Welke rol spelen 'indicators of compromise’ (IOC’s) in cybersecurity?
Een aanvaller dringt via een bekende kwetsbaarheid binnen bij een organisatie en begint netwerkactiviteiten te veranderen via ongebruikelijke commando’s. Vervolgens logt de aanvaller met behulp van gestolen logingegevens in op verschillende applicaties binnen dat netwerk. Een actieve cybersecurity monitoring oplossing detecteert vervolgens dat een IP-adres uit een ver land verbinding maakt met het netwerk.
Dit soort bewegingen, of gedragingen, staan bekend als indicators of compromise (IOC’s). Het zijn digitale aanwijzingen en bewijs dat een aanvaller een digitale inbraak aan het plegen is. IOC’s zijn essentieel om incidenten binnen de bedrijfsomgeving te detecteren en daarop te reageren. Threat Intelligence onderzoekers gebruiken IOC’s om inzicht te krijgen in aanvalstrends, digitale forensische teams gebruiken ze om de hoofdoorzaak van een datalek te vinden en tools zoals MDR (Managed Detection and Response) hebben vaak regelsets om te waarschuwen voor bepaalde IOC's, om te voorkomen dat een incident escaleert. Ze zijn dus enorm waardevol. Maar als we optimaal gebruik willen maken van IOC's, moeten we eerst begrijpen welke er zijn en welke rol ze spelen in cybersecurity.
Wat zijn indicators of compromise?
Een IOC is ieder datapunt dat aangeeft dat er (mogelijk) een cyberaanval aan de gang is of heeft plaatsgevonden. Dat kan van alles zijn, van een bestand tot een IP-adres tot een gebruikerslogin op een domein dat argwaan wekt en bewijs bevat van schadelijke activiteiten. IOC's vallen vaak onder de categorieën netwerkindicatoren, gedragsindicatoren, bestandsindicatoren en artefactindicatoren.
In het hierboven beschreven voorbeeld kwamen de commando’s overeen met het type opdrachten dat wordt gebruikt door de Ryuk ransomware. In dat geval werd de IOC ontdekt tijdens een eerdere informatieverzameling over dreigingen en vervolgens toegepast op verdacht gedrag dat werd waargenomen binnen het netwerk. Zo realiseerde de organisatie dat er een securityincident aan de gang was. Zoals geschetst in dit voorbeeld, worden IOC's vaak gebruikt om losse datapunten in context te plaatsen, waardoor een duidelijker beeld ontstaat van wat er gebeurt binnen de omgeving van een organisatie.
Algemene voorbeelden van IOC’s
IOC's kunnen verschillende vormen aannemen, maar hebben vaak onderscheidende kenmerken – zoals gedrag van een bekend type ransomware – waarmee detectie- en responstools, indien bemand en bewaakt door cybersecurityprofessionals, ze kunnen identificeren en er vervolgens op reageren.
Voorbeelden van IOC's zijn:
- Afwijkend netwerkactiviteit, waaronder inkomend, uitgaand of intra-netwerkverkeer dat geen deel uitmaakt van de normale verkeersstroom.
- Geografische afwijkingen in het netwerkverkeer of logins, zoals een gebruiker die vanuit een ander land toegang zoekt tot applicaties of data, of een IP-adres dat vanuit een ander land verbinding probeert te maken met het netwerk.
- Nieuwe of onbekende applicaties die in het systeem of op een endpoint verschijnen en die niet geautoriseerd zijn door de IT-afdeling.
- Ongebruikelijke of verhoogde activiteit van beheerdersaccounts of andere accounts met veel toegangsrechten, zoals bestandsoverdrachten, configuratiewijzigingen of zelfs aanpassingen van gebruikersrechten.
- Een verhoogd aantal foutieve aanmeldingen of aanmeldingspogingen. Dit kan ook op een ongebruikelijk tijdstip gebeuren, zoals midden in de nacht. Of herhaalde multi-factor verificatieverzoeken die kenmerkend zijn bij aanvallen die misbruik willen maken van multi-factor authenticatie (MFA)-fatigue.
- Verzoeken om bestands- of bestandsnaamwijzigingen die niet geautoriseerd of ongebruikelijk zijn - bijvoorbeeld als het gaat om kritieke bedrijfsmiddelen.
- Niet-geautoriseerde wijzigingen in de configuratie van een applicatie.
- Niet-geautoriseerde of ongebruikelijke compressie, verplaatsing of exfiltratie van bestanden. Bijvoorbeeld, grote aantallen kritieke bestanden die plotseling worden gecomprimeerd of verplaatst naar een andere locatie binnen het netwerk.
Hoewel al deze indicatoren apart misschien niet bijzonder ongebruikelijk of waardevol zijn, kan de correlatie van meerdere indicatoren een securityteam doen vermoeden dat er sprake is van een incident. Daarnaast kan het verzamelen van dit soort digitale aanwijzingen een digitaal forensisch team helpen om te begrijpen hoe een aanval heeft plaatsgevonden. Dit helpt niet alleen bij het herstel, maar helpt ook andere organisaties bij het voorkomen van vergelijkbare aanvallen.
Cl0p ransomware heeft bijvoorbeeld het afgelopen jaar misbruik gemaakt van een kwetsbaarheid in de file transfer-software MOVEit om meerdere organisaties aan te vallen. Omdat we weten dat Cl0p deze kwetsbaarheid binnen deze applicatie probeert uit te buiten, kunnen organisaties actief op zoek gaan naar IOC's die overeenkomen met dat gedrag en dit monitoren.
Indicators of Compromise vs. Indicators of Attack
Hoewel ze vergelijkbare namen hebben, zijn IOC's en indicators of attack (IOA) verschillende data sets. IOA's worden gebruikt wanneer een aanvaller toegang probeert te krijgen, terwijl een IOC wordt gebruikt wanneer al toegang is verleend en de aanvaller nu op weg is naar een grootschalige aanval (of het nu gaat om een ransomware-aanval, data exfiltratie of een ander soort aanval). Beide werken samen, omdat een securityteam dat één of meerdere IOC's heeft waargenomen, bekende IOA-gegevens kan gebruiken om te proberen de volgende stap van de aanvaller te stoppen.
Een IOA is bijvoorbeeld een phishing e-mail in een inbox, terwijl de IOC de schadelijke code is die zich een weg begint te banen door een systeem. IOA's zijn ook algemener dan IOC's en geven minder informatie - een digitaal forensisch expert kan veel meer afleiden uit specifieke malwarecode dan uit een door AI gegenereerde phishingmail.
De rol van IOC's in cybersecurity
- IOC's helpen securityteams om aanvallen te detecteren en kunnen de gevolgen van een aanval of datalek beperken door in vrijwel real-time te waarschuwen wanneer bepaald gedrag wordt waargenomen. Ze zijn cruciaal om een organisatie te helpen zich te verdedigen, vooral nu cybercriminelen steeds complexer tewerk gaan. Detectie en respons zijn twee sleutelwoorden die essentieel worden in cybersecurityoplossingen. Nu steeds meer organisaties gebruikmaken van endpoint detection and response (EDR), managed detection and response (MDR) en extended detection en response (XDR), zorgt het gebruik van IOC's ervoor dat detectie en respons snel en effectief kunnen plaatsvinden. Bedenk daarbij dat geen enkele organisatie op zichzelf staat, dus inzicht in IOC’s en het uitwisselen van deze informatie helpt niet alleen om dreigingen binnen de eigen organisatie aan te pakken, maar helpt ook de bredere cybersecuritygemeenschap en omgekeerd.
Door: Dan Schiappa (foto), Chief Product Officer, Arctic Wolf