Gérer la sécurité dans le monde hautement interconnecté d'aujourd'hui peut être comme essayer d'éteindre des incendies avec une collection de pistolets à eau. Vous avez les outils, mais ils ne se sentent jamais assez puissants. Alors que les équipes de sécurité travaillent sans relâche pour protéger les systèmes, les réseaux et les données, elles ont besoin des informations qui les autonomisent en les aidant à hiérarchiser leurs activités. En intégrant les renseignements sur les menaces dans leurs activités, les équipes de sécurité peuvent contextualiser les menaces afin de concentrer leur attention sur les risques les plus élevés auxquels sont confrontées leurs organisations.
Lors de la collecte de renseignements sur les menaces, indicateurs de compromis (IoC) fournir des informations techniques que les équipes de sécurité peuvent utiliser pour rechercher activement des acteurs malveillants essayant d'échapper à la détection.
Que sont les indicateurs de compromis (IoC) ?
Les indicateurs de compromission (IoC) sont les artefacts médico-légaux techniques qui indiquent que des acteurs malveillants ont obtenu un accès non autorisé aux systèmes, donnant aux équipes de sécurité les informations nécessaires pour déterminer si leurs systèmes ont été compromis. Identifiés au niveau de l'hôte ou du réseau, les IoC peuvent inclure des activités inhabituelles telles que :
- Programmes et processus suspects indiquant des logiciels malveillants
- Trafic réseau anormal indiquant que des données ou des fichiers sont envoyés à un serveur de commande et de contrôle (C&C)
- Activité anormale du compte utilisateur indiquant une prise de contrôle du compte
Les équipes de sécurité peuvent collecter des IoC auprès d'entités gouvernementales et non gouvernementales, notamment :
- Forum des équipes de réponse aux incidents et de sécurité
- Équipe de préparation aux urgences informatiques des États-Unis (CERT)
- Programme de partage d'informations sur la cybersécurité de la base industrielle de la défense
- Centre de coordination CERT
- Agence de la cybersécurité et de la sécurité des infrastructures (CISA)
- Les chercheurs en sécurité
- Fournisseurs de technologie
Les équipes de sécurité utilisent les IoC pour s'engager dans la chasse aux menaces afin de pouvoir détecter les incidents où des acteurs malveillants peuvent avoir éludé leurs alertes. Pendant ce temps, les équipes de réponse aux incidents utilisent les IoC pour les aider à contenir les attaquants et à corriger les systèmes.
Comment fonctionnent les IoC ?
Même les meilleurs criminels laissent derrière eux des traces de preuves. Les IoC sont les preuves médico-légales numériques qu'un attaquant laisse derrière lui.
Un logiciel malveillant est un programme informatique, et chaque programme crée des preuves de son existence dans des fichiers journaux. Au cours d'une enquête sur un incident, les équipes d'intervention en cas d'incident recueillent les preuves médico-légales techniques découvertes au cours de l'enquête. Par exemple, les IoC peuvent inclure une liste de :
- Versions d'applications concernées
- adresses IP
- Domaines C2
- Adresses Bitcoin
- Les adresses de courriel
- Noms et types de fichiers à rechercher
- Emplacements où les logiciels malveillants peuvent être trouvés
Les équipes de sécurité de l'information peuvent identifier les IoC en :
- Examen des fichiers journaux historiques pour les indicateurs
- En parcourant les données de journal actuelles pour les indicateurs
- Créer de nouvelles règles de détection basées sur ces indicateurs
Quelle est la différence entre les indicateurs de compromission et les indicateurs d'attaque (IoA) ?
La principale différence entre les IoC et les IoA est le timing. Alors qu'un IoC vous indique qu'un incident s'est produit en fonction du contenu de vos données de journal, un IoA vous indiquera si l'attaque est actuellement en cours dans vos systèmes et réseaux.
Les IoC sont simples car ils se concentrent sur des menaces de sécurité connues et spécifiques découvertes après que des acteurs malveillants ont compromis un système. Pendant ce temps, les IoA vous indiquent si les attaquants sont actuellement en train d'attaquer le système avec un aperçu de :
- Techniques d'exploitation
- Comportement de l'adversaire
- Intention de l'attaquant
Comprendre le cycle de vie IoC
Le cycle de vie IoC fait référence à sa place globale dans le cadre plus large de la sécurité. Tant qu'un IoC donné est pertinent, les équipes de sécurité doivent suivre les étapes suivantes :
- Découverte: identification des IoC potentiels en surveillant les journaux système, en analysant le trafic réseau, en exécutant des analyses de sécurité et en examinant les alertes
- Évaluation: collecte de plus d'informations pour déterminer comment traiter l'IoC en analysant le trafic réseau, les fichiers et configurations système et les sources de renseignements sur les menaces
- Partager: coordonner une réponse et mettre en place des contrôles pour prévenir des attaques similaires à l'avenir
- Déploiement: mise en œuvre d'un ensemble multicouche de contrôles de sécurité défensifs pour se protéger contre une attaque
- Détection et réponse: systèmes de surveillance pour détecter les IoC potentiels et répondre aux menaces identifiées en contenant la menace, en mettant en œuvre des contre-mesures et en communiquant l'incident
- Fin de vie: retirer un IoC lorsqu'il n'est plus précis ou efficace en raison de changements dans la technologie, le paysage ou la posture de sécurité de l'organisation
Intégrez en 30 minutes la base de données sur la cybercriminalité la plus accessible et complète au monde dans votre programme de cybersécurité.
Types d'indicateurs de compromission
Les IoC se répartissent en quatre catégories de base, il est donc essentiel de comprendre ce qu'elles sont et ce qu'il faut rechercher.
IoC réseau
Les IoC réseau montrent un trafic et une activité réseau anormaux, souvent détectés par les outils de surveillance du réseau. Voici quelques exemples d'IoC réseau :
- Trafic entrant ou sortant inhabituel
- Pic de trafic inhabituel provenant d'un site Web ou d'une adresse IP spécifique
- Communication avec des adresses IP malveillantes connues
- Irrégularités géographiques, comme le trafic provenant d'entreprises où l'organisation n'a pas d'employés
- Anomalies de demande de serveur de noms de domaine (DNS) et de configuration du registre
- Analyses de réseau non autorisées
- Applications utilisant des ports inhabituels
- Tailles de réponse HTML supérieures à la normale
IoC basés sur l'hôte
Les IoC basés sur l'hôte se concentrent sur des ordinateurs ou des systèmes spécifiques présentant une activité suspecte, souvent détectés par les outils Endpoint Detection and Response (EDR) ou Extended Detection and Response (XDR). Voici quelques exemples d'IoC basés sur l'hôte :
- Activité de fichier inhabituelle
- Processus ou services suspects en cours d'exécution
- Hausse des volumes de lecture de bases de données
- Modifications non approuvées du registre et des fichiers système
- Comportement inhabituel du système, comme des redémarrages inattendus, des plantages ou des performances lentes
IoC basés sur des fichiers
Les IoC basés sur des fichiers montrent des changements qui indiquent la présence de fichiers malveillants ou de logiciels malveillants, souvent détectés par des outils d'analyse de fichiers tels que les logiciels EDR et les outils de sandboxing. Voici quelques exemples d'IoC basés sur des fichiers :
- Hachages de fichiers, noms de fichiers et chemins de fichiers suspects
- Volumes élevés de demandes pour le fichier ame
- Modifications des sommes de contrôle des fichiers
IoC comportementaux
Les IoC comportementaux se concentrent sur les comportements anormaux des utilisateurs ou des entités, souvent détectés via les outils de gestion des identités et des accès (IAM) ou les outils d'analyse du comportement des utilisateurs et des entités (UEBA). Voici quelques exemples d'IoC comportementaux :
- Plusieurs tentatives de connexion infructueuses
- Tentatives de connexion inhabituelles, telles que des modifications de l'heure de la journée ou de l'emplacement géographique
- Accès non autorisé aux données sensibles
- Activité anormale d'un utilisateur privilégié ou d'un compte
- Tentatives d'ingénierie sociale, y compris les e-mails de phishing demandant des identifiants de connexion
Flare : fournir un contexte exploitable pour les IoC
Les IoC fournissent les informations techniques dont vous avez besoin, mais ils n'ont pas le contexte qu'offre une approche holistique de la veille sur les menaces. Pour utiliser efficacement les IoC, vous avez besoin d'une visibilité sur les menaces que les acteurs prévoient de cibler et sur leurs tactiques, techniques et procédures (TTP). De plus, vous devez placer les IoC dans le contexte de l'environnement informatique global de votre organisation et de la verticale de l'industrie.
Avec la plate-forme de Flare, vous pouvez opérationnaliser vos renseignements sur les menaces en combinant les données IoC avec une surveillance Web claire, approfondie et sombre. À l'aide de la plate-forme de renseignements sur les cybermenaces de Flare, vous pouvez faire le lien avec l'analyse des acteurs de la menace, la surveillance des communautés illicites et l'agrégation de renseignements. Les équipes utilisant Flare peuvent obtenir des informations contextuelles couvrant les zones à risque les plus importantes, réduisant ainsi le bruit. Grâce à une approche unifiée du renseignement sur les cybermenaces, de la planification de la reprise après sinistre et de la surveillance de la surface d'attaque externe, les équipes de sécurité tirant parti de l'IA de Flare peuvent résoudre rapidement les problèmes en hiérarchisant les alertes à haut risque.