Trace Id is missing
Overslaan naar hoofdinhoud
Microsoft Beveiliging

Wat zijn Indicators of Compromise (IOC's)?

Meer informatie over het bewaken, identificeren, gebruiken en reageren op indicators of compromise.

Microsoft Defender-bedreigingsinformatie ontdekken

Uitleg over Indicators of Compromise

Een indicator of compromise (IOC) is bewijs dat iemand het netwerk van een organisatie of eindpunt heeft geschonden. Deze forensische gegevens duiden niet alleen op een mogelijke bedreiging, maar geven ook aan dat er al een aanval is opgetreden, zoals malware, verdachte referenties of gegevensexfiltratie. Beveiligingsprofessionals zoeken naar IOC's in gebeurtenislogboeken, oplossingen voor uitgebreide detectie en reactie (XDR) en SIEM (Security Information and Event Management)-oplossingen. Tijdens een aanval maakt het team gebruik van IOC's om de bedreiging te elimineren en schade te beperken. Na herstel helpen IOC's een organisatie beter te begrijpen wat er is gebeurd, zodat het beveiligingsteam van de organisatie de beveiliging kan versterken en het risico op een nieuw soortgelijk incident kan verkleinen. 

Voorbeelden van IOC's

Bij IOC-beveiliging controleert de IT-afdeling de omgeving op de volgende aanwijzingen dat er een aanval gaande is:

Afwijkingen in netwerkverkeer

In de meeste organisaties zijn er consistente patronen in het netwerkverkeer dat de digitale omgeving in en uit gaat. Wanneer dat verandert, bijvoorbeeld als er aanzienlijk meer gegevens de organisatie verlaten of als er activiteiten zijn die afkomstig zijn van een ongebruikelijke locatie in het netwerk, kan dit een indicatie zijn van een aanval.

Ongebruikelijke aanmeldingspogingen

Net als netwerkverkeer zijn de werkgewoonten van mensen voorspelbaar. Ze melden zich doorgaans aan vanaf dezelfde locaties en op ongeveer dezelfde tijdstippen gedurende de week. Beveiligingsprofessionals kunnen een gehackt account detecteren door aandacht te besteden aan aanmeldingen op vreemde tijden van de dag of vanuit ongebruikelijke geografische gebieden, zoals een land waar een organisatie geen kantoor heeft. Het is ook belangrijk om kennis te nemen van meerdere mislukte aanmeldingen vanaf hetzelfde account. Hoewel mensen af en toe hun wachtwoord vergeten of problemen hebben met inloggen, kunnen ze dit meestal na een paar pogingen oplossen. Herhaalde mislukte aanmeldingspogingen kunnen erop duiden dat iemand toegang probeert te krijgen tot de organisatie met behulp van een gestolen account. 

Onregelmatigheden in bevoegdhedenaccount

Veel aanvallers, of ze nu insiders of outsiders zijn, zijn geïnteresseerd in toegang tot beheerdersaccounts en het verkrijgen van gevoelige gegevens. Atypisch gedrag dat is gekoppeld aan deze accounts, zoals iemand die probeert hun bevoegdheden uit te breiden, kan een teken zijn van een inbreuk.

Wijzigingen in systeemconfiguraties

Malware is vaak geprogrammeerd om wijzigingen aan te brengen in systeemconfiguraties, zoals het inschakelen van externe toegang of het uitschakelen van beveiligingssoftware. Door deze onverwachte configuratiewijzigingen te controleren, kunnen beveiligingsprofessionals een inbreuk identificeren voordat er te veel schade is opgetreden.

Onverwachte software-installaties of -updates

Veel aanvallen beginnen met de installatie van software, zoals malware of ransomware, die zijn ontworpen om bestanden ontoegankelijk te maken of om aanvallers toegang te geven tot het netwerk. Door te controleren op niet-geplande software-installaties en -updates, kunnen organisaties deze IOC's snel ondervangen. 

Talloze aanvragen voor hetzelfde bestand

Meerdere aanvragen voor hetzelfde bestand kunnen erop duiden dat een kwaadwillende het probeert te stelen en verschillende methoden heeft geprobeerd om het te openen.

Ongebruikelijke aanvragen voor domeinnaamsystemen

Sommige kwaadwillenden gebruiken de aanvalsmethode 'command and control'. Ze installeren malware op de server van een organisatie die een verbinding tot stand brengt met een server waarvan zij eigenaar zijn. Vervolgens verzenden ze opdrachten vanaf hun server naar de geïnfecteerde machine om te proberen gegevens te stelen of bewerkingen te verstoren. Ongebruikelijke DNS-aanvragen (Domain Name Systems) helpen de IT-afdeling bij het detecteren van deze aanvallen.

Hoe IOC's te identificeren

De signalen van een digitale aanval worden vastgelegd in de logboekbestanden. Als onderdeel van IOC-cyberbeveiliging controleren teams regelmatig digitale systemen op verdachte activiteiten. Moderne SIEM- en XDR-oplossingen vereenvoudigen dit proces met AI- en machine learning-algoritmen die een basis leggen voor wat normaal is in de organisatie en het team vervolgens waarschuwen voor afwijkingen. Het is ook belangrijk om werknemers buiten de IT-afdeling erbij te betrekken, die mogelijk verdachte e-mails ontvangen of per ongeluk een geïnfecteerd bestand downloaden. Goede beveiligingstrainingsprogramma's helpen werknemers beter te worden in het detecteren van gecompromitteerde e-mails en bieden manieren waarop ze zaken kunnen rapporteren die niet kloppen.

Waarom IOC's belangrijk zijn

Het bewaken van IOC's is essentieel om het beveiligingsrisico van een organisatie te verminderen. Met vroege detectie van I/OE's kunnen beveiligingsteams snel reageren op aanvallen en deze oplossen, waardoor de hoeveelheid downtime en onderbrekingen wordt verminderd. Regelmatige controle biedt teams ook meer inzicht in beveiligingsproblemen van de organisatie, die vervolgens kunnen worden verholpen.

Reageren op indicatoren van inbreuk

Zodra beveiligingsteams een IOC identificeren, moeten ze effectief reageren om de organisatie zo min mogelijk schade te berokkenen. Met de volgende stappen kunnen organisaties gefocust blijven en bedreigingen zo snel mogelijk stoppen:

Een plan voor incidentrespons opstellen

Reageren op een incident is stressvol en tijdgevoelig, omdat hoe langer aanvallers onopgemerkt blijven, hoe groter de kans is dat ze hun doelen bereiken. Veel organisaties ontwikkelen eenincidentresponsplan om teams te begeleiden tijdens de kritieke fasen van een respons. In het plan wordt beschreven hoe de organisatie een incident, rollen en verantwoordelijkheden definieert, welke stappen nodig zijn om een incident op te lossen en hoe het team moet communiceren met werknemers en externe belanghebbenden. 

Gecompromitteerde systemen en apparaten isoleren

Zodra een organisatie een bedreiging heeft geïdentificeerd, isoleert het beveiligingsteam snel toepassingen of systemen die worden aangevallen van de rest van de netwerken. Dit helpt voorkomen dat de aanvallers toegang krijgen tot andere delen van het bedrijf.

Forensische analyse uitvoeren

Forensische analyse helpt organisaties bij het ontdekken van alle aspecten van een inbreuk, met inbegrip van de bron, het type aanval en de doelen van de aanvaller. Er wordt tijdens de aanval een analyse uitgevoerd om inzicht te krijgen in de omvang van de inbreuk. Zodra de organisatie is hersteld van de aanval, helpt aanvullende analyse het team mogelijke beveiligingsproblemen en andere inzichten te begrijpen.

De bedreiging elimineren

Het team verwijdert de aanvaller en eventuele malware uit betrokken systemen en resources, waarbij systemen mogelijk offline worden gehaald.

Beveiligings- en procesverbeteringen implementeren

Zodra de organisatie is hersteld van het incident, is het belangrijk om te evalueren waarom de aanval heeft plaatsgevonden en of er iets is wat de organisatie had kunnen doen om dit te voorkomen. Er kunnen eenvoudige proces- en beleidsverbeteringen zijn die het risico op een soortgelijke aanval in de toekomst zullen verminderen, of het team kan oplossingen voor de langere termijn identificeren om toe te voegen aan een beveiligingsroadmap.

IOC-oplossingen

De meeste inbreuken op de beveiliging laten een forensisch spoor achter in logbestanden en systemen. Door deze IOC's te leren identificeren en monitoren, kunnen organisaties aanvallers snel isoleren en elimineren. Veel teams schakelen over op SIEM-oplossingen, zoals Microsoft Sentinel en Microsoft Defender XDR, die AI en automatisering gebruiken om IOC's naar boven te halen en deze te correleren met andere evenementen. Een incidentresponsplan stelt teams in staat aanvallen voor te zijn en deze snel af te dichten. Als het om cyberbeveiliging gaat, geldt dat hoe sneller bedrijven begrijpen wat er gebeurt, hoe groter de kans is dat ze een aanval kunnen stoppen voordat deze geld kost of hun reputatie schaadt. IOC-beveiliging is essentieel om organisaties te helpen hun risico op een kostbare inbreuk te verminderen.

Meer informatie over Microsoft Beveiliging

Microsoft threat protection

Identificeer incidenten in je hele organisatie en reageer erop met de nieuwste bescherming tegen bedreigingen.

Meer informatie

Microsoft Sentinel

Ontdek geavanceerde bedreigingen en reageer proactief met een krachtige SIEM-oplossing in de cloud.

Meer informatie

Microsoft Defender XDR

Stop aanvallen op eindpunten, e-mail, identiteiten, toepassingen en gegevens met XDR-oplossingen.

Meer informatie

Community voor bedreigingsinformatie

Download de nieuwste updates van de Microsoft Defender-bedreigingsinformatie community-editie.

Meer informatie

Veelgestelde vragen

  • Er zijn verschillende typen IOC's. Enkele van de meest voorkomende zijn:

    • Afwijkingen in netwerkverkeer
    • Ongebruikelijke aanmeldingspogingen
    • Onregelmatigheden in bevoegdhedenaccount
    • Wijzigingen in systeemconfiguraties
    • Onverwachte software-installaties of -updates
    • Talloze aanvragen voor hetzelfde bestand
    • Ongebruikelijke aanvragen voor domeinnaamsystemen

  • Een Indicator of Compromise is digitaal bewijs dat er al een aanval is opgetreden. Een indicator van een aanval is bewijs dat een aanval waarschijnlijk zal optreden. Een phishingcampagne is bijvoorbeeld een indicator van een aanval omdat er geen bewijs is dat de aanvaller het bedrijf gecompromitteerd heeft. Als iemand echter op een phishingkoppeling klikt en malware downloadt, is de installatie van de malware een Indicator of Compromise.

  • Indicators of Compromise in e-mail zijn onder andere een plotselinge stroom spam, vreemde bijlagen of koppelingen of een onverwacht e-mailbericht van een bekende persoon. Als een werknemer bijvoorbeeld een e-mailbericht met een vreemde bijlage verzendt naar een collega, kan dit erop duiden dat zijn of haar account is gecompromitteerd.

  • Er zijn meerdere manieren om een aangetast systeem te identificeren. Een wijziging in het netwerkverkeer van een bepaalde computer kan een indicatie zijn dat er de computer gecompromitteerd is. Als iemand die normaal gesproken geen systeem nodig heeft, er regelmatig toegang toe krijgt, is dat een alarmsignaal. Wijzigingen in de configuraties op het systeem of een onverwachte software-installatie kunnen er ook op duiden dat deze is gecompromitteerd. 

  • Drie IOC-voorbeelden zijn:

    • Een gebruikersaccount dat zich in Noord-Amerika bevindt, begint zich aan te melden bij bedrijfsbronnen uit Europa.
    • Duizenden toegangsaanvragen voor verschillende gebruikersaccounts, wat aangeeft dat de organisatie het slachtoffer is van een beveiligingsaanval.
    • Nieuwe aanvragen voor domeinnaamsystemen die afkomstig zijn van een nieuwe host of een land waar geen werknemers of klanten wonen.

Microsoft volgen