Definition Indicator of Compromise (IoC)

Was ist ein Indicator of Compromise?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Ein Indicator of Compromise (IoC) ist ein Merkmal zur Erkennung der Kompromittierung eines Systems durch einen Angreifer.
Ein Indicator of Compromise (IoC) ist ein Merkmal zur Erkennung der Kompromittierung eines Systems durch einen Angreifer. (Bild: gemeinfrei / Pixabay)

Indicator of Compromise (IoC) sind Merkmale und Daten, die auf die Kompromittierung eines Computersystems oder Netzwerks hinweisen. Es handelt sich beispielsweise um außergewöhnliche Netzaktivitäten, besondere Dateien, Einträge in Logfiles oder gestartete Prozesse. Die Kompromittierungsindikatoren lassen sich in eine strukturierte Form bringen und automatisiert auswerten.

Der deutsche Begriff für Indicator of Compromise, abgekürzt IoC, lautet Kompromittierungsindikator. Es handelt sich um Merkmale, anhand derer die Kompromittierung eines Computersystems oder eines Netzwerks erkennbar wird. Merkmale können beispielsweise Einträge in Logfiles, außergewöhnlicher Netzwerkverkehr, bestimmte Dateien, einzelne Prozesse, Registry-Einträge oder Aktivitäten unter einer Benutzerkennung sein.

Im Fall einer Datei als IoC lassen sich Attribute wie Dateiname, Dateigröße, Hashwert oder Erstellungsdatum als Identifizierungsmerkmal nutzen. IoC können in ein strukturiertes Format gebracht werden, das die automatisierte Auswertung durch Schutzsysteme wie Intrusion Detection Systeme (IDS) erlaubt. Die Systeme helfen Bedrohungen der Infrastruktur aufzudecken und anschließend in einem noch frühen Stadium abzuwehren oder zu beseitigen.

Die Urheber von Cyberangriffen erkennen

Attribution von Cyberangriffen

Die Urheber von Cyberangriffen erkennen

09.05.19 - Informationskriege und DeepFake-Generatoren haben gezeigt, wohin das Grundprinzip der Anonymität im Internet führen kann. Trotz ihrer Unzulänglichkeiten ist die korrekte Attribution von Angriffen der einzige Weg, die Täter zu identifizieren und dingfest zu machen. Wer hinter einer Attacke steckt und wie die Angreifer vorgegangen sind – all das liefert wichtige Hinweise. Eine potenzielle Quelle vorschnell zu benennen birgt allerdings Risiken. lesen

Typische Indikatoren einer Kompromittierung

Indicator of Compromise lassen sich in verschiedene Bereiche unterteilen. Diese Bereiche sind:

  • Netzwerk
  • Prozesse
  • Registry
  • Logs
  • Dateien
  • Benutzerverwaltung

In diesen Bereichen weisen bestimmte Informationen oder Daten auf eine Kompromittierung hin. Im Netzwerkbereich sind dies Datenverkehr zwischen bestimmten IP-Adressen oder Ports, ungewöhnlich hoher Datenverkehr, ungewöhnliche DNS-Anfragen, ungewöhnliche HTML-Anfragen oder HTML-Antwortgrößen, ungewöhnliches Surfverhalten und anderes. Weitere typische Indikatoren aus den anderen Bereichen sind ungewöhnliche Aktivitäten eines Administrator-Accounts, hohe Anzahl von Loginversuchen, Einträge oder Warnungen in einer Logdatei, außergewöhnlich hohe Zugriffszahlen auf eine bestimmte Datei, Dateiattribute wie Dateiname, Dateigröße, Hashwert oder Erstellungsdatum, verdächtige Registry-Einträge, außergewöhnliche Softwareupdates, Änderungen an Systemdateien, unbekannte gestartete Prozesse oder hohe Ressourcenbelegungungen.

Abgrenzung zwischen Indicator of Compromise und Indicator of Attack

Neben dem Begriff Indicator of Compromise existiert auch der Begriff Indicator of Attack (IoA). IoC und IoA lassen sich relativ deutlich voneinander abgrenzen. Während mithilfe der IoC eine bereits erfolgte Kompromittierung eines Systems erkennbar ist, ermöglichen Indicator of Attack die Erkennung eines unmittelbaren, gerade stattfindenden Angriffs. Dadurch kann der Angriff abgewehrt werden, bevor es zu einer tatsächlichen Kompromittierung des Systems kommt.

Automatisierung löst den Security-Fachkräftemangel

Probleme in der Sicherheitsbranche

Automatisierung löst den Security-Fachkräftemangel

15.04.19 - Die Sicherheitsbranche hat seit Jahren damit zu kämpfen, dass einerseits immer mehr und immer komplexere Aufgaben zu bewältigen sind, weil die Bedrohungslage sich stetig verändert und andererseits die Personaldecke nicht mitwächst. Ein möglicher Lösungsweg ist die Automatisierung von alltäglichen Routine- und zeitintensiven Aufgaben. lesen

Automatisierte Nutzung der IoC

Es existieren mehrere Initiativen, IoC in einer standardisierten, strukturierten Form zu erfassen und darzustellen. Ziel ist es, die Informationen für eine automatisierte Erkennung verdächtiger Aktivitäten zu verwenden. Formate, mit denen sich die Informationen darstellen lassen, sind beispielsweise OpenIOC oder STIX (Structured Threat Information eXpression).

Systeme wie Scanner, Firewalls oder Intrusion Detection und Intrusion Prevention Systeme, die diese Formate verstehen, erlauben das Einlesen der Informationen und die automatisierte Erkennung. TAXII (Automated eXchange of Indicator Information) stellt standardisierte Mechanismen für das Transportieren, Verteilen und Austauschen von Indikatordaten zur Verfügung und verwendet das STIX-Format. Der Standard ermöglicht Organisationen den einfachen Austausch von Informationen zu Bedrohungen und stärkt die Cyber-Abwehr.

Intrusion-Detection und -Prevention-Systeme

Überblick über IDS und IPS

Intrusion-Detection und -Prevention-Systeme

14.08.18 - Ein Intrusion-Detection- oder Intrusion-Pre­ven­tion-System (IDS / IPS) ist eine Security-Lösung, die ein Netzwerk oder eine Netz­werk­kom­po­nen­te wie einen Server oder einen Switch überwacht und versucht, Regel­ver­let­zung­en und schädliche Vorfälle wie Hacker-Angriffe zu erkennen und diese dann teilweise automatisch abzuwehren. Wir zeigen wie sich IDS und IPS unterscheiden und wer die wichtigsten Hersteller sind. lesen

Neben zahlreichen kommerziellen Lösungen existiert Open-Source-Software, die automatisiert nach Indicator of Compromise sucht. Dazu zählt beispielsweise die frei verfügbare Forensik-Software Loki. Sie ist auf Clientsystemen, Netzlaufwerken, Webservern oder Domain-Controllern nutzbar und durchsucht die Systeme nach Kompromittierungsindikatoren. Die Software nutzt eine Signaturdatenbank und YARA-Regeln, die sie auf Dateien und Prozesse anwendet.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist ein Indicator of Attack?

Definition Indicator of Attack (IoA)

Was ist ein Indicator of Attack?

Der Indicator of Attack (IoA) ist ein Merkmal, anhand dessen sich ein bevorstehender oder gerade erfolgender Angriff auf ein Computer­system oder Netzwerk erkennen lässt. Gegen­über dem Indicator of Compromise (IoC) hat der IoA einen proaktiven Charakter und ermöglicht die Abwehr eines Angriffs, bevor es zu einer Kompromittierung des Systems kommt. lesen

Cyberkriminelle missbrauchen Twitter für ihre Zwecke

Trend Micro-Studie

Cyberkriminelle missbrauchen Twitter für ihre Zwecke

Cyberkriminelle missbrauchen den Kurz­nach­rich­ten­dienst Twitter für ihre Zwecke. Die Aktivitäten der Kriminellen reichen von Tech-Support-Betrug über Command-and-Control-Kommunikation (C&C) bis hin zur Exfiltration von Daten, das zeigt eine Studie von Trend Micro. Gleichzeitig können Cybersicherheits­experten das soziale Netzwerk auch für positive Zwecke nutzen. lesen

Die Evolution der Endpunktsicherheit

Von Antivirus zu Endpoint Detection & Response

Die Evolution der Endpunktsicherheit

Der Begriff Endpoint Detection & Response – kurz EDR – steht für zukunftsgerichtete Endpunktsicherheit, die Unternehmen tiefen Einblick in verdächtige und schädliche Aktivitäten gewährt. Davon ausgehend, dass es keinen hundertprozentigen Schutz geben kann, ermöglicht es EDR als sinnvolle Ergänzung zur Endpoint Protection, verdächtige Aktivitäten aufzuspüren, zu analysieren und schließlich darauf zu reagieren. lesen

Die Urheber von Cyberangriffen erkennen

Attribution von Cyberangriffen

Die Urheber von Cyberangriffen erkennen

Informationskriege und DeepFake-Generatoren haben gezeigt, wohin das Grundprinzip der Anonymität im Internet führen kann. Trotz ihrer Unzulänglichkeiten ist die korrekte Attribution von Angriffen der einzige Weg, die Täter zu identifizieren und dingfest zu machen. Wer hinter einer Attacke steckt und wie die Angreifer vorgegangen sind – all das liefert wichtige Hinweise. Eine potenzielle Quelle vorschnell zu benennen birgt allerdings Risiken. lesen

Community zur Erkennung von Datacenter-Angriffen

Guardicore Threat Intelligence

Community zur Erkennung von Datacenter-Angriffen

Die neue Online-Community-Plattform „Guardicore Threat Intelligence“ soll Sicherheitsexperten unterstützen. Der frei verfügbare Sicherheits-Feed hilft bei der Identifizierung und Prüfung bösartiger IP-Adressen und Domains. Über ein Dashboard zeigt der Feed die Top-Angreifer, die am häufigsten attackierten Ports und die wichtigsten Domänen mit schädlichen Aktivitäten. lesen

Sicherheit für Multi-Cloud-Netzwerke

Multi-Cloud-Security

Sicherheit für Multi-Cloud-Netzwerke

Unternehmen verlagern heute verstärkt Workloads in die Cloud und setzen dazu auf Multi-Cloud-Modelle, bei denen für bestimmte Funktionen, Standorte oder zur Kostensenkung mit verschiedenen Anbietern zusammen­gearbeitet wird. Gleichzeitig werden kritische Daten über unterschiedlichste cloudbasierte Anwendungen und Dienste verbreitet und verarbeitet. lesen

USA und UK warnen vor russischen Cyber-Angriffen

Stellungnahme des BSI

USA und UK warnen vor russischen Cyber-Angriffen

Das britische National Cyber Security Centre (NCSC), das US-amerikanische FBI sowie das Department of Homeland Security (DHS) haben eine gemeinsame Erklärung veröffentlicht, wonach eine aktuelle Cyber-Angriffskampagne auf Internet-Netzwerk-Infrastrukturen dem russischen Staat zuzuordnen sei. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu jetzt Stellung bezogen. lesen

Endpunkt-Schutz vor hochentwickelten Bedrohungen

Bitdefender GravityZone HD

Endpunkt-Schutz vor hochentwickelten Bedrohungen

Bitdefender hat mit „GravityZone HD“ eine neue, mehrschichtige Next Generation Endpoint Protection Plattform auf den Markt gebracht. Sandboxing und ein neues Modul namens HyperDetect schützt Unternehmen vor hochentwickelter Malware und Cyberangriffen. Alle Sicherheitsdienste sind von der GravityZone Administrationsoberfläche verwaltbar. lesen

Es wird Zeit für weniger IT-Sicherheit

Ausufernde IT-Sicherheitslandschaft

Es wird Zeit für weniger IT-Sicherheit

902 Produkte für Cybersicherheit. So viele IT-Sicherheitslösungen umfasste die offizielle Liste der it-sa vom Herbst 2016. Und auch die Realität zeigt: Ein Großteil der Unternehmen setzt mehrere unterschiedliche Produkte ein. Auf der anderen Seite beklagen viele CISOs – wen wundert es – den fehlenden Überblick. Was tun? Es wird Zeit für mehr Fokus bei Cybersicherheit meint Jochen Rummel von FireEye. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46064771 / Definitionen)