Was sind Kompromittierungshinweise (IoC)?

Kompromittierungshinweise (Indicators of Compromise oder kurz IoC) sind Hinweise, die ein Angreifer oder eine böswillige Software hinterlassen hat und die zur Identifizierung eines Sicherheitsvorfalls verwendet werden können.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Kompromittierungshinweise (IoC) definieren
  • Gemeinsame IoCs hervorheben
  • Lernen, wie Sie IoCs nutzen können, um Erkennung und Reaktion zu verbessern

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was sind Kompromittierungshinweise (IoC)?

Kompromittierungshinweise (Indicators of Compromise oder kurz IoCs) sind Informationen über eine bestimmte Sicherheitsverletzung, anhand derer Sicherheitsteams feststellen können, ob ein Angriff stattgefunden hat. Diese Daten können Einzelheiten über einen Angriff enthalten, wie die Art der verwendeten Schadsoftware, die beteiligten IP-Adressen und andere technische Details.

Wie funktionieren Kompromittierungshinweise (IoC)?

Kompromittierungshinweise (Indicators of Compromise oder kurz IoC) helfen Unternehmen, das Vorhandensein von Schadprogrammen auf einem Gerät oder in einem Netzwerk zu lokalisieren und zu bestätigen. Angriffe hinterlassen Spuren von Beweisen, wie z. B. Metadaten. Anhand der Beweise können Sicherheitsexperten Sicherheitsvorfälle erkennen, untersuchen und beheben.

IoCs gewinnt man durch verschiedene Methoden, darunter:

  • Beobachtung: Überwachung auf abnormale Aktivitäten oder Verhaltensweisen in Systemen oder Geräten
  • Analyse: Bestimmung der Merkmale der verdächtigen Aktivität und Analyse ihrer Auswirkungen
  • Signaturen: Identifizierung bekannter böswilliger Software-Signaturen

Welche Arten von IoCs sind üblich?

Es gibt mehrere verschiedene Arten von IoCs, die zum Erkennen von Sicherheitsvorfällen verwendet werden können. Dazu gehören:

  • Netzwerkbasierte IoCs, wie böswillige IP-Adressen, Domains oder URLs können auch Netzwerk-Traffic-Muster umfassen, wie ungewöhnliche Port-Aktivitäten, Netzwerkverbindungen zu bekannten böswilligen Hosts oder Muster der Datenexfiltration.
  • Hostbasierte IoCs beziehen sich auf Aktivitäten auf einer Workstation oder einem Server. Dateinamen oder Hashes, Registrierungsschlüssel oder verdächtige Prozesse, die auf dem Host ausgeführt werden, sind Beispiele für hostbasierte IoCs.
  • Dateibasierte IoCs umfassen böswillige Dateien wie Schadsoftware oder Skripte.
  • Verhaltensbasierte IoCs decken verschiedene Arten von verdächtigem Verhalten ab, darunter seltsame Benutzeraktivitäten, Anmeldemuster, Netzwerkverkehrsmuster und Authentifizierungsversuche.
  • Metadaten-IoCs beziehen sich auf die mit einer Datei oder einem Dokument verbundenen Metadaten, wie z. B. Autor, Erstellungsdatum oder Versionsangaben.

Kompromittierungshinweise vs. Angriffshinweise

IoCs ähneln den Indikatoren für Angriffe (Indicators of Attack oder kurz IoA), unterscheiden sich jedoch leicht. IoAs konzentrieren sich auf die Wahrscheinlichkeit, dass eine Handlung oder ein Ereignis eine Bedrohung darstellen kann.

Ein IoA zeigt beispielsweise an, dass eine bekannte Bedrohungsgruppe mit hoher Wahrscheinlichkeit einen verteilten Denial-of-Service-Angriff (DDoS ) gegen eine Website startet. In dieser Situation könnte ein IoC zeigen, dass sich jemand Zugang zum System oder Netzwerk verschafft und eine große Menge an Daten übertragen hat.

Sicherheitsteams verwenden häufig sowohl IoAs als auch IoCs, um Angreiferverhalten zu erkennen. Ein anderes Beispiel: Ein IoC identifiziert ungewöhnlich hohen Netzwerk-Traffic, während es sich bei einem IoA die Vorhersage handelt, dass der hohe Netzwerk-Traffic auf einen bevorstehenden DDoS-Angriff hinweisen könnte. Beide Indikatoren geben wichtige Hinweise auf potenzielle Bedrohung und Schwachstellen in Netzen und Systemen.

Kompromittierungshinweise – Best Practices

Best Practices für Kompromittierungshinweise (IoC) umfassen mehrere Techniken, darunter die Verwendung automatischer und manueller Tools zur Überwachung, Erkennung und Analyse von Beweisen für Cyberangriffe.

Da immer neue Technologien und Angriffsvektoren hinzukommen, müssen die IoC-Verfahren unbedingt regelmäßig aktualisiert werden. Indem sie sich über die besten IoC-Verfahren und Best Practices auf dem Laufenden halten, können Unternehmen der Bedrohungslandschaft einen Schritt voraus sein und sich vor böswilligen Aktivitäten schützen.

Cloudforce One

Cloudforce One ist das Team für Bedrohungsanalysen und -forschung, das Bedrohungsakteure aufspüren und stören soll. Die modernen Bedrohungsdatenressourcen des Teams ermöglichen eine umfassende Abdeckung aller Akteure in der Bedrohungslandschaft. Mit ihrer Hilfe können Maßnahmen ergreifen, bevor Bedrohungen Schaden anrichten können.