Darkly.fr
Les cybermenaces évoluent continuellement avec les nouveaux TTP adaptés en fonction des vulnérabilités de l’organisation cible. Les indicateurs de compromission sont les indices, les artefacts et les éléments de données judiciaires trouvés sur un réseau ou un système d’exploitation d’une organisation qui indiquent une intrusion potentielle ou une activité malveillante dans l’infrastructure de l’organisation.
Les IoC ne sont pas de l’intelligents, les IoC agissent plutôt comme une bonne source d’information sur les menaces qui servent de points de données dans le processus de renseignement. Les renseignements exploitables sur les menaces extraits des IoC aident les organisations à améliorer leurs stratégies de gestion des incidents. Les professionnels de la cybersécurité utilisent divers outils automatisés pour surveiller les IoC afin de détecter et de prévenir diverses failles de sécurité dans l’organisation. La surveillance des IoC aide également les équipes de sécurité à améliorer les contrôles et les politiques de sécurité de l’organisation afin de détecter et de bloquer le trafic suspect afin de contrecarrer de nouvelles attaques.
Pour surmonter les menaces associées aux IoC, certaines organisations comme STIX et TAXII ont développé des rapports standardisés qui contiennent des données condensées liées aux attaques et les ont partagées avec d’autres pour tirer parti de la réponse aux incidents.
Un IoC est un indicateur atomique, un indicateur calculé ou un indicateur comportemental. Il s’agit des informations concernant les activités suspectes ou malveillantes qui sont collectées auprès de divers établissements de sécurité dans l’infrastructure d’un réseau.
Les indicateurs atomiques sont ceux qui ne peuvent pas être segmentés en parties plus petites, et dont la signification n’est pas modifiée dans le contexte d’une intrusion.
Des exemples d’indicateurs atomiques sont les adresses IP et les adresses e-mail. Les indicateurs calculés sont obtenus à partir des données extraites d’un incident de sécurité.
Des exemples d’indicateurs calculés sont les valeurs de hachage et les expressions régulières.
Les indicateurs comportementaux se réfèrent à un regroupement d’indicateurs atomiques et calculés, combinés sur la base d’une certaine logique.
Catégories d’indicateurs de compromission
Les professionnels de la cybersécurité doivent avoir une connaissance approfondie des divers acteurs de menaces possibles et de leurs tactiques liées aux cybermenaces, principalement appelées indicateurs de compromission (IoC). Cette compréhension des IoC aide les professionnels de la sécurité à détecter rapidement les menaces entrant dans l’organisation et à protéger l’organisation contre les menaces en constante évolution.
Les IoC sont divisés en quatre catégories :
- Indicateurs d’e-mail
- Indicateurs de réseau
- Indicateurs basés sur l’hôte
- Indicateurs comportementaux
Les attaquants préfèrent généralement les services de messagerie pour envoyer des données malveillantes à l’organisation ou à l’individu cible. Ces e-mails socialement conçus sont préférés en raison de leur facilité d’utilisation et de leur anonymat comparatif. Des exemples d’indicateurs d’e-mail incluent l’adresse e-mail de l’expéditeur, l’objet de l’e-mail et les pièces jointes ou les liens.
Les indicateurs réseau sont utiles pour la commande et le contrôle, la livraison de logiciels malveillants et l’identification des détails sur le système d’exploitation, le type de navigateur et d’autres informations spécifiques à l’ordinateur. Des exemples d’indicateurs réseau incluent les URL, les noms de domaine et les adresses IP.
Les indicateurs basés sur l’hôte sont trouvés en effectuant une analyse du système infecté au sein du réseau organisationnel. Des exemples d’indicateurs basés sur l’hôte incluent les noms de fichiers, les hachages de fichiers, les clés de registre, les DLL et les mutex. Tous droits réservés. Toute reproduction est strictement interdite.
En règle générale, les IoC typiques sont utiles pour identifier les indications d’intrusion, telles que les adresses IP malveillantes, les signatures de virus, le hachage MD5 et les noms de domaine. Les IoC comportementaux sont utilisés pour identifier des comportements spécifiques liés à des activités malveillantes telles que l’injection de code dans la mémoire ou l’exécution des scripts d’une application. Des comportements bien définis permettent une protection étendue pour bloquer toutes les activités malveillantes actuelles et futures. Ces indicateurs sont utiles pour déterminer quand des services système légitimes sont utilisés pour des activités anormales ou inattendues. Des exemples d’indicateurs comportementaux incluent l’exécution de documents de script PowerShell et l’exécution de commandes à distance.
Voici quelques-uns des indicateurs clés de compromission (IoC) :
- Trafic réseau sortant inhabituel
- Activité inhabituelle via un compte utilisateur privilégié
- Fichiers et logiciels illégitimes
- Anomalies géographiques
- Échecs de connexion multiples
- Augmentation du volume de lecture de la base de données
- Grande taille de réponse HTML
- Plusieurs demandes pour le même fichier
- Trafic d’application portuaire incohérent
- Utilisation inhabituelle des ports et des protocoles
- Modifications suspectes du registre ou du fichier système
- Requêtes DNS inhabituelles
- E-mails malveillants
- Application de correctifs inattendus aux systèmes
- Signes d’activité par déni de service distribué (DDoS)
- L’interruption de service et la dégradation
- Paquets de données aux mauvais endroits
- Trafic Web avec un comportement surhumain
- Une augmentation drastique de l’utilisation de la bande passante
- Matériel malveillant