Indicators of Compromise (IoCs) und Indicators of Attack (IoAs) spielen eine zentrale Rolle bei der frühzeitigen Erkennung und Reaktion auf Cyberbedrohungen. Sie dienen als Frühwarnsystem für IT-Sicherheitsverantwortliche, die so proaktiv handeln und Angriffe abwehren können, bevor konkrete Schäden entstehen. Durch die Identifikation von Schwachstellen und Angriffstaktiken ermöglicht das Verständnis von IoCs und IoAs zudem die Verbesserung der Sicherheitsarchitektur.
Was ist ein Indicator of Compromise (IoC)?
Indicators of Compromise (IoCs) sind Anzeichen für einen bereits erfolgten Cyberangriff. Sie bieten Anhaltspunkte, nach denen Sicherheitsexperten und auch Softwarelösungen Ausschau halten, um festzustellen, ob ein System oder eine Anwendung kompromittiert worden ist.
IoCs erleichtern die schnelle Erkennung und Untersuchung von Sicherheitsvorfällen, indem Artefakte und Beweise analysiert werden, die nach einer Kompromittierung zurückgelassen wurden. Solche Anzeichen können verschiedene Formen annehmen, darunter Dateinamen, Protokolldateien, Registry-Schlüssel, Verbindungen zu IP-Adressen, spezielle Aktionen oder Hashwerte. Sie werden von Betriebssystemen, Netzwerken, Speichern und Anwendungen gesammelt, können jedoch durch geringfügige Änderungen der Angreifer variieren, was ihre Entdeckung erschwert.
Obwohl IoCs reaktiv sind, verkürzen sie entscheidend die Reaktionszeiten und minimieren die Auswirkungen von Cyberangriffen. Untersuchungen zeigen, dass die Mehrheit der IoCs für Monate, wenn nicht sogar Jahre, unentdeckt bleibt. Auch das nachträgliche Sammeln und Dokumentieren solcher Spuren, z. B. aus Logdateien und Verbindungsaufzeichnungen, kann bei der Nachvollziehbarkeit des Ablaufs und der Auswirkungen von Cyber-Angriffen hilfreich sein.
Was ist ein Indicator of Attack (IoA)?
Indicators of Attack konzentrieren sich auf die Erkennung und Verhinderung von Angriffen, indem verdächtige Verhaltensweisen und Aktivitäten zu Beginn und während eines Vorfalls identifiziert werden. Im Gegensatz zu IoCs, die auf vergangenen Kompromittierungen beruhen, weisen IoAs auf bevorstehende oder gerade beginnende Angriffsversuche hin. Sie gelten als proaktiver Ansatz im Bereich der Cybersicherheit und konzentrieren sie sich auf Muster und Taktiken, Techniken und Verfahren, die von Angreifern verwendet werden.
IoAs sind schwerer eindeutig zu erkennen und können ungewöhnliches Verhalten von (privilegierten) Accounts, verdächtige Netzwerkaktivitäten, auffällige Zugriffsversuche oder das Auftauchen von seltsamen Dateien auf Systemen umfassen. Eine kontinuierliche Aufzeichnung der „Baseline“ des normalen Betriebsverhaltens verbessert die Erkennung, während künstliche Intelligenz dabei helfen kann, verdächtiges Benutzerverhalten leichter zu identifizieren. In den meisten Fällen ist es notwendig, mehrere Hinweise zu kombinieren, um erfolgreiche Meldungen zu erhalten.
Integration und Bereitstellung von IoCs und IoAs
Angreifer passen sich ständig an, daher ist der Zugriff auf aktuelle und umfassende Daten entscheidend, um der Erkennung durch IoCs oder IoAs effektiv zu begegnen.
In großen Netzwerken können SIEM-Systeme (Security Event and Event Management) die Auswertung der zahlreichen Indikatoren vereinfachen. Eine geeignete Threat Intelligence Plattform aggregiert und kategorisiert interne und externe Daten und macht sie als Wissensdatenbank, für das Case Management oder SOAR nutzbar. Zusätzliche Daten zu typischen Vorgehensweisen, Zielen, Motiven, Schwachstellen oder Malware helfen ebenfalls, Fehlalarme zu vermeiden und die Erkennungsraten deutlich zu verbessern.
Aktuelle Bedrohungsinformationen aus professionellen Threat Intellligence Datenfeeds ermöglichen zudem eine kontinuierliche Überwachung und Bewertung der Wirksamkeit von Sicherheitsmaßnahmen. Die Ergebnisse dieser Bewertung und das Wissen über veränderte Bedrohungslagen ermöglichen es Unternehmen, sich an neue Bedrohungen anzupassen und ihre Cyber-Resilienz zu stärken.
Das könnte Sie auch interessieren:
Threat Intelligence effektiv in die Cyber-Abwehr integrieren
Cyber Threat Intelligence für Incident Response und Threat Prevention
Cyber Threat Intelligence für OT und kritische Infrastrukturen
Links: RFC 9424 – Indicators of Compromise (IoCs) and Their Role in Attack Defence (ietf.org)