Indicateurs de compromis (IOC) et surveillance des risques externes

Fond bleu dégradé. Il y a un ovale orange clair avec le texte blanc "BLOG" à l'intérieur. En dessous, il y a du texte en blanc : "Indicateurs de compromission (IOC) et surveillance des risques externes". Il y a un texte blanc sous celui qui dit "En savoir plus" avec une flèche orange clair pointant vers le bas.

Les acteurs malveillants sont sournois. Si leur tactiques, techniques et procédures (TTP) étaient évidents, leurs attaques ne réussiraient pas. Les équipes de sécurité les détecteraient avant qu'ils n'atteignent leurs objectifs, et ils ne pourraient pas se cacher dans les systèmes et les réseaux. Cependant, une fois que les professionnels de la sécurité ont identifié un type d'attaque, ils fournissent des détails que d'autres équipes de sécurité peuvent utiliser pour rechercher activement ces acteurs de menace évasifs. 

Les indicateurs de compromission (IoC) sont un élément essentiel de la surveillance des risques externes, car ils fournissent des informations sur la manière dont les acteurs de la menace utilisent l'empreinte numérique d'une entreprise lors d'une attaque. 

Qu'est-ce qu'un indicateur de compromis (IoC) ?

Les indicateurs de compromission (IoC) sont les données médico-légales, souvent contenues dans les journaux système et les horodatages, que les professionnels de la sécurité utilisent pour déterminer si des acteurs malveillants ont infiltré des systèmes ou des réseaux. À l'aide des indices, les équipes de sécurité peuvent rechercher de manière proactive toute activité malveillante suggérant qu'une attaque s'est produite, y compris les outils utilisés et qui les a utilisés.

Les IoC sont un type de renseignements techniques sur les menaces que les équipes de sécurité utilisent lors de la chasse aux menaces et de la réponse aux incidents. Les IoC fournissent des informations sur les comportements inhabituels qui peuvent inclure :

  • Comportement de connexion anormal et utilisation des informations d'identification
  • Trafic réseau anormal
  • Modifications suspectes des registres et des systèmes de fichiers

Les équipes de sécurité utilisent généralement les IoC pour les aider à détecter les problèmes de cybersécurité tels que :

  • Malware
  • Vol d'identifiants
  • Exfiltration de données

Quels sont les types d'IoC ?

Lorsque vous comprenez les types d'IoC, vous pouvez les utiliser plus efficacement dans le cadre de votre surveillance des risques externes. Étant donné que les attaquants exploitent de plus en plus les actifs publics accessibles sur Internet lors des attaques, les IoC fournissent les informations techniques spécifiques qui vous aident à identifier les risques potentiels. 

Activité privilégiée anormale

Les comptes privilégiés ont un accès presque illimité aux systèmes, réseaux, appareils et données. Étant donné que ceux-ci peuvent apporter des modifications importantes, les attaquants cherchent activement à utiliser cet accès. 

Certaines choses que les équipes de sécurité doivent rechercher incluent :

  • Comptes standard avec un accès privilégié nouvellement escaladé
  • Utilisateurs privilégiés apportant des modifications inattendues aux systèmes, fichiers et dossiers
  • Comptes privilégiés utilisés pendant des jours ou des heures inattendus

Anomalies géographiques

Les entreprises savent où vivent leurs employés et où ils font des affaires. La détection des connexions de compte à partir de régions géographiques en dehors de celles-ci peut indiquer un attaquant potentiel ayant accès aux systèmes ou aux réseaux.

Échec des connexions au compte

Généralement, les gens parviennent à se connecter à leurs comptes en une ou deux tentatives, même s'ils oublient leur mot de passe. Cependant, un volume élevé de tentatives de connexion infructueuses pour un seul utilisateur, un nouveau compte ou un compte inexistant peut indiquer une attaque potentielle basée sur les informations d'identification. 

Augmentation du volume de lecture de la base de données

Quand quelqu'un lit votre base de données, il génère du trafic. Si vous détectez une augmentation inexpliquée du volume de lecture de la base de données, cela peut signifier qu'un attaquant recherche des informations dans votre base de données avant de les télécharger. 

Grandes tailles de réponse HTML

Chaque fois que quelqu'un fait une demande à une application Web ou à un serveur Web, la technologie émet une réponse HTML (Hypertext Markup Language). Un typique Taille de la réponse HTML est de 260 Ko, donc quelque chose d'anormalement plus grand, comme 50MG, pourrait indiquer qu'un attaquant essaie de rechercher une application Web ou une vulnérabilité de sécurité du serveur. 

Automatisez la gestion de votre exposition aux cybermenaces

Intégrez en 30 minutes la base de données sur la cybercriminalité la plus accessible et complète au monde dans votre programme de cybersécurité.

Volumes de requêtes élevés pour le même fichier

Lorsqu'une personne accède à un fichier, la technologie crée un enregistrement de la demande. Lorsque les attaquants essaient d'obtenir un accès non autorisé à un fichier, ils peuvent essayer différentes manières de le faire. Lorsque vous recevez un volume élevé de demandes pour le même fichier, cela peut indiquer une attaque. 

Trafic port-application anormal

Chaque Le protocole d'application utilise un identifiant de numéro de port unique, similaire à la façon dont les appareils utilisent des adresses IP uniques. Lorsque les attaquants tentent d'infiltrer les réseaux, ils essaient souvent de trouver un moyen d'entrer via une application. Le fait de remarquer qu'une application échange des données via un port anormal peut indiquer qu'un attaquant tente d'utiliser l'application pour pénétrer le réseau ou accéder à l'application. 

Modifications suspectes du registre ou des fichiers système

Sous Windows, un fichier de registre est un fichier texte qui stocke les paramètres techniques du système d'exploitation et des applications. Un fichier système est un fichier critique que les processus, les systèmes d'exploitation, les applications et les pilotes de périphérique utilisent pour fonctionner correctement. Souvent, les attaquants incorporent souvent du code dans leurs logiciels malveillants qui apporte des modifications à ces fichiers afin qu'ils puissent atteindre persistance tout en restant non détecté. Le fait de remarquer des anomalies dans ces fichiers ou des changements dans le fonctionnement des technologies peut indiquer une attaque de logiciel malveillant. 

Requêtes DNS anormales

Une requête DNS est un ordinateur qui envoie un message qui s'identifie à une application Web, un serveur ou une base de données lorsqu'il veut des données de l'actif, puis l'actif répond. Dans le cadre d'une attaque, les acteurs malveillants utilisent souvent des serveurs de commande et de contrôle (C&C) pour déployer des logiciels malveillants. Lorsque le serveur C&C communique avec l'actif numérique, il envoie des requêtes DNS. Si vous détectez des requêtes DNS provenant d'un hôte ou d'un emplacement géographique anormal, cela peut indiquer que des attaquants tentent de voler des informations. 

A quoi servent les IOC ?

Les équipes de sécurité utilisent les IoC dans le cadre de leur surveillance proactive de la sécurité et de leurs processus réactifs de réponse aux incidents. À la suite d'une attaque, les chercheurs en sécurité et les agences de protection publieront une liste d'IoC.

Par exemple, la Cybersecurity & Infrastructure Security Agency (CISA) a publié une mise à jour Conseil en cybersécurité (CSA) sur les acteurs de la menace exploitant plusieurs vulnérabilités VMware sans chemin, en identifiant les IoC suivants :

  • Un script shell malveillant
  • Requêtes GET personnalisées
  • Copies de webshells anormaux
  • Copies des commandes utilisées par les attaquants 
  • Listes d'adresses IP associées aux attaques
  • Reniflez les signatures pour aider à détecter le trafic réseau malveillant
  • Règles YARA pour identifier les outils de post-exploitation
  • Domaines associés à l'attaque
  • Analyse, chaînes d'exploitation et commandes observées
  • Fichiers détectés

Plusieurs de ces IoC exploitent l'Internet public. Par exemple, les requêtes GET personnalisées indiquent qu'une entité externe utilise Internet pour accéder à un actif numérique ou exfiltrer des données. 

Chasse aux menaces

Chasse aux menaces est une activité de sécurité proactive où les professionnels de la sécurité parcourent les systèmes pour trouver des attaques qui peuvent avoir échappé à leurs détections. Les équipes de sécurité peuvent les utiliser pour les aider à rechercher les activités associées à l'attaque, leur permettant de découvrir les incidents que leurs alertes ont pu manquer. Par exemple, les équipes de sécurité peuvent rechercher dans leurs journaux les requêtes GET identifiées pour voir si une activité anormale connue se produit. 

Détection d'incidents

Les équipes de sécurité peuvent utiliser les IoC pour créer de meilleures règles de détection afin d'identifier et de bloquer les attaquants avant qu'ils n'obtiennent un accès non autorisé. Par exemple, si vous créez des alertes de sécurité qui utilisent les règles YARA et les signatures Snort pour les attaques connues, les attaquants sont moins susceptibles d'échapper à la détection. 

Enquête d'incident

Une détection vous informe que quelque chose s'est passé, mais l'enquête vous dit ce que c'était. Les équipes de sécurité utilisent les IoC dans le cadre de leurs enquêtes pour rechercher des activités spécifiques qui correspondent à des attaques connues. Par exemple, si vous savez que votre système pourrait être affecté par un VMware non corrigé, vous pouvez utiliser les IoC du CSA pour concentrer votre enquête. Lorsque vous réduisez le temps moyen d'investigation (MTTI), vous réduisez également le temps moyen de confinement (MTTC) et le temps moyen de récupération (MTTR), car les trois activités sont liées les unes aux autres. 

Flare : gestion automatisée de la surface d'attaque externe

Grâce à la vue automatisée et en temps réel de Flare sur votre empreinte numérique, vous pouvez vous concentrer efficacement sur les actifs publics à haut risque. Grâce à Flare, vous pouvez identifier les ressources mal configurées afin de réduire le nombre de vecteurs d'attaque potentiels. 
Commencez en seulement quinze minutes avec un essai gratuit.

Partager cet article

Rubriques connexes