O que é são indicadores de comprometimento (IOCs)?
Um indicador de comprometimento (IOC) é uma parte da perícia forense digital que sugere que um endpoint ou rede pode ter sido violado. Assim como as evidências físicas, essas pistas digitais ajudam os profissionais de segurança da informação a identificar atividades maliciosas ou ameaças à segurança, como comprometimento de dados, ameaças internas ou ataques de malware.
Os investigadores podem coletar indicadores de comprometimento manualmente após perceberem atividades suspeitas ou automaticamente como parte das capacidades de monitoramento de cibersegurança da organização. Essas informações podem ser usadas para mitigar um ataque em andamento ou remediar um incidente de segurança existente, bem como criar ferramentas “mais inteligentes” capazes de detectar e colocar em quarentena arquivos suspeitos no futuro.
Infelizmente, o monitoramento IOC é reativo por natureza, o que significa que se uma organização encontrar um indicador, é quase certo que ela já tenha sofrido comprometimento. Dito isso, se o evento estiver em andamento, a detecção rápida de um IOC pode ajudar a conter o ataque mais cedo no ciclo de vida do ataque, limitando assim seu impacto na empresa.
À medida que os ciber criminosos se tornam mais sofisticados, os indicadores de comprometimento se tornam mais difíceis de detectar. Os IOCs mais comuns — como um md5 hash, domínio C2 ou endereço IP codificado, chave de registro e nome de arquivo — são constantemente alterados, o que torna a detecção mais difícil.
Relatório de Investigação de Ameaças 2024
No Relatório de Investigação de Ameaças 2024 da CrowdStrike, a CrowdStrike revela as mais recentes táticas de mais de 245 adversários modernos e mostra como esses adversários continuam a evoluir e emular o comportamento de usuários legítimos. Obtenha insights para ajudar a impedir ataques aqui.
Baixe agoraComo identificar indicadores de comprometimento
Quando uma organização é alvo ou vítima de ataque, o ciber criminoso deixará rastros de sua atividade no sistema e nos arquivos de log. A equipe de investigação de ameaças coletará esses dados forenses digitais desses arquivos e sistemas para determinar se uma ameaça à segurança ou comprometimento de dados ocorreu ou está em andamento.
Identificar IOCs é um trabalho realizado quase exclusivamente por profissionais treinados em segurança da informação. Muitas vezes, esses indivíduos aproveitam a tecnologia avançada para executar varreduras e analisar enormes quantidades de tráfego de rede, além de isolar atividades suspeitas.
As estratégias de cibersegurança mais eficazes combinam recursos humanos com soluções tecnológicas avançadas, como IA, ML e outras formas de automação inteligente, para melhor detectar atividades anormais e aumentar o tempo de resposta e remediação.
Por que sua organização deve monitorar indicadores de comprometimento
A capacidade de detectar indicadores de comprometimento é um elemento fundamental de toda estratégia abrangente de cibersegurança. Os IOCs podem ajudar a melhorar a precisão e a velocidade da detecção, bem como os tempos de remediação. Em termos gerais, quanto mais cedo uma organização puder detectar um ataque, menor será o impacto que ele terá nos negócios e mais fácil será resolvê-lo.
As IOCs, especialmente aquelas recorrentes, fornecem à organização uma janela para as técnicas e metodologias de seus invasores. Sendo assim, a organização pode incorporar estes insights nas suas ferramentas de segurança, capacidades de resposta a incidentes e políticas de cibersegurança para prevenir eventos futuros.
Exemplos de indicadores de comprometimento
Quais são os sinais de alerta que a equipe de segurança procura ao investigar ciberameaça e ataques? Alguns indicadores de comprometimento incluem:
- Tráfego de rede de entrada e saída incomum
- Irregularidades geográficas, como tráfego de países ou locais onde a organização não tem presença
- Aplicações desconhecidas no sistema
- Atividade incomum do administrador ou conta privilegiada, incluindo solicitações de permissões adicionais
- Um aumento em logins incorretos ou solicitações de acesso que podem indicar ataque de força bruta
- Atividade anômala, como aumento no volume de leitura do banco de dados
- Grande número de solicitações para o mesmo arquivo
- Alterações suspeitas de registro ou arquivo de sistema
- Solicitações incomuns de Servidores de Nomes de Domínio (DNS) e configurações de registro
- Alteração de configurações não autorizadas, incluindo perfis de dispositivos móveis
- Grandes quantidades de arquivos compactados ou pacotes de dados em locais incorretos ou inexplicáveis
A diferença entre indicadores de comprometimento (IoCs) e indicadores de ataque (IoAs)
Um indicador de ataque (IOA) está relacionado a um IOC, pois é um artefato digital que ajuda a equipe de segurança da informação a avaliar um ataque ou evento de segurança. No entanto, diferentemente dos IOCs, os IOAs são ativos por natureza e se concentram em identificar um ciber ataque que está em andamento. Eles também exploram a identidade e a motivação do ator de ameaças, enquanto um IOC apenas ajuda a organização a entender o evento que ocorreu.
Kurt Baker é o Diretor Sênior de Marketing de Produtos da Falcon Intelligence na CrowdStrike. Ele tem mais de 25 anos de experiência em cargos de liderança sênior, especializando-se em empresas de software emergentes. Tem experiência em inteligência de ciberameaças, análise de segurança, gerenciamento de segurança e proteção avançada contra ameaças. Antes de ingressar na CrowdStrike, Baker trabalhou em cargos técnicos na Tripwire e foi cofundador de startups em mercados que vão desde soluções de segurança empresarial até dispositivos móveis. É bacharel em Letras pela Universidade de Washington e agora mora em Boston, Massachusetts.
