Ein Kompromittierungsindikator (Indicator of Compromise, IOC) ist in der digitalen Forensik ein Hinweis auf eine mögliche Kompromittierung eines Endgeräts oder Netzwerks. Genau wie physisches Beweismaterial helfen diese digitalen Hinweise IT-Sicherheitsexperten, böswillige Aktivitäten oder Sicherheitsbedrohungen wie Datenlecks, Insider-Bedrohungen oder Malware-Angriffe zu identifizieren.
Sicherheitsexperten können Kompromittierungsindikatoren nach dem Feststellen verdächtiger Aktivitäten manuell sammeln oder aber mithilfe von Funktionen zur Cybersicherheitsüberwachung automatisch erfassen. Diese Informationen können zum Eindämmen eines laufenden Angriffs, zum Beseitigen eines bestehenden Sicherheitsvorfalls sowie dazu genutzt werden, Tools „intelligenter“ zu machen, damit verdächtige Dateien künftig erkannt und isoliert werden.
Leider ist die IOC-basierte Überwachung immer ein reaktiver Ansatz: Wenn ein Unternehmen einen Indikator findet, wurde es höchstwahrscheinlich bereits kompromittiert. Bei einer laufenden Kompromittierung kann das schnelle Erkennen eines IOC jedoch helfen, den Angriff in einer früheren Phase des Angriffszyklus einzudämmen, sodass die Auswirkungen auf das Geschäft reduziert werden.
Je raffinierter Cyberkriminelle vorgehen, desto schwerer ist die Erkennung der Indikatoren. Die gängigsten IOCs (z. B. MD5-Hashes, C&C-Domänen oder hartkodierte IP-Adressen, Registrierungsschlüssel sowie Dateinamen) ändern sich ständig, was die Erkennung erschwert.
2023 Threat Hunting Report
Im Threat Hunting Report 2023 deckt das Counter Adversary Operations-Team von CrowdStrike die neueste Handwerkskunst der Angreifer auf und stellt Wissen und Einblicke bereit, um Sicherheitsverletzungen zu verhindern.
Wie werden Kompromittierungsindikatoren identifiziert?
Wenn ein Unternehmen Ziel oder Opfer eines Angriffs ist, hinterlässt der Cyberkriminelle in den Systemen und Protokolldateien Spuren seiner Aktivitäten. Das Threat Hunting-Team erfasst diese digitalen forensischen Daten aus den Dateien und Systemen, um festzustellen, ob eine Sicherheitsbedrohung oder Datenkompromittierung erfolgt ist oder gerade erfolgt.
Die Identifizierung von IOCs übernehmen fast ausschließlich geschulte IT-Sicherheitsexperten, die oft mithilfe hochentwickelter Technologien gewaltiger Mengen an Netzwerkverkehr scannen und analysieren sowie verdächtige Aktivitäten isolieren.
Bei den effektivsten Cybersicherheitsstrategien nutzen Fachleute hochentwickelte Technologielösungen (z. B. mit KI, ML und anderen Arten von intelligenter Automatisierung), um ungewöhnliche Aktivitäten besser zu erkennen und die Reaktion und Beseitigung zu beschleunigen.
Warum sollten Sie nach Kompromittierungsindikatoren in Ihrer Unternehmensumgebung suchen?
Die Erkennung von Kompromittierungsindikatoren ist ein wesentliches Element jeder umfassenden Cybersicherheitsstrategie. IOCs können die Erkennungsgenauigkeit und -geschwindigkeit verbessern sowie die Behebung von Zwischenfällen beschleunigen. Grundsätzlich gilt: Je früher ein Unternehmen einen Angriff erkennt, desto geringer sind die Auswirkungen auf das Geschäft und desto einfacher ist das Beheben der Angriffsfolgen.
IOCs, insbesondere mehrfach verwendete, bieten Unternehmen Einblicke in die Techniken und Methoden der Angreifer. Unternehmen können diese Einblicke in ihre Sicherheitstools sowie in die Reaktion auf Zwischenfälle und in Cybersicherheitsrichtlinien einfließen lassen, um künftige Vorfälle zu vermeiden.
2022 CrowdStrike Global Threat Report
Laden Sie den Global Threat Report 2022 herunter, um sich über die Trends zu informieren, die unsere Teams im letzten Jahr mit Blick auf die sich ständig weiterentwickelnden Taktiken, Techniken und Prozeduren von Angreifern beobachtet haben.
Jetzt herunterladenBeispiele für Kompromittierungsindikatoren
Nach welchen Warnzeichen auf Cyberbedrohungen und Angriffe sucht das Sicherheitsteam? Kompromittierungsindikatoren umfassen unter anderem Folgendes:
- Ungewöhnlicher eingehender und ausgehender Netzwerkverkehr
- Geografische Unregelmäßigkeiten wie Datenverkehr aus Ländern oder von Orten, in bzw. an denen das Unternehmen nicht vertreten ist
- Unbekannte Anwendungen im System
- Ungewöhnliche Aktivitäten mit Administrator- oder privilegierten Konten, einschließlich Anforderung weiterer Berechtigungen
- Eine Zunahme falscher Anmeldungen oder Zugriffsanfragen, die auf Brute-Force-Angriffe hindeuten
- Ungewöhnliche Aktivitäten, z. B. eine Erhöhung der Datenbank-Lesevorgänge
- Viele Anfragen für die gleiche Datei
- Verdächtige Registrierungs- oder Systemdateiänderungen
- Ungewöhnliche DNS-Anfragen und Registrierungskonfigurationen
- Nicht autorisierte Einstellungsänderungen, einschließlich Mobilgeräteprofile
- Große Mengen von komprimierten Dateien oder Datenpaketen an falschen oder ungewöhnlichen Orten
Der Unterschied zwischen Kompromittierungsindikatoren und Angriffsindikatoren
Ein Angriffsindikator (Indicator of Attack, IOA) ist wie ein IOC ein digitales Artefakt, das IT-Sicherheitsteams beim Bewerten einer Kompromittierung oder eines Sicherheitsvorfalls hilft. Anders als IOCs sind IOAs allerdings aktiver Natur. Bei ihnen liegt der Fokus auf der Identifizierung eines laufenden Cyberangriffs. Außerdem geht es bei IOAs auch um die Identität und Motivation des Bedrohungsakteurs, wohingegen ein IOC dem Unternehmen nur hilft, Ereignisse nachzuvollziehen.
