Индикатор компрометации (Indicator of Compromise, IoC)

Индикатор компрометации (Indicator of Compromise, IoC) — в сфере компьютерной безопасности наблюдаемый в сети или на конкретном устройстве объект (или активность), который с большой долей вероятности указывает на несанкционированный доступ к системе (то есть ее компрометацию). Такие индикаторы используются для обнаружения вредоносной активности на ранней стадии, а также для предотвращения известных угроз.

Что может быть индикатором компрометации

В качестве индикатора компрометации могут выступать:

  • Необычные DNS-запросы.
  • Подозрительные файлы, приложения и процессы.
  • IP-адреса и домены, принадлежащие ботнетам или командным серверам вредоносного ПО.
  • Значительное количество обращений к одному файлу.
  • Подозрительная активность в учетных записях администраторов или привилегированных пользователей.
  • Неожиданное обновление программных продуктов.
  • Передача данных через редко используемые порты.
  • Нетипичное для человека поведение на веб-сайте.
  • Сигнатура или хеш-сумма вредоносной программы.
  • Необычный размер HTML-ответов.
  • Несанкционированное изменение конфигурационных файлов, реестров или настроек устройства.
  • Большое количество неудачных попыток входа в систему.

Выявление и применение индикаторов компрометации

Индикаторы компрометации, связанные с конкретной угрозой, выделяются при анализе этой угрозы. Например, если киберразведка обнаружила новое вредоносное ПО, в отчете о нем будут приведены такие IoC, как хеши файлов, адреса командных серверов и так далее.

В дальнейшем индикаторы компрометации используются для активного поиска угроз в инфраструктуре организации. Обнаружение IoC в системе указывает на то, что, вероятно, на нее уже ведется кибератака и необходимо принять меры реагирования.

Индикаторы компрометации также добавляют в базы данных пассивных средств мониторинга и антивирусного ПО, чтобы своевременно выявлять и блокировать попытки проникновения. Например, с помощью сигнатур вредоносной программы защитное решение распознает ее и запрещает ей запускаться на устройстве.

IoC с точки зрения простого пользователя

Хотя чаще всего понятие индикаторов компрометации используется в контексте защиты корпоративных инфраструктур, с ними могут сталкиваться и обычные пользователи. Например, многие интернет-сервисы предупреждают владельцев аккаунтов об авторизации с необычного устройства или IP-адреса в другой стране. К таким сообщениям необходимо относиться серьезно, проверять приведенную в них информацию и, если какие-то из перечисленных действий выглядят подозрительно, оперативно менять пароль.

Публикации на схожие темы