Que sont les indicateurs de compromission (IoC) ?

Les indicateurs de compromission (IoC) sont des preuves laissées par un attaquant ou un logiciel malveillant qui peuvent être utilisées pour identifier un incident de sécurité.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir les indicateurs de compromission (IoC)
  • Mettre en évidence les IoC communs
  • Apprendre à utiliser les IoC pour améliorer la détection et la réponse

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Que sont les indicateurs de compromission (IoC) ?

Les indicateurs de compromission (IoC) sont des informations concernant une faille de sécurité spécifique grâce auxquelles les équipes de sécurité peuvent déterminer si une attaque a eu lieu. Ces données peuvent comprendre des détails sur l'attaque, tels que le type de logiciel malveillant utilisé, les adresses IP impliquées et d'autres détails techniques.

Comment fonctionnent les indicateurs de compromission (IoC) ?

Les indicateurs de compromission (IoC pour indicator of compromise) aident les organisations à localiser et à confirmer la présence de logiciels malveillants sur un appareil ou un réseau. Les attaques laissent des éléments de preuves, des métadonnées par exemple. Les preuves peuvent être utilisées par les experts en sécurité pour détecter, examiner et remédier aux incidents de sécurité.

Les IoC peuvent être obtenus par plusieurs méthodes, notamment :

  • Observation : observation d'une activité ou d'un comportement anormal dans des systèmes ou des appareils
  • Analyse : déterminer les caractéristiques de l'activité suspecte et analyser son impact
  • Signatures : identifiant les signatures de logiciels malveillants connus

Quels sont les types d'IoC les plus courants ?

Il existe différents types d'IoC qui peuvent être utilisés pour détecter les incidents de sécurité. Il s'agit notamment de

  • Les IoC basés sur le réseau, tels que les adresses IP, les domaines ou les URL malveillants, peuvent également inclure des modèles de trafic réseau, une activité inhabituelle sur un port, des connexions réseau vers des hôtes malveillants connus ou des modèles d'exfiltration de données.
  • Les IoC basés sur l'hôte sont liés à l'activité d'un poste de travail ou d'un serveur. Les noms de fichiers ou les hachages, les clés de registre ou les processus suspects s'exécutant sur l'hôte sont des exemples d'IoC basés sur l'hôte.
  • Les IoC basés sur des fichiers comprennent des fichiers malveillants tels que des logiciels malveillants ou des scripts.
  • Les IoC comportementaux couvrent plusieurs types de comportements suspects, repérables dans les actions des utilisateurs, les modèles de connexion, les modèles de trafic réseau et les tentatives d'authentification .
  • Les IoC de métadonnées concernent les métadonnées associées à un fichier ou à un document, par exemple les informations sur l'auteur, la date de création ou la version.

Indicateurs de compromission et indicateurs d'attaque

Les IoC ressemblent aux indicateurs d'attaque (IoA), à une légère différence près. Les IoA se concentrent sur la probabilité qu'une action ou un événement puisse constituer une menace.

Par exemple, un rapport d'évaluation indique qu'il est fort probable qu'un groupe connu pour ses menaces lance une attaque par déni de service distribué (DDoS ) contre un site web. Dans cette situation, un IoC peut indiquer que quelqu'un a accédé au système ou au réseau et a transféré une grande quantité de données.

Les équipes de sécurité ont souvent recours aux IoA et IoC pour identifier le comportement d'acteurs malveillants. Autre exemple, un IoC identifie un trafic réseau anormalement élevé, tandis que l'IoA prédit que le trafic réseau élevé indique potentiellement une attaque DDoS imminente. Ces deux indicateurs fournissent des informations importantes concernant les menaces et les vulnérabilités potentielles des réseaux et des systèmes.

Indicateurs des meilleures pratiques en matière de compromission

Les meilleures pratiques en matière d'indicateurs de compromission (IoC) couvrent plusieurs techniques, notamment l'utilisation d'outils automatisés et manuels pour surveiller, détecter et analyser les preuves des cyberattaques.

Avec l'apparition de nouvelles technologies et de nouveaux vecteurs d'attaque , il est extrêmement important de mettre régulièrement à jour les procédures liées aux IoC. En se tenant au courant des procédures et des meilleures pratiques en matière d'IoC, les organisations peuvent garder une longueur d'avance sur le paysage des menaces et se protéger contre les activités malveillantes.

Cloudforce One

Cloudforce One est une équipe de recherche et d'exploitation des menaces créée pour traquer et perturber les acteurs de la menace. Les capacités avancées de l'équipe en matière de renseignement sur les menaces permettent une couverture complète de toutes les entités du paysage des menaces et aident les organisations à prendre des mesures avant que les menaces ne causent des dommages.