Indicadores de comprometimento

Quais são os indicadores de comprometimento?

Indicadores de comprometimento (IOCs) são evidências forenses de discrepâncias ou atividades incomuns na rede da organização, que ajudam a identificar ameaças à segurança, violações de dados, ameaças internas, e muito mais, antes que qualquer dano ocorra. Os IOCs não funcionam apenas como um sinal de alerta para ataques iminentes, mas também ajudam a analisar o que aconteceu. Ao aprender sobre possíveis ameaças à segurança, as organizações podem implementar suas próprias medidas de segurança para limitar ou evitar danos à sua rede.

Tipos de indicadores de comprometimento

Existem cinco tipos principais de IoCs que você pode usar para identificar se seu ambiente foi comprometido:

1. IoCs baseados em arquivos: Downloads de arquivos maliciosos podem infectar o ecossistema da organização. Eles são identificados por tipos de extensão de arquivo atípicos, nomes e caminhos de arquivo incomuns, hashes de arquivo maliciosos e anomalias de tamanho de arquivo.
2. IoCs baseados em rede: Quaisquer atividades suspeitas que ocorram na rede são indicadas por IoCs baseados em rede, como endereços IP, nomes de domínio ou URLs maliciosos. Picos repentinos no tráfego de rede também podem indicar que a rede foi comprometida.
3. IoCs comportamentais: Quaisquer atividades que se desviem do funcionamento normal de sistemas ou usuários, como múltiplas tentativas de login malsucedidas, comportamento incomum do usuário fora do horário comercial, falhas inesperadas do sistema, conexões de rede anormais e alto uso de memória, são IoCs comportamentais claros.
4. IoCs baseados em registro: A presença de determinadas entradas no Registro do Windows pode indicar que um ataque cibernético está em andamento ou já ocorreu. Exemplos incluem exclusões de chaves de registro e valores de registro incomuns.
5. IoCs baseados em host: Mudanças suspeitas feitas nas configurações do sistema, permissões e processos indicam um endpoint potencialmente comprometido.

Exemplos de indicadores de comprometimento

Os IOCs aparecem em várias formas, como comportamento anômalo do usuário, atividades de arquivo injustificadas, tráfego de rede incomum e muito mais. Todos esses sinais são armazenados em um banco de dados do COI na internet, o que ajuda a identificar sinais de vulnerabilidade. Alguns bancos de dados também permitem que você carregue as informações do COI identificadas em sua rede. Os indicadores mais comuns de comprometimento são:

• Aumento no volume de leitura do banco de dados

  Informações pessoais e dados comerciais críticos são armazenados em bancos de dados seguros, tornando-os o principal alvo dos invasores. Um aumento repentino no volume de leitura, que indica o número de usuários que acessaram o banco de dados, é um sinal de exfiltração de dados.

• Irregularidades geográficas

  Sinais indicadores de que algo está errado ocorrem quando você encontra padrões de login ou tentativas de acesso provenientes de uma região onde sua organização não atua. Endereços IP são indicadores fundamentais que ajudam a identificar a origem geográfica do ataque.

• Anomalias em contas de usuários privilegiados

  Os hackers geralmente tentam acessar dados aumentando os privilégios de contas de usuários de baixo nível. Qualquer mudança repentina na atividade da conta do usuário, como um pico repentino nas alterações de permissão, pode indicar um possível ataque interno.

• Tráfego de rede de saída incomum

  Este sinal indica quando atividades de rede incomuns são encontradas quando intrusos tentam extrair dados ou quando informações estão sendo enviadas para um servidor de comando e controle.

• Mudanças suspeitas no registro

  Quando o malware entra no sistema, ele tenta alterar o registro e os arquivos do sistema. Ficar de olho nas alterações do registro ajuda a identificar a presença de malware.

• Aumento de solicitação para o mesmo arquivo

  Os invasores tentam diversas táticas para identificar a mais bem-sucedida. Se um arquivo recebe várias solicitações em um curto período, é um sinal de que você pode estar sob ataque.

Indicadores de comprometimento vs. indicadores de ataque

Entender as diferenças entre indicadores de comprometimento (IoCs) e indicadores de ataque (IoAs) é essencial para investigar incidentes de segurança. Essas diferenças são descritas abaixo:

• Indicadores de comprometimento: Indicadores de comprometimento ajudam-no a identificar incidentes de segurança anteriores. Eles ajudam a mitigar ameaças conhecidas com base em descobertas anteriores feitas em investigações forenses. As equipes de segurança os utilizam para identificar ameaças com padrões semelhantes para que possam tomar medidas corretivas.
• Indicadores de ataque: Indicadores de ataque sinalizam que há um ataque cibernético em andamento ou que uma intrusão maliciosa provavelmente ocorrerá. Identificar uma entidade maliciosa com a ajuda de indicadores de comprometimento pode ajudar você a reduzir a superfície de ataque e remediar o ambiente organizacional.