Indicator of Compromise (IoC) er, som navnet antyder, digitale spor, der kan tyde på, at et system er blevet kompromitteret. Der findes en række specifikke IoC’er, som sikkerhedseksperter holder øje med. Dem vender vi tilbage til.
Definitionen af en IoC
Indicators of Compromise er specifikke digitale spor, som hjælper sikkerhedsspecialister med at identificere potentiel ondsindet aktivitet i et system eller på et netværk. På den måde kan IoC’er hjælpe IT-sikkerhedseksperter med at opdage databrud, malware og andre trusler, så de kan reagere på dem hurtigt.
Monitorering af mulige IoC’er kan således anvendes som en forebyggende sikkerhedsforanstaltning, hvilket på den måde kan hjælpe organisationer til at forebygge angreb eller mindske omkostningerne ved angreb, fordi disse opdages og stoppes i et tidligt stadie.
Man kan betragte IoC’er som ‘red flags’, der kan afsløre et forestående angreb, som kan forårsage et databrud, for eksempel.
Det lyder måske simpelt nok, men i virkeligheden er IoC’er ikke altid nemme at identificere. Ofte kræver det, at sikkerhedseksperter kan identificere adskillige IoC’er og skabe en sammenhæng mellem dem, for at være i stand til at udlede en potentiel trussel fra dem.
Det betyder også, at arbejdet med at monitorere og identificere IoC’er foregår på professionelt infosec-niveau, hvor professionelle IT-sikkerhedseksperter anvender avanceret teknologi til at scanne og analysere enorme mængder data. Den mest effektive tilgang er således at kombinere avanceret teknologi med menneskelige ressourcer.
Hvad er en Indicator of Attack?
Et begreb, som har en relation til IoC, er Indicator of Attack (IoA). Men hvor IoC refererer til spor, som indikerer, at systemet allerede er blevet kompromitteret, fokuserer Indicators of Attack på indikationer på et angreb, mens angrebet står på.
Med andre ord prøver man via IoC’er at forstå, hvad der skete, mens man via IoA’er forsøger at forstå, hvad der sker ligenu og hvorfor.
Det betyder også, at man er nødt til at holde øje med både IoC’er og IoA’er, hvis man ønsker den mest proaktive tilgang til at opdage og identificere potentielle trusler i realtid.
Eksempler på IoC’er
Eksempler på Indicators of Compromise, som IT-sikkerhedseksperter holder øje med, kan være:
- Usædvanlig trafik på netværket
- Ukendte filer og applikationer i systemet
- Mistænksom aktivitet på administratorkonti
- Uregelmæssig aktivitet, herunder trafik på geografiske lokationer, som organisationen ikke har en relation til
- Utallige login-forsøg, hvilket kan indikere forsøg på brute force
- Ukendte ændringer i systemindstillinger
- Data, som på uforklarlig vis findes steder, det ikke burde være
- Stort antal forespørgsler på den samme fil
- Usædvanlige DNS-forespørgsler
- Trafik fra specifikke IP-adresser, fx tilhørende kendte trusselsaktører
Listen er ikke udtømmende, men giver et bredt indblik i, hvilke digitale spor, sikkerhedsteams blandt andet holder øje med.
Der findes forskellige tilgange, og IoC’er kan således blive indsamlet manuelt og løbende, som de bliver opdaget, eller på mere systematisk vis.
Derfor skal man monitorere IoC’er
At arbejde målrettet med IoC’er er et vigtigt værktøj, hvis man som organisation ønsker at forbedre sit trusselsberedskab. Når man identificerer IoC’er og er i stand til at korrelere dem, vil man hurtigere kunne identificere sikkerhedshændelser, reagere på dem og lukke sikkerhedshuller, hvilket ikke havde været lige så effektivt og hurtigt ellers. Jo tidligere man registrerer et angreb, jo mere kan man også mindske de potentielle omkostninger ved det.
Ved hjælp af IoC’er kan sikkerhedsteam opdage hvilke mønstre, der går igen, og derfor handle på dem og øge sikkerheden i overensstemmelse hermed ved at implementere relevante sikkerhedsværktøjer og opdatere de gældende sikkerhedspolitikker. På den måde kan IoC’er hjælpe med at beskytte mod fremtidige angreb og sikkerhedsbrud.
Ulemper ved monitorering af IoC’er
Monitorering af IoC’er er reaktivt af natur, og det betyder, at når en organisation opdager en IoC, så er sikkerheden i de fleste tilfælde allerede blevet kompromitteret.
Derudover er cyberkriminelle og disses metoder i konstant udvikling og bliver i takt med teknologien også hele tiden mere og mere sofistikerede. Derfor kan IoC’er også blive sværere og sværere at spotte og identificere, som cyberkriminelle bliver bedre til at dække sine spor.
Afsluttende tanker
Arbejdet med at monitorere IoC’er har både fordele og ulemper. Men vigtigst af alt er omdrejningspunktet at øge sikkerheden, og den slags arbejde er aldrig spildt arbejde, så længe IoC’er bliver identificeret på effektiv vis og brugt til at lappe sikkerhedshuller og opfange angreb i tidlige stadier, så omkostningerne kan mindskes.
IoC’er giver desuden et vigtigt indblik i de cyberkriminelles metoder og teknikker, hvilket også er viden, der kan bruges præventivt i en organisation.
Sidst men ikke mindst er monitorering af IoC’er i kombination med monitorering af IoA’er samt eksempelvis awareness-træning med til at sætte fokus på mulige trusler, hvilket øger den generelle cyberhygiejne i en organisation.
Emilie Hartmann
Emilie Hartmann er studerende og copywriter hos Moxso, hvor hun udfolder sig som sprognørd og altid er på udkig efter nye spændende emner at skrive om. Hun er igang med sin kandidat i engelsk, hvor hun primært bevæger sig indenfor fagområderne Creative Writing og Digital Humanities.
Se alle indlæg af Emilie Hartmann
