O que são indicadores de comprometimento (IoC)?

Os indicadores de comprometimento (IoC) são evidências deixadas por um invasor ou software malicioso que podem ser usados para identificar um incidente de segurança.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir indicadores de comprometimento (IoC)
  • Destacar os IoCs comuns
  • Saiba como usar os IoCs para melhorar a detecção e a resposta

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que são indicadores de comprometimento (IoC)?

Indicadores de comprometimento (IoCs) são informações sobre uma violação de segurança específica que podem ajudar as equipes de segurança a determinar se um ataque ocorreu. Estas informações podem incluir detalhes sobre o ataque, como o tipo de malware usado , os endereços de IP envolvidos e outros detalhes técnicos.

Como funcionam os indicadores de comprometimento (IoC)?

Os indicadores de comprometimento (IoC) ajudam as organizações a localizar e confirmar a presença de software malicioso em um dispositivo ou rede. Os ataques deixam rastros de evidências, como metadados. As evidências podem ser usadas por especialistas em segurança para detectar, investigar e resolver incidentes de segurança.

Os IoCs podem ser obtidos através de vários métodos, incluindo:

  • Observação: observar atividades ou comportamentos anormais em sistemas ou dispositivos
  • Análise: determinar as características da atividade suspeita e analisar seu impacto
  • Assinaturas: identificar assinaturas de softwares maliciosos conhecidos

Quais são os tipos comuns de IoCs?

Há vários tipos diferentes de IoC que podem ser usados para detectar incidentes de segurança. Incluindo:

  • Os IoCs baseados em rede, como endereços de IP, domínios ou URLs maliciosos, também podem incluir padrões de tráfego de rede, atividade incomum de portas, conexões de rede com hosts maliciosos conhecidos ou padrões de exfiltração de dados.
  • IoCs baseados em host estão relacionados à atividade em uma estação de trabalho ou servidor. Nomes de arquivos ou hashes, chaves de registro ou processos suspeitos em execução no host são exemplos de IoCs baseados em host.
  • IoCs baseados em arquivos incluem arquivos maliciosos, como malware ou scripts.
  • IoCs comportamentais abrangem vários tipos de comportamento suspeito, incluindo comportamento estranho do usuário, padrões de login, padrões de tráfego de rede e tentativas de autenticação.
  • IoCs de metadados têm a ver com os metadados associados a um arquivo ou documento, como o autor, a data de criação ou os detalhes da versão.

Indicadores de comprometimento versus indicadores de ataque

Os IoCs se assemelham aos indicadores de ataque (IoA), mas são ligeiramente diferentes. Os IoAs se concentram na probabilidade de que uma ação ou evento possa representar uma ameaça.

Por exemplo, um IoA indica que um grupo de ameaça conhecido tem uma alta probabilidade de lançar um ataque de negação de serviço distribuída (DDoS) contra um site. Nessa situação, um IoC pode mostrar que alguém obteve acesso ao sistema ou à rede e transferiu uma grande quantidade de dados.

As equipes de segurança frequentemente usam IoAs e IoCs para identificar o comportamento do invasor. Em outro exemplo, um IoC identifica um tráfego de rede excepcionalmente alto, enquanto o IoA é a previsão de que o alto tráfego de rede pode indicar um ataque DDoS iminente. Ambos os indicadores ajudam a fornecer insights importantes sobre possíveis ameaças e vulnerabilidades em redes e sistemas.

Melhores práticas de indicadores de comprometimento

As práticas recomendadas de indicadores de comprometimento (IoC) abrangem várias técnicas, incluindo o uso de ferramentas automatizadas e manuais para monitorar, detectar e analisar evidências de ataques cibernéticos.

À medida que surgem novas tecnologias e vetores de ataque , é extremamente importante atualizar regularmente os procedimentos de IoC. As organizações podem ficar à frente do cenário de ameaças e se proteger de atividades maliciosas mantendo-se atualizadas sobre os procedimentos e as práticas recomendadas de IoC.

Cloudforce One

O Cloudforce One é uma equipe de operações e pesquisa de ameaças criada para rastrear e interromper os agentes das ameaças. As capacidades avançadas de inteligência contra ameaças da equipe permitem uma cobertura abrangente de todas as entidades do cenário de ameaças e ajudam as organizações a tomar medidas antes que qualquer ameaça possa causar danos.