Indicators of Compromise (IoCs)

Indicators-of-Compromise

Copyright ┬ę Shutterstock / Artur Szczybylo

Was sind Idicators of Compromise (IoCs)?

Unter Indicators of Compromise (IoCs) versteht man einen Nachweis daf├╝r, dass ein Cyberangriff stattgefunden hat. Die Indicators of Compromise (IoCs) geben wertvolle Informationen ├╝ber das Geschehene, k├Ânnen aber auch dazu verwendet werden, sich auf die Zukunft vorzubereiten und ├Ąhnliche Angriffe zu verhindern. Antimalware-Software und ├Ąhnliche Sicherheitstechnologien verwenden bekannte Indikatoren, wie zum Beispiel eine Virensignatur, um proaktiv vor ausweichenden Bedrohungen zu sch├╝tzen. Indicators of Compromise (IoCs) k├Ânnen auch f├╝r die heuristische Analyse verwendet werden.

Funktion

Bei einem Malware-Angriff k├Ânnen Spuren seiner Aktivit├Ąt in System- und Protokolldateien verbleiben. Diese Indicators of Compromise (IoCs) stellen die Aktivit├Ąten in dem Netzwerk dar, die sonst m├Âglicherweise nicht in Echtzeit gesehen werden k├Ânnen und die m├Âglicherweise auf sch├Ądliche Aktivit├Ąten hinweisen. Wenn eine Sicherheitsverletzung festgestellt wird, werden die IoCs- oder forensischen Daten aus diesen Dateien und von IT-Experten gesammelt. Moderne Antimalware-Systeme verwenden daher bekannte Indikatoren, um Malware-Infektionen, Datenverletzungen und andere Sicherheitsbedrohungen fr├╝hzeitig zu erkennen, sodass Unternehmen proaktiv Angriffe abwehren und Daten und IT-Systeme sch├╝tzen k├Ânnen.

Tipp

Wenn Sie noch Fragen bez├╝glich Malware haben, dann k├Ânnen Sie gerne den jeweiligen Glossar dazu besuchen und sich ├╝ber das Thema informieren.

Proaktive Pr├Ąvention

Die erweiterte Malware-Erkennung ist in Bezug auf die Sicherheitseffizienz unerreicht. Sogar sehr ausweichende Bedrohungen werden durch sogenannte “Deep Content Inspection” von Aktivit├Ąten auf mehreren Ebenen, inaktivem Code und anderen Indicators of Compromise (IoCs) – die von herk├Âmmlichen Sandbox-Sicherheitstechnologien oft ├╝bersehen werden – sichtbar.

Beispiele

Sicherheitsverletzungen k├Ânnen viele verschiedene Formen annehmen. Merkw├╝rdige Netzwerkmuster, ungew├Âhnliches Kontoverhalten, unerwartete oder unerkl├Ąrliche Konfigurations├Ąnderungen und unbekannte neue Dateien auf Systemen k├Ânnen auf einen Versto├č hinweisen.

Das sind die heute g├Ąngigsten Indicators of Compromise (IoCs):

Ungew├Âhnlicher ausgehender Netzwerkverkehr

Eines der h├Ąufigsten Anzeichen f├╝r eine Sicherheitsverletzung sind Anomlien in den Netzwerkverkehrs-Mustern und -Volumina. Nutzer sollten nicht nur den Datenverkehr analysieren, der in das Netzwerk gelangt, sondern auch die verbleibenden Daten ├╝berwachen. ├änderungen im ausgehenden Datenverkehr k├Ânnen darauf hinweisen, dass im Netzwerk ein Angriff stattfindet. Der beste Ansatz ist die ├ťberwachung aller Aktivit├Ąten im Netzwerk – sowohl eingehend als auch ausgehend.

Geographische Unregelm├Ą├čigkeiten

Erh├Ąlt ein Nutzer eine E-Mail von seinem E-Mail-Anbieter, in welcher er darauf hingewiesen wird, dass auf seinem Postfach aus einem anderen Land zugegriffen wurde, handelt es sich um eine geographische Unregelm├Ą├čigkeit. Diese Indicators of Compromise (IoCs) sind daher n├╝tzlich f├╝r die Sicherung der Daten und der pers├Ânlichen Informationen. Insbesondere f├╝r Unternehmen ist die ├ťberwachung der geographischen Unregelm├Ą├čigkeit von wertvoller Bedeutung. Bei den Zugriffs- und Anmeldemustern k├Ânnen diese n├╝tzlichen Beweise warnen, dass Angreifer aus einem anderen Land oder von einem anderen Kontinent einen Angriff versuchen.

Anomalien bei privilegierten Benutzerkonten

In der Lage zu sein, auf ein Konto mit hohen Privilegien zuzugreifen, ist f├╝r einen Angreifer wie auf ├ľl treffen. Normalerweise machen sie dies, indem sie zu Konten mit Administratorenrechten springen oder die Berechtigungen f├╝r Konten eskalieren, auf die sie bereits Zugriff haben. ├änderungen in der Kontoaktivit├Ąt, zum Beispiel die Menge der Informationen, auf die zugegriffen wird oder die ge├Ąndert werden, sind gute ├╝berwachende Indicators of Compromise (IoCs).

Erheblicher Anstieg des Datenbank-Lesevolumens

Die meisten Organisationen speichern ihre vertraulichsten und pers├Ânlichsten Daten im Datenbankformat. Aus diesem Grund sind die Datenbanken immer ein vorrangiges Ziel f├╝r Angreifer. Ein Spitzenwert beim Lesen von Datenbanken ist ein guter Indikator daf├╝r, dass ein Angreifer versucht, die Daten zu infiltrieren.

Fazit

In der Computerforensik handelt es sich bei den Indicators of Compromise (IoCs) um ein Artefakt, das in einem Netzwerk oder in einem Betriebssystem beobachtet wird, welches mit hoher Sicherheit auf ein Eindringen eines Computers hinweist.
Typische IoCs sind Virensignaturen, IP-Adressen, MD5-Hashes von Malware-Dateien, URLs oder Domainnamen von Botnet-Befehls- und Steuerungsservern. Nachdem IoCs in einem Prozess auf Vorf├Ąlle identifiziert wurden, k├Ânnen zur Fr├╝herkennung zuk├╝nftiger Angriffsversuche mit Antivirensoftware eingesetzt werden.

F├╝r eine effizientere automatisierte Verarbeitung gibt es Initiativen zur Standardisierung des Formats von Indicators of Compromise (IoCs). Bekannte Indikatoren werden in der Regel in der Branche ausgetauscht, in der das Ampelprotokoll verwendet wird.

Tipp

Wenn Sie noch Fragen bez├╝glich eines Online Marketing Themas haben, dann k├Ânnen Sie gerne unseren Glossar besuchen und sich ├╝ber das Thema informieren, wo Sie noch speziell Fragen haben.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte