Definition Indicator of Attack (IoA)

Was ist ein Indicator of Attack?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Ein Indicator of Attack (IoA) ist ein Merkmal zur proaktiven Erkennung eines Angriffs auf ein Computersystem.
Ein Indicator of Attack (IoA) ist ein Merkmal zur proaktiven Erkennung eines Angriffs auf ein Computersystem. (Bild: gemeinfrei / Pixabay)

Der Indicator of Attack (IoA) ist ein Merkmal, anhand dessen sich ein bevorstehender oder gerade erfolgender Angriff auf ein Computer­system oder Netzwerk erkennen lässt. Gegen­über dem Indicator of Compromise (IoC) hat der IoA einen proaktiven Charakter und ermöglicht die Abwehr eines Angriffs, bevor es zu einer Kompromittierung des Systems kommt.

Die Abkürzung IoA steht für Indicator of Attack. Es handelt sich um ein Merkmal oder Ereignis, das auf einen unmittelbar bevorstehenden oder gerade erfolgenden Angriff auf ein Computersystem oder ein Netzwerk schließen lässt. Im Vergleich zum Indicator of Compromise (IoC) hat der IoA einen proaktiven Charakter. Er zielt überwiegend auf Absichten eines Angreifers ab und ist sichtbar, bevor es zur Kompromittierung eines Systems kommt.

Ein Indicator of Attack ermöglicht aufgrund spezifischer Merkmale auch die Erkennung bisher unbekannter Bedrohungen oder Sicherheitslücken. In der Regel handelt es sich um bestimmte Aktivitäten auf einem Rechner oder in einem Netzwerk, die einen Angriff vorbereiten oder versuchen, eventuelle Schwachstellen zu finden. Durch ein kontinuierliches und konsequentes Suchen nach den Indicators of Attack lässt sich das Sicherheitsniveau einer IT-Umgebung steigern.

Typische Indikatoren eines Angriffs

Es existieren zahlreiche Indicator of Attack. Oft kommt es bei einem Angriffsversuch zu einem Auftreten mehrerer Indikatoren gleichzeitig. Die verschiedenen Indikatoren lassen sich beispielsweise aus Firewall-Logs, Server-Logs, Endgeräte-Logs, Netzwerk-Monitoring-Systemen, Identity-Managment-Systemen, Task-Managern oder anderen Informationsquellen auslesen. Typische Indikatoren eines Angriffs oder der Vorbereitung eines Angriffs sind beispielsweise:

  • Rechner- oder Netzwerkaktivitäten zu außergewöhnlichen Zeiten
  • ein Zunahme von Anmeldeversuchen an einem System
  • Änderungsversuche von Passwörtern
  • Anmeldeversuche aus ungewöhnlichen Regionen
  • Netzwerkverkehr zu außergewöhnlichen Zielen (IP-Adressen, Ports, URLs, Länder)
  • Protokoll- oder Port-Mismatches (Nutzung von Ports, die nicht zu den Standard-Ports der Protokolle passen)
  • interne oder externe Netzwerk- und Portscans
  • außergewöhnliche Alarme, Infomeldungen oder andere Logeinträge in einzelnen Systemen
  • vermehrter Netzwerkverkehr bestimmter IP-Protokolle
  • außergewöhnliche DNS-Anfragen
  • hohe Auslastung eines Rechners durch bestimmte Prozesse
  • ungeplante Neustarts von Rechnern
  • außergewöhnliche Zugriffe auf bestimmte Dateien
  • Installationsversuche von Software

Abgrenzung zwischen Indicator of Compromise und Indicator of Attack

Es existieren verschiedene Arten von Indikatoren, anhand derer sich Bedrohungen von Computersystemen und Netzwerkumgebungen erkennen lassen. Neben dem Indicator of Attack (IoA) existiert der Indicator of Compromise (IoC). Während der Indicator of Attack vor einem Angriff oder direkt während eines gerade erfolgenden Angriffs zu erkennen ist , tritt der Indicator of Compromise erst in Erscheinung, wenn ein Einbruch in ein System oder eine Kompromittierung tatsächlich stattgefunden hat. Der Indicator of Attack lässt sich als Indikator für proaktive Maßnahmen zum Schutz eines Systems klassifizieren. Beim Indicator of Compromise handelt es sich um einen Indikator für reaktive Maßnahmen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Zukunftstechnologie kämpft um Vertrauen

Welchen Technologien Unternehmen heute selbst noch nicht vollständig vertrauen

Zukunftstechnologie kämpft um Vertrauen

IoT, Robotics, KI, Automation: Unternehmen weltweit können schon heute relativ genau benennen, welche Zukunftstechnologien für ihr Geschäft wichtig werden oder es heute schon sind. Gleichzeitig haben sie aber selbst noch kein ausreichendes Vertrauen in die Sicherheit dieser Technologien. Eine Untersuchung von PwC deckt diese Diskrepanz jetzt auf. Sie liegt dem Security Insider exklusiv vor. lesen

Verwundbare Netzwerke im Gesundheitswesen

Spotlight-Report 2019 für das Gesundheitswesen

Verwundbare Netzwerke im Gesundheitswesen

Vectra, eigenen Angaben zufolge der Marktführer für die Erkennung und Reaktion auf Cyberangriffe im Netzwerk, hat die Forschungsergebnisse seines Spotlight-Reports 2019 für das Gesundheitswesen bekannt gegeben. Der Forschungebericht lässt – laut Vectra – prekäre Sicherheitsrisiken im Gesundheitswesen infolge der Nutzung herkömmlicher Infrastruktur und nicht sachgemäß verwalteter Geräte erkennen. lesen

Absolutes Muss: ein vollständiger Disaster-Recovery-Plan

Präventionsmaßnahmen zur Datensicherheit

Absolutes Muss: ein vollständiger Disaster-Recovery-Plan

Die die Notwendigkeit eines Disaster-Recovery-Plans wird leider nach wie vor von vielen Unternehmen ignoriert. Auch wenn ein zuverlässiges Backup durchaus kein Hexenwerk ist und viele Bedrohungen effektiv mitigiert, beschäftigen sich die Unternehmen lieber mit ihrer strategischen Ausrichtung, anstatt Notfallkonzepte zu etablieren. lesen

E-Mail-Angriffe sind Bedrohung für Geschäftsabläufe

Barracuda-Report zur IT-Security

E-Mail-Angriffe sind Bedrohung für Geschäftsabläufe

In den letzten zwölf Monaten wurden 43 Prozent der Unternehmen Ziel eines Spear-Phishing-Angriffs. So das Ergebnis einer Studie von Barracuda. Demnach haben E-Mail-Angriffe auch weiterhin erhebliche Auswirkungen auf die Geschäftsabläufe. lesen

Ransomware zielt auf Netzwerk-Freigaben

Vectra Spotlight Report Ransomware 2019

Ransomware zielt auf Netzwerk-Freigaben

Ransomware-Angriffe nehmen zwar in der Summe ab, die Angreifer gehen gleichzeitig aber zunehmend gezielter und effizienter vor. Sie nehmen vermehrt gemeinsam genutzte Dateien in Netzwerkfreigabe-Ressourcen ins Visier, was speziell in Cloud-Umgebungen eine überaus kritische Bedrohung darstellt. Das sind Ergebnisse des aktuellen „Spotlight Report on Ransomware“ von Vectra. lesen

Warum CISOs andere Kennzahlen benötigen

Metriken für CISOs, Teil 1

Warum CISOs andere Kennzahlen benötigen

Security-Metriken sind bei CISOs beliebt und gehasst zugleich. Zum einen erhöhen sie die Transparenz in der Security, zum anderen will die Geschäftsleitung den CISO daran messen. Wichtig ist es, die richtigen Metriken zu nutzen, auch für die Automatisierung in der Security. In einer Mini-Serie nennen wir Kennzahlen, die in keiner Security-Abteilung fehlen sollten. lesen

Bundestagsgutachten warnt vor „Hackback“

Wissenschaftlicher Dienst warnt Bundesregierung

Bundestagsgutachten warnt vor „Hackback“

Der Wissenschaftliche Dienst des Deutschen Bundestages hat in einem Gutachten vor den Folgen einer offensiv ausgerichteten Cyber-Sicherheitsstrategie gewarnt. Bei einem Einsatz digitaler Waffen könne das anvisierte Ziel grundsätzlich nicht so ausgeschaltet werden, dass unbeabsichtigte Schäden ausgeschlossen werden könnten, heißt es in dem Gutachten. lesen

Mit DANE kommen E-Mails beim richtigen Empfänger an

Mehr E-Mail-Sicherheit mit DANE

Mit DANE kommen E-Mails beim richtigen Empfänger an

Das Netzwerkprotokoll DANE (DNS-based Authentication of Named Entities) erweitert die verbreitete Transportwegverschlüsselung SSL/TLS und sorgt so dafür, dass E-Mails mit Sicherheit beim Richtigen ankommen. DANE verhindert außerdem Man-in-the-Middle-Angriffe, indem es das Zusammenspiel von DNSSEC (Domain Name System Security Extensions) und SSL/TLS sichert. lesen

Krankenhäuser investieren zu wenig in die Datensicherheit

Schutz vor Hacker-Angriffen

Krankenhäuser investieren zu wenig in die Datensicherheit

Nach den Hacker-Angriffen auf Krankenhäuser in Rheinland-Pfalz und im Saarland fordert der Marburger Bund einen besseren Schutz der sensiblen Patientendaten für alle Kliniken. Dazu solle der Schwellenwert für die KRITIS-Einstufung abgeschafft werden, der die Anzahl der vollstationären Behandlungsfälle pro Jahr bemisst. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46110081 / Definitionen)