Skip to main content

Indicatoren van compromittering (IoC’s)

Indicatoren van compromittering (IoC’s) zijn specifieke gegevensartefacten of andere kenmerken die erop wijzen dat een systeem is gecompromitteerd. Zij worden gewoonlijk gegroepeerd in een lijst die kan worden gelezen en aangevuld door beveiligingssoftware zoals een antivirusprogramma of een firewall. Typische indicatoren zijn ongebruikelijk netwerkverkeer, onverwacht resource-intensieve processen, of voorheen onbekende registervermeldingen.

Indicatoren van compromittering (IoC’s) komen op deze gebieden voor

Indicatoren van compromittering van het IT-systeem doen zich voor op de volgende gebieden:
[su_list icon=”icon: hand-o-right” icon_color=”#187bc0″ indent=”-5″]

  • Netwerk
  • Logs
  • Bestanden
  • Register
  • Gebruikersadministratie
  • Processen
[/su_list]

In het algemeen wordt elke ongebruikelijke actie door het systeem geregistreerd en door de gebruikte beveiligingssoftware gecontroleerd aan de hand van de bekende lijst van Indicators of Compromise (IoC’s). Bijvoorbeeld:

[su_list icon=”icon: commenting-o” icon_color=”#187bc0″ indent=”-5″]
  • Is er een ongebruikelijke hoeveelheid verkeer op het netwerk tussen bepaalde IP-adressen en poorten?
  • Doen zich ongewone DNS verzoeken voor?
  • Zijn vermeldingen in het register mogelijk opvallend?
  • Zijn de activiteiten van een administrator account ongewoon?
  • Zijn er ongewone software updates geweest?
[/su_list]

Laat het systeem automatisch zoeken naar Indicators of Compromise (IoC’s).

Het is duidelijk dat een systeem idealiter automatisch naar de overeenkomstige indicatoren moet kunnen zoeken. Daartoe zijn speciale formaten ontwikkeld die de overeenkomstige informatie kunnen verstrekken. De meest gebruikte zijn OpenIOC en STIX. Moderne virusscanners en firewalls kunnen deze formaten vrijwel altijd aan. Bovendien zijn er een aantal gratis tools beschikbaar waarmee gebruikers kunnen scannen op de indicatoren. Bijvoorbeeld,“Loki” is populair als corresponderend instrument.

Indicatoren van Compromis vs. Indicatoren van Aanval

Indicatoren van compromittering van een systeem zijn te onderscheiden van aanvalsindicatoren. De formulering is op dit punt enigszins misleidend: Indicatoren van Overeenstemming zijn ernstiger. In dit geval kan het systeem al gecompromitteerd zijn of met succes geïnfiltreerd door malware. De aanvalsindicatoren (IoA’s) geven daarentegen alleen maar aan dat er een poging kan worden ondernomen om het systeem te compromitteren. Het is nog steeds mogelijk om je te verdedigen tegen de voortdurende aanval.

Vaak gestelde vragen (FAQ’s) over indicatoren van compromis

Hoe betrouwbaar zijn de indicatoren?

Dit varieert. Veel netwerkverkeer kan bijvoorbeeld ook onschuldige redenen hebben, zoals het maken van een back-up. Ongebruikelijke hash-waarden zijn daarentegen een relatief betrouwbaar signaal van een compromis.

Hoe vaak moet u scannen op indicatoren?

Idealiter zou u een scanner op de achtergrond moeten hebben draaien die op regelmatige intervallen controleert op indicatoren. Dit moet ten minste wekelijks gebeuren. Nieuwe gegevens moeten onmiddellijk op een gestandaardiseerde manier worden gecontroleerd.

Verdere links


Heeft u nog vragen?

Neem contact met ons op


Verdere inhoud