Suchen

Definition Indicator of Compromise (IoC) Was ist ein Indicator of Compromise?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Indicator of Compromise (IoC) sind Merkmale und Daten, die auf die Kompromittierung eines Computersystems oder Netzwerks hinweisen. Es handelt sich beispielsweise um außergewöhnliche Netzaktivitäten, besondere Dateien, Einträge in Logfiles oder gestartete Prozesse. Die Kompromittierungsindikatoren lassen sich in eine strukturierte Form bringen und automatisiert auswerten.

Firmen zum Thema

Ein Indicator of Compromise (IoC) ist ein Merkmal zur Erkennung der Kompromittierung eines Systems durch einen Angreifer.
Ein Indicator of Compromise (IoC) ist ein Merkmal zur Erkennung der Kompromittierung eines Systems durch einen Angreifer.
(Bild: gemeinfrei / Pixabay )

Der deutsche Begriff für Indicator of Compromise, abgekürzt IoC, lautet Kompromittierungsindikator. Es handelt sich um Merkmale, anhand derer die Kompromittierung eines Computersystems oder eines Netzwerks erkennbar wird. Merkmale können beispielsweise Einträge in Logfiles, außergewöhnlicher Netzwerkverkehr, bestimmte Dateien, einzelne Prozesse, Registry-Einträge oder Aktivitäten unter einer Benutzerkennung sein.

Im Fall einer Datei als IoC lassen sich Attribute wie Dateiname, Dateigröße, Hashwert oder Erstellungsdatum als Identifizierungsmerkmal nutzen. IoC können in ein strukturiertes Format gebracht werden, das die automatisierte Auswertung durch Schutzsysteme wie Intrusion Detection Systeme (IDS) erlaubt. Die Systeme helfen Bedrohungen der Infrastruktur aufzudecken und anschließend in einem noch frühen Stadium abzuwehren oder zu beseitigen.

Typische Indikatoren einer Kompromittierung

Indicator of Compromise lassen sich in verschiedene Bereiche unterteilen. Diese Bereiche sind:

  • Netzwerk
  • Prozesse
  • Registry
  • Logs
  • Dateien
  • Benutzerverwaltung

In diesen Bereichen weisen bestimmte Informationen oder Daten auf eine Kompromittierung hin. Im Netzwerkbereich sind dies Datenverkehr zwischen bestimmten IP-Adressen oder Ports, ungewöhnlich hoher Datenverkehr, ungewöhnliche DNS-Anfragen, ungewöhnliche HTML-Anfragen oder HTML-Antwortgrößen, ungewöhnliches Surfverhalten und anderes. Weitere typische Indikatoren aus den anderen Bereichen sind ungewöhnliche Aktivitäten eines Administrator-Accounts, hohe Anzahl von Loginversuchen, Einträge oder Warnungen in einer Logdatei, außergewöhnlich hohe Zugriffszahlen auf eine bestimmte Datei, Dateiattribute wie Dateiname, Dateigröße, Hashwert oder Erstellungsdatum, verdächtige Registry-Einträge, außergewöhnliche Softwareupdates, Änderungen an Systemdateien, unbekannte gestartete Prozesse oder hohe Ressourcenbelegungungen.

Abgrenzung zwischen Indicator of Compromise und Indicator of Attack

Neben dem Begriff Indicator of Compromise existiert auch der Begriff Indicator of Attack (IoA). IoC und IoA lassen sich relativ deutlich voneinander abgrenzen. Während mithilfe der IoC eine bereits erfolgte Kompromittierung eines Systems erkennbar ist, ermöglichen Indicator of Attack die Erkennung eines unmittelbaren, gerade stattfindenden Angriffs. Dadurch kann der Angriff abgewehrt werden, bevor es zu einer tatsächlichen Kompromittierung des Systems kommt.

Automatisierte Nutzung der IoC

Es existieren mehrere Initiativen, IoC in einer standardisierten, strukturierten Form zu erfassen und darzustellen. Ziel ist es, die Informationen für eine automatisierte Erkennung verdächtiger Aktivitäten zu verwenden. Formate, mit denen sich die Informationen darstellen lassen, sind beispielsweise OpenIOC oder STIX (Structured Threat Information eXpression).

Systeme wie Scanner, Firewalls oder Intrusion Detection und Intrusion Prevention Systeme, die diese Formate verstehen, erlauben das Einlesen der Informationen und die automatisierte Erkennung. TAXII (Automated eXchange of Indicator Information) stellt standardisierte Mechanismen für das Transportieren, Verteilen und Austauschen von Indikatordaten zur Verfügung und verwendet das STIX-Format. Der Standard ermöglicht Organisationen den einfachen Austausch von Informationen zu Bedrohungen und stärkt die Cyber-Abwehr.

Neben zahlreichen kommerziellen Lösungen existiert Open-Source-Software, die automatisiert nach Indicator of Compromise sucht. Dazu zählt beispielsweise die frei verfügbare Forensik-Software Loki. Sie ist auf Clientsystemen, Netzlaufwerken, Webservern oder Domain-Controllern nutzbar und durchsucht die Systeme nach Kompromittierungsindikatoren. Die Software nutzt eine Signaturdatenbank und YARA-Regeln, die sie auf Dateien und Prozesse anwendet.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46064771)

Über den Autor