Indicadores de comprometimento (IOCs) referem-se a dados que indicam que um sistema pode ter sido infiltrado por uma ameaça cibernética. Eles fornecem às equipes de segurança cibernética um conhecimento crucial após uma violação de dados ou outra violação de segurança.
As equipes de resposta a incidentes de segurança de computadores (CSIRTs) usam IOCs para detecção de malware , para aprimorar a segurança do Sandbox e para verificar a eficácia da análise heurística. Eles também são usados para detectar e prevenir ataques ou para limitar os danos causados ao interromper os ataques logo no início.
Indicadores de comprometimento vs. indicadores de ataque
Os indicadores de ataque são diferentes dos IOCs porque se concentram na identificação da atividade associada ao ataque enquanto o ataque está ocorrendo, enquanto os IOCs se concentram em examinar o que aconteceu após a ocorrência de um ataque.
Como funcionam os indicadores de comprometimento?
Os IOCs atuam como sinalizadores que os profissionais de segurança cibernética usam para detectar atividades incomuns que são evidências ou podem levar a um ataque futuro. Existem vários tipos diferentes de IOCs. Alguns incluem elementos simples, como metadados, e outros são mais complexos, como códigos complicados de conteúdo malicioso.
Geralmente, é útil para os profissionais de segurança da informação reunir vários IOCs e, em seguida, ver se há uma correlação entre eles, indicando os detalhes de um possível ataque.
Indicadores mais comuns de comprometimento
Tráfego de rede de saída incomum
O tráfego que sai da rede é um indicador que as equipes de TI usam para identificar possíveis problemas. Se os padrões de tráfego de saída forem suspeitamente incomuns, a equipe de TI pode ficar de olho nisso para verificar se algo está errado. Como esse tráfego se origina de dentro da rede, geralmente é o mais fácil de monitorar e, se uma ação for realizada imediatamente, ele pode ser usado para interromper muitos tipos de ameaças.
Anomalias na atividade da conta de usuário privilegiado
As contas de usuário com privilégios geralmente têm acesso a áreas especiais ou particularmente confidenciais da rede ou aplicativos. Portanto, se forem detectadas anomalias, elas podem ajudar as equipes de TI a identificar um ataque no início do processo, potencialmente antes que ele tenha causado danos significativos. As anomalias podem incluir um usuário tentando escalar privilégios de uma conta específica ou usar a conta para acessar outras pessoas com mais privilégios.
Irregularidades Geográficas
Se houver tentativas de login de países com os quais sua organização normalmente não faz negócios, isso pode ser um sinal de um possível comprometimento da segurança. Pode ser a evidência de um hacker em outro país tentando entrar no sistema.
Outras bandeiras vermelhas de login
Quando um usuário legítimo tenta fazer login, ele normalmente obtém sucesso com algumas tentativas. Portanto, se um usuário existente tentar fazer login muitas vezes, isso pode indicar uma tentativa de invadir o sistema por um malfeitor. Além disso, se houver logins com falha com contas de usuário que não existem, isso pode indicar que alguém está testando contas de usuário para ver se uma delas fornecerá acesso ilícito.
Aumento no volume de leitura do banco de dados
Quando um invasor tenta exfiltrar seus dados , seus esforços podem resultar em um aumento no volume de leitura. Isso pode ocorrer quando o invasor coleta suas informações para tentar extraí-las.
Tamanhos de resposta HTML
Se o tamanho típico da resposta HTML (Hypertext Markup Language) for relativamente pequeno, mas você notar um tamanho de resposta muito maior, isso pode indicar que os dados foram filtrados. A massa de dados resulta em um tamanho de resposta HTML maior à medida que os dados são transmitidos ao invasor.
Grande número de solicitações para o mesmo arquivo
Os hackers sempre tentam solicitar arquivos que estão tentando roubar. Se o mesmo arquivo está sendo solicitado muitas vezes, isso pode indicar que um hacker está testando várias maneiras diferentes de solicitar os arquivos, na esperança de encontrar uma que funcione.
Tráfego incompatível nas portas de aplicativos
Os invasores podem explorar portas obscuras enquanto executam um ataque. Os aplicativos usam portas para trocar dados com uma rede. Se uma porta incomum estiver sendo usada, isso pode indicar que um invasor está tentando penetrar na rede através do aplicativo ou para afetar o próprio aplicativo.
Registro suspeito ou alterações no arquivo do sistema
O malware geralmente inclui código que faz alterações no registro ou nos arquivos do sistema. Se houver mudanças suspeitas, pode ser um IoC. Estabelecer uma linha de base pode facilitar a localização de alterações feitas por invasores.
Anomalias de solicitação de DNS
Os hackers costumam usar servidores de comando e controle (C&C) para comprometer uma rede com malware. O servidor C&C envia comandos para roubar dados, interromper serviços da web ou infectar o sistema com malware. Se houver solicitações anômalas de Sistema de Nomes de Domínio (DNS), especialmente aquelas que vêm de um determinado host, pode ser um IOC.
Além disso, a geolocalização das solicitações pode ajudar as equipes de TI a detectar possíveis problemas, especialmente se a solicitação de DNS vier de um país de onde os usuários legítimos normalmente não vêm.
Conte com os nossos serviços gerenciados de segurança enquanto você se preocupa somente com o seu negócio.
