Индикатор компрометации (IOC) — это термин, используемый для обозначения любой формы доказательства или артефакта, обнаруженного в вычислительной системе, который может помочь определить, была ли система взломана или скомпрометирована. Сюда входят данные и события, указывающие на вредоносную активность, например запуск вредоносного ПО, несанкционированные изменения в системе или даже попытки действий, таких как мошенничество с кредитными картами.
IOC — это стандартизированные цифровые криминалистические артефакты или доказательства, которые можно использовать для обнаружения, идентификации, мониторинга, расследования и реагирования на угрозы кибербезопасности или вредоносную деятельность, а также для измерения эффективности любых контрмер. Эти артефакты могут включать IP-адреса, доменные имена, пути к файлам, хэши, записи реестра, URL-адреса и другие компоненты цифровой судебно-медицинской экспертизы.
Примеры МОК включают:
* IP-адреса: IP-адрес является одним из наиболее часто используемых индикаторов компрометации. Он может предоставить информацию об отправителе и пункте назначения сетевого пакета.
* URL-адреса: унифицированный указатель ресурса (URL) — это текстовая строка, идентифицирующая сетевой ресурс. Злоумышленники могут попытаться использовать URL-адреса для проведения фишинга или других атак.
* Доменные имена. Доменное имя помогает идентифицировать владельца адреса IP и может использоваться для обнаружения вредоносной активности.
* Пути к файлам. Вредоносные файлы можно идентифицировать, проверив путь к файлу данных.
* Хэши: Криптографические хеши создаются для идентификации уникальных файлов и двоичных файлов. Затем их можно использовать для обнаружения вредоносных файлов или инструментов.
* Записи реестра. Записи реестра в Windows могут содержать признаки вредоносной активности.
При правильном использовании IOC могут помочь обнаруживать, идентифицировать, расследовать угрозы кибербезопасности и реагировать на них. Хотя они могут предоставить полезные, а иногда и существенные доказательства нарушения, на них не следует полагаться слепо. Для правильной оценки основных рисков и принятия решений о том, как на них реагировать, могут потребоваться исследования и более глубокий анализ.