehr können darauf hinweisen, dass im Netzwerk ein Angriff stattfindet. Der beste Ansatz ist die Überwachung aller Aktivitäten im Netzwerk – sowohl eingehend als auch ausgehend.

Geographische Unregelmäßigkeiten

Erhält ein Nutzer eine E-Mail von seinem E-Mail-Anbieter, in welcher er darauf hingewiesen wird, dass auf seinem Postfach aus einem anderen Land zugegriffen wurde, handelt es sich um eine geographische Unregelmäßigkeit. Diese Indicators of Compromise (IoCs) sind daher nützlich für die Sicherung der Daten und der persönlichen Informationen. Insbesondere für Unternehmen ist die Überwachung der geographischen Unregelmäßigkeit von wertvoller Bedeutung. Bei den Zugriffs- und Anmeldemustern können diese nützlichen Beweise warnen, dass Angreifer aus einem anderen Land oder von einem anderen Kontinent einen Angriff versuchen.

Anomalien bei privilegierten Benutzerkonten

In der Lage zu sein, auf ein Konto mit hohen Privilegien zuzugreifen, ist für einen Angreifer wie auf Öl treffen. Normalerweise machen sie dies, indem sie zu Konten mit Administratorenrechten springen oder die Berechtigungen für Konten eskalieren, auf die sie bereits Zugriff haben. Änderungen in der Kontoaktivität, zum Beispiel die Menge der Informationen, auf die zugegriffen wird oder die geändert werden, sind gute überwachende Indicators of Compromise (IoCs).

Erheblicher Anstieg des Datenbank-Lesevolumens

Die meisten Organisationen speichern ihre vertraulichsten und persönlichsten Daten im Datenbankformat. Aus diesem Grund sind die Datenbanken immer ein vorrangiges Ziel für Angreifer. Ein Spitzenwert beim Lesen von Datenbanken ist ein guter Indikator dafür, dass ein Angreifer versucht, die Daten zu infiltrieren.

Fazit

In der Computerforensik handelt es sich bei den Indicators of Compromise (IoCs) um ein Artefakt, das in einem Netzwerk oder in einem Betriebssystem beobachtet wird, welches mit hoher Sicherheit auf ein Eindringen eines Computers hinweist.
Typische IoCs sind Virensignaturen, IP-Adressen, MD5-Hashes von Malware-Dateien, URLs oder Domainnamen von Botnet-Befehls- und Steuerungsservern. Nachdem IoCs in einem Prozess auf Vorfälle identifiziert wurden, können zur Früherkennung zukünftiger Angriffsversuche mit Antivirensoftware eingesetzt werden.

Für eine effizientere automatisierte Verarbeitung gibt es Initiativen zur Standardisierung des Formats von Indicators of Compromise (IoCs). Bekannte Indikatoren werden in der Regel in der Branche ausgetauscht, in der das Ampelprotokoll verwendet wird.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte