Skip to main content

Indicators of Compromise (IoCs)

Indicators of Compromise (IoCs – indicators of compromise) zijn specifieke gegevensartefacten of andere kenmerken die erop wijzen dat een systeem is gecompromitteerd. Zij worden gewoonlijk samengevat in een lijst die kan worden gelezen en aangevuld door beveiligingssoftware zoals een antivirusprogramma of een firewall. Typische indicatoren zijn bijvoorbeeld ongewoon netwerkverkeer, onverwacht resource-intensieve processen of voorheen onbekende registervermeldingen.

Dit zijn de gebieden waar Indicators of Compromise (IoCs) voorkomt.

Indicatoren voor een compromittering van het IT-systeem doen zich op de volgende gebieden voor:

  • Netwerk
  • Logs
  • Bestanden
  • Register
  • Gebruikersadministratie
  • Processen

In de regel wordt elke ongebruikelijke actie door het systeem geregistreerd en door de gebruikte beveiligingssoftware gecontroleerd aan de hand van de bekende lijst van Indicators of Compromise (IoCs). Bijvoorbeeld:

  • Is er ongewoon veel verkeer op het netwerk tussen bepaalde IP-adressen en poorten?
  • Komen er ongebruikelijke DNS queries voor?
  • Zijn vermeldingen in het register mogelijk opvallend?
  • Zijn de activiteiten van een administrator account ongewoon?
  • Zijn er ongewone software updates geweest?

Automatisch zoeken naar Indicators of Compromise (IoCs)

Het is duidelijk dat een systeem idealiter automatisch naar de overeenkomstige indicatoren moet kunnen zoeken. Daartoe zijn speciale formaten ontwikkeld die de overeenkomstige informatie kunnen verstrekken. De meest wijdverbreide zijn OpenIOC en STIX. Moderne virusscanners en firewalls kunnen deze formaten vrijwel altijd aan. Bovendien zijn er een aantal gratis tools beschikbaar waarmee gebruikers kunnen scannen op de indicatoren. Bijvoorbeeld,“Loki” is populair als corresponderend instrument.

Indicators of Compromise vs. Indicatoren van aanval

Indicatoren van compromittering van een systeem moeten worden onderscheiden van aanvalsindicatoren. De taal is op dit punt enigszins misleidend: de Indicators of Compromise zijn ernstiger. In dit geval kan het systeem al beschadigd zijn of met succes geïnfiltreerd zijn door Malware. De aanvalsindicatoren (IoA’s) geven daarentegen alleen maar aan dat er een poging wordt ondernomen om het systeem in gevaar te brengen. Het is nog steeds mogelijk om de voortdurende aanval af te slaan.

Vaak gestelde vragen (FAQ’s) over indicatoren van compromis

Hoe betrouwbaar zijn de indicatoren?

Dit varieert. Veel netwerkverkeer kan bijvoorbeeld ook onschuldige redenen hebben, zoals het ontstaan van een Backups. Ongebruikelijke hash-waarden zijn daarentegen een relatief betrouwbaar signaal van een compromis.

Hoe vaak moet er naar indicatoren gescand worden?

Idealiter draait een scanner op de achtergrond en controleert op regelmatige intervallen op indicatoren. Dit moet ten minste wekelijks gebeuren. Nieuwe gegevens moeten onmiddellijk op een gestandaardiseerde manier worden gecontroleerd.

Verdere links


Heeft u nog vragen?

Neem contact met ons op


Verdere inhoud