Sto facendo fatica a capire che cosa è un indicatore di compromesso.
Ho trovato diverse definizioni sul web ma non lo so ancora.
Le definizioni che ho trovato sono:
1 - Qualcosa (file, connessione di rete) che indica che un sistema è stato compromesso.
2 - Un'informazione sulla compromissione
Versione breve: IOC sono fondamentalmente tutti i dati che possono essere considerati non validi su un sistema o una rete che potrebbero fungere da impronta digitale di un attacco o forse un'infezione.
Esempio: Uno dei modi in cui i produttori di malware stabiliscono la persistenza all'interno di un host infetto è attraverso le modifiche del registro.
Immagina che malware.exe SEMPRE crea una cartella in C:\Tmp\WindowsAdmin666 , quindi, se hai quella cartella, questo potrebbe significare che sei infetto, questo è un IOC (Registro di sistema sospetto o modifiche ai file di sistema) .
Versione lunga: Come afferma "Digital Guardian", gli indicatori di compromissione (IOC) sono "pezzi di dati forensi, come dati trovati in voci di registro di sistema o file, che identificano attività potenzialmente dannose su un sistema o una rete."
Indicatori di compromissione della sicurezza delle informazioni e dei professionisti IT in grado di rilevare violazioni dei dati, infezioni da malware o altre attività di minaccia. Monitorando gli indicatori di compromissione, le organizzazioni possono rilevare gli attacchi e agire rapidamente per impedire che si verifichino violazioni o limitare i danni bloccando gli attacchi nelle fasi precedenti.
Gli indicatori di compromesso agiscono come briciole di pane che portano infosec e professionisti IT a rilevare attività dannose all'inizio della sequenza di attacco. Queste attività insolite sono le bandiere rosse che indicano un attacco potenziale o in corso che potrebbe portare a una violazione dei dati oa un compromesso dei sistemi. Tuttavia, gli IOC non sono sempre facili da rilevare; possono essere semplici come elementi di metadati o codice dannoso e campioni di contenuti incredibilmente complessi. Gli analisti spesso identificano vari IOC per cercare la correlazione e metterli insieme per analizzare una potenziale minaccia o incidente.
Esempi di IOC includono traffico di rete insolito, insolita attività dell'account utente privilegiato, anomalie di accesso, aumento del volume di lettura del database, modifiche ai file di sistema o sospette, richieste DNS insolite e traffico Web che mostra comportamenti non umani. Queste e altre attività insolite consentono ai team di sicurezza di monitorare i sistemi e le reti per individuare gli attori malintenzionati prima nel processo di rilevamento delle intrusioni.
Se la teoria era confusa, allora un buon esempio potrebbe aiutare a capire IOC, questo documento è di SANS: Uso di IOC (indicatori di compromesso) in malware
Spero che questo aiuti.
Leggi altre domande sui tag terminology ioc