Definition Indicator of Attack (IoA)

Was ist ein Indicator of Attack?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Ein Indicator of Attack (IoA) ist ein Merkmal zur proaktiven Erkennung eines Angriffs auf ein Computersystem.
Ein Indicator of Attack (IoA) ist ein Merkmal zur proaktiven Erkennung eines Angriffs auf ein Computersystem. (Bild: gemeinfrei / Pixabay)

Der Indicator of Attack (IoA) ist ein Merkmal, anhand dessen sich ein bevorstehender oder gerade erfolgender Angriff auf ein Computer­system oder Netzwerk erkennen lässt. Gegen­über dem Indicator of Compromise (IoC) hat der IoA einen proaktiven Charakter und ermöglicht die Abwehr eines Angriffs, bevor es zu einer Kompromittierung des Systems kommt.

Die Abkürzung IoA steht für Indicator of Attack. Es handelt sich um ein Merkmal oder Ereignis, das auf einen unmittelbar bevorstehenden oder gerade erfolgenden Angriff auf ein Computersystem oder ein Netzwerk schließen lässt. Im Vergleich zum Indicator of Compromise (IoC) hat der IoA einen proaktiven Charakter. Er zielt überwiegend auf Absichten eines Angreifers ab und ist sichtbar, bevor es zur Kompromittierung eines Systems kommt.

Ein Indicator of Attack ermöglicht aufgrund spezifischer Merkmale auch die Erkennung bisher unbekannter Bedrohungen oder Sicherheitslücken. In der Regel handelt es sich um bestimmte Aktivitäten auf einem Rechner oder in einem Netzwerk, die einen Angriff vorbereiten oder versuchen, eventuelle Schwachstellen zu finden. Durch ein kontinuierliches und konsequentes Suchen nach den Indicators of Attack lässt sich das Sicherheitsniveau einer IT-Umgebung steigern.

Typische Indikatoren eines Angriffs

Es existieren zahlreiche Indicator of Attack. Oft kommt es bei einem Angriffsversuch zu einem Auftreten mehrerer Indikatoren gleichzeitig. Die verschiedenen Indikatoren lassen sich beispielsweise aus Firewall-Logs, Server-Logs, Endgeräte-Logs, Netzwerk-Monitoring-Systemen, Identity-Managment-Systemen, Task-Managern oder anderen Informationsquellen auslesen. Typische Indikatoren eines Angriffs oder der Vorbereitung eines Angriffs sind beispielsweise:

  • Rechner- oder Netzwerkaktivitäten zu außergewöhnlichen Zeiten
  • ein Zunahme von Anmeldeversuchen an einem System
  • Änderungsversuche von Passwörtern
  • Anmeldeversuche aus ungewöhnlichen Regionen
  • Netzwerkverkehr zu außergewöhnlichen Zielen (IP-Adressen, Ports, URLs, Länder)
  • Protokoll- oder Port-Mismatches (Nutzung von Ports, die nicht zu den Standard-Ports der Protokolle passen)
  • interne oder externe Netzwerk- und Portscans
  • außergewöhnliche Alarme, Infomeldungen oder andere Logeinträge in einzelnen Systemen
  • vermehrter Netzwerkverkehr bestimmter IP-Protokolle
  • außergewöhnliche DNS-Anfragen
  • hohe Auslastung eines Rechners durch bestimmte Prozesse
  • ungeplante Neustarts von Rechnern
  • außergewöhnliche Zugriffe auf bestimmte Dateien
  • Installationsversuche von Software

Abgrenzung zwischen Indicator of Compromise und Indicator of Attack

Es existieren verschiedene Arten von Indikatoren, anhand derer sich Bedrohungen von Computersystemen und Netzwerkumgebungen erkennen lassen. Neben dem Indicator of Attack (IoA) existiert der Indicator of Compromise (IoC). Während der Indicator of Attack vor einem Angriff oder direkt während eines gerade erfolgenden Angriffs zu erkennen ist , tritt der Indicator of Compromise erst in Erscheinung, wenn ein Einbruch in ein System oder eine Kompromittierung tatsächlich stattgefunden hat. Der Indicator of Attack lässt sich als Indikator für proaktive Maßnahmen zum Schutz eines Systems klassifizieren. Beim Indicator of Compromise handelt es sich um einen Indikator für reaktive Maßnahmen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Kritische Patches und Handlungsbedarf

Microsoft Patchday November 2019

Kritische Patches und Handlungsbedarf

Zum November-Patchday geht Microsoft insgesamt 75 CVEs an – und das nicht nur in eigenen Produkten. Zusätzlich warnt der Hersteller vor Sicherheitsanfälligkeiten in bestimmten TPM-Chipsätzen. lesen

RDP ist für alle Unternehmen ein Sicherheitsrisiko

Sicherheitslücken im Remote Desktop Protocol

RDP ist für alle Unternehmen ein Sicherheitsrisiko

Das Remote Desktop Protocol (RDP) schafft bei 90 Prozent aller Unternehmen eine extrem riskante Angriffsfläche im Unter­nehmens­netzwerk. Aufgrund der sehr häufigen Verwendung des Remote-Access-Protokolls dürfte das Problem nach Ansicht der Security-Experten von Vectra in naher Zukunft bestehen bleiben. lesen

Der Kampf der künstlichen Intelligenzen

Neues eBook „Next-Generation Cyberwar“

Der Kampf der künstlichen Intelligenzen

Cyberangriffe auf Staaten und kritische Infrastrukturen sind längst keine Fiktion mehr, heißt es im Weißbuch zur Sicherheitspolitik und Zukunft der Bundeswehr. In den vergangenen Jahren haben terroristische, nachrichten­dienstliche und militärische Bedrohungen im Cyberraum eine neue Dimension erreicht. Mit KI (Künstlicher Intelligenz) erhält der Cyberwar nun eine neue Qualität. lesen

Die digitale industrielle Revolution absichern

Sicherheit in der Operational Technology (OT)

Die digitale industrielle Revolution absichern

Die Digitalisierung und die Integration fortschrittlicher Technologien in Produktions­umgebungen und kritische Infrastrukturen nehmen immer mehr Fahrt auf. Und es scheint, als käme hier die Sicherheit nicht hinterher. lesen

Die 7 raffiniertesten Hacker-Tricks

IT-Security

Die 7 raffiniertesten Hacker-Tricks

Phishing-Mails, gefakte Links oder infizierte USB-Sticks – die Tricks der Cyberkriminellen werden immer raffinierter. Um sich gegen sie zu schützen, hilft es, ihre Vorgehensweise zu kennen. Im Folgenden erhalten Sie ein Übersicht der Top-Sieben-Methoden. lesen

Privilegierte Identitäten besser schützen

Identitäten im Visier

Privilegierte Identitäten besser schützen

Bei vielen der größten Datendiebstähle des 21. Jahrhunderts konnten externe Angreifer die Anmeldeinformationen von Usern mit Zugriff auf privilegierte Konten erlangen. Das sind beispielsweise IT-Administrator- und Service-Konten oder Betriebs-Accounts. Und damit hatten die Angreifer die Möglichkeit, in quasi industriellem Maßstab an Daten zu gelangen, diese zu sammeln und heraus zu schleusen. lesen

Verbesserter Backup-Schutz durch Künstliche Intelligenz

Arcserve Appliance UDP-9000

Verbesserter Backup-Schutz durch Künstliche Intelligenz

Zum Schutz gegen Ransomware, die Backups angreift, hat der Storage-Spezialist Arcserve seine Appliance UDP-9000 mit Security-Software von Sophos ausgestattet. Diese Appliances werden mit Sophos Intercept X Advanced für Server versehen, damit mithilfe der integrierten KI auch unbekannte Malware-Formen erkannt und geblockt werden können. Die Kombi-Appliance kommt im Oktober über den Channel in den Handel. lesen

Sechs Tipps für eine bessere IT-Sicherheit

Hacker-Ziel: Mittelstand

Sechs Tipps für eine bessere IT-Sicherheit

Opfer von Cyberangriffen kann jeder werden, ob großes Unternehmen oder Privatperson. Dennoch glauben viele mittelständische Unternehmen in Deutschland nach wie vor, sie seien zu klein und unbedeutend. Leider falsch gedacht. Im folgenden gibt es ein paar Tipps für mehr IT-Security. lesen

Sicherheit durch Virtualisierung

Nur ein Trend oder die Lösung?

Sicherheit durch Virtualisierung

Mit klassischen Lösungen können Sicherheitsrisiken nicht zuverlässig ausgeschlossen werden. Isolation statt Detektion von Gefahren lautet deshalb ein neuer Ansatz. Die technische Basis hierfür liefert die Virtualisierung. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46110081 / Definitionen)