Zacznijmy od definicji
IOC i IOA to skróty powstałe od dwóch angielskich określeń.
IOC oznacza Indicator of Compromise, które można dosłownie tłumaczyć jako Wskaźnik Skompromitowania. Jest to zbiór dowodów na to, iż nastąpił dany incydent bezpieczeństwa.
IOA oznacza Indicator of Attack, które można dosłownie tłumaczyć jako Wskaźnik Atakującego. Jest to określenie celu, jaki chce osiągnąć atakujący.
Z racji na brak powszechnie przyjętych tłumaczeń IOA i IOC, będę posługiwał się oryginalnymi nazwami.
Czym jest IOC?
Indicators of Compromise to poszlaki wskazujące na to, iż coś niepożądanego może lub mogło dziać się w sieci danej organizacji. Mogą być wykrywane dzięki systemu monitorującego ruch sieciowy, analizę dzienników (logów) systemów operacyjnych lub zauważenie innych nietypowych zdarzeń.
Wykrycie IOC prawdopodobnie oznacza, iż ktoś niepowołany uzyskał dostęp do sieci w danej organizacji. Pozwala jednak na szybsze reagowanie na zagrożenia w przyszłości dzięki wykrywaniu nietypowych działań porównując je do poznanych IOC, dzięki czemu można zdusić przyszłe ataki w zarodku.
Przykłady Indicator of Compromise
- Działanie nieznanych aplikacji
- Atak DDoS – może być stosowany jako zasłona dymna
- Nietypowa aktywność kont posiadających wyższe uprawnienia od przeciętnego użytkownika
- Masowe zapytania o dodatkowe uprawnienia lub dostęp do pliku
- Inny niż przy normalnym użytkowaniu ruch sieciowy pochodzący z danych urządzeń – np. masowe odwiedzanie złośliwych witryn, widziane jako nagłe zwiększenie ruchu przez krótki czas
- Ruch sieciowy pochodzący z miejsc, gdzie nie ma serwerów lub urządzeń danej organizacji
- Niezrozumiałe lub mówiące wprost o zagrożeniu logi z dziennika systemu
- Wiele nieudanych prób logowania mających na celu np. złamanie haseł. Dotyczy to również ataków typu brute force.
- Zapytania DNS do podejrzanych stron
- Dane przechowywane w nietypowych dla nich lokalizacjach, szczególnie jeżeli chodzi o pliki .zip lub bazy danych. Warto tutaj zwrócić uwagę również na foldery tymczasowe, gdzie mogą znajdować się złośliwe pliki wykonywalne (.exe).
- Używanie przez aplikację innego portu niż przypisany
- Zmiany w ustawieniach urządzeń mobilnych
Co pozwala wykryć IOC?
Przede wszystkim IOC z dużym prawdopodobieństwem informuje o incydencie bezpieczeństwa pochodzącym z zewnątrz (np. atak hackerski) lub wewnątrz (np. kradzież danych przez pracownika). Bardzo często informuje wprost o działaniu złośliwego oprogramowania lub wycieku danych.
Czym jest IOA?
Indicators of Attack to wykazanie zamiarów atakującego daną organizację, wraz z wyszczególnieniem poszczególnych technik. Oznacza to również skupienie się na działaniu danego cyberprzestępcy jako sekwencji pewnych działań, które pozwoliły uzyskać mu dostęp do określonych zasobów. IOA nie uwzględnia narzędzi, jakie zostały wykorzystane do danego ataku.
IOA nie skupia się na szkodach, jakie są wyrządzone podczas incydentu bezpieczeństwa, co jest podstawą Indicators of Compromise. Indicators of Attack polegają głównie na przewidywaniu działań, na przykład przy użyciu Cyber Kill Chain lub MITRE ATT&CK.
Przykłady Indicators of Attack
- Zwiększony wychodzący ruch sieciowy – np. działanie komputerów w danej organizacji jako botnet, uczestniczący w ataku DDOS.
- Wykorzystywanie niestandardowych portów bez świadomości administratora
- Logowania z nietypowych lokalizacji
- Działanie aplikacji na nietypowych, otwartych portach
- Logowania do systemu bez wiedzy danego użytkownika
IOC vs IOA – czym różnią się od siebie?
Podstawową różnicą pomiędzy IOA i IOC jest sposób działania. IOA wiąże się z dostrzeganiem pewnych czynności w czasie rzeczywistym, zaś IOC opiera się na przeszłości – dowodach na zaistniały incydent bezpieczeństwa. Dzięki temu IOA można wykorzystać podczas trwających ataków (np. do unicestwienia zagrożenia w zarodku), zaś dzięki IOC można określić co konkretnie ucierpiało podczas danego incydentu.
Zgodnie z socinvestigation.com, w tej chwili IOA są efektywniejsze od IOC. Nie wolno jednak ich lekceważyć – przez cały czas stanowią istotną informację dla osób zajmujących się bezpieczeństwem danej organizacji. Szczególną cechą jest to, iż IOA są często podobne – opierają się na wspomnianych wcześniej schematach. IOC to szeroka gama różnych niepożądanych śladów w systemie.
Różnice między IOA i IOC
| IOC | IOA |
| Działanie na podstawie danych z przeszłości | Analizowanie informacji w czasie rzeczywistym |
| Określenie tego, czy atak miał miejsce i na co wpływa | Przewidywanie ataku |
| Opiera się jedynie na faktach | Pozwala zakładać pewne działania w przyszłości na podstawie danych |
| Prawie na pewno świadczy o ataku w przeszłości | Może mieć inne pochodzenie niż próba ataku |
Podsumowanie
IOC i IOA to dwa bardzo ważne wskaźniki tego, czy organizacja została zaatakowana lub grozi jej atak w przyszłości. Podczas analizowania zarówno Indicator of Attack i Indicator of Compromise należy zbierać jak najwięcej danych, ponieważ każda informacja może być ważna w późniejszej ocenie danego zdarzenia.
Mając na uwadze to, iż lepiej zapobiegać niż leczyć, należy zwrócić szczególną uwagę na analizowanie IOA, nie zapominając również o IOC.
