O que são IOCs (indicadores de compromisso)?
Aprenda como monitorar, identificar, usar e responder a indicadores de comprometimento.
Indicadores de compromisso explicados
Um IOC (indicador de comprometimento) é uma evidência de que alguém pode ter violado a rede ou o ponto de extremidadede uma organização. Esses dados forenses não apenas indicam uma ameaça potencial, mas sinalizam que um ataque, como malware, credenciais comprometidas ou exfiltração de dados, já ocorreu. Profissionais de segurança pesquisam IOCs em registros de eventos, soluções de XDR (detecção e resposta estendida) e soluções de SIEM (gerenciamento de eventos e informações de segurança). Durante um ataque, a equipe usa IOCs para eliminar a ameaça e mitigar os danos. Após a recuperação, os IOCs ajudam uma organização a compreender melhor o que aconteceu, para que a equipe de segurança da organização possa reforçar a segurança e reduzir o risco de outro incidente semelhante.
Exemplos de IOCs
Na segurança do IOC, a TI monitora o ambiente em busca dos seguintes indícios de que um ataque está em andamento:
Anomalias de tráfego
Na maioria das organizações existem padrões consistentes para o tráfego que entra e sai do ambiente digital. Quando isso muda, como se houver significativamente mais dados saindo da organização ou se houver atividade proveniente de um local incomum na rede, pode ser um sinal de ataque.
Tentativas de entrada incomuns
Assim como o tráfego, os hábitos de trabalho das pessoas são previsíveis. Eles normalmente entram nos mesmos locais e aproximadamente nos mesmos horários durante a semana. Os profissionais de segurança podem detectar uma conta comprometida prestando atenção às entradas em horários estranhos do dia ou em regiões geográficas incomuns, como um país/região onde uma organização não tem escritório. Também é importante observar várias falhas de entradas na mesma conta. Embora as pessoas esqueçam periodicamente suas senhas ou tenham problemas para entrar, geralmente conseguem resolver o problema após algumas tentativas. Tentativas repetidas de entrada malsucedidas podem indicar que alguém está tentando acessar a organização usando uma conta roubada.
Irregularidades em contas privilegiadas
Muitos invasores, sejam eles internos ou externos, estão interessados em acessar contas administrativas e adquirir dados confidenciais. O comportamento atípico associado a essas contas, como alguém tentando aumentar seus privilégios, pode ser um sinal de violação.
Alterações nas configurações dos sistemas
O malware é frequentemente programado para fazer alterações nas configurações dos sistemas, como permitir acesso remoto ou desabilitar software de segurança. Ao monitorar essas alterações inesperadas de configuração, os profissionais de segurança podem identificar uma violação antes que ocorram muitos danos.
Instalações ou atualizações inesperadas de software
Muitos ataques começam com a instalação de software, como malware ou ransomware, projetado para tornar os arquivos inacessíveis ou para fornecer aos invasores acesso ao rede. Ao monitorar instalações e atualizações de software não planejadas, as organizações podem detectar esses IOCs rapidamente.
Numerosas solicitações para o mesmo arquivo
Várias solicitações para um único arquivo podem indicar que um malfeitor está tentando roubá-lo e tentou vários métodos para acessá-lo.
Solicitações Incomuns de Sistemas de Nomes de Domínio
Alguns malfeitores usam uma chamada de método de ataque de comando e controle. Eles instalam malware no servidor de uma organização que cria uma conexão com um servidor de sua propriedade. Em seguida, eles enviam comandos do servidor para o computador infectado para tentar roubar dados ou interromper operações. Solicitações Incomuns de DNS (Sistemas de Nomes de Domínio) ajudam a TI a detectar esses ataques.
Por que os IOCs são importantes
Monitorar os IOCs é fundamental para reduzir o risco de segurança de uma organização. A detecção precoce de IOCs permite que as equipes de segurança respondam e resolvam ataques rapidamente, reduzindo o tempo de inatividade e as interrupções. O monitoramento regular também proporciona às equipes uma maior percepção das vulnerabilidades organizacionais, que podem então ser mitigadas.
Respondendo a indicadores de compromisso
Depois que as equipes de segurança identificam um IOC, elas precisam responder de forma eficaz para garantir o menor dano possível à organização. As etapas a seguir ajudam as organizações a manter o foco e impedir ameaças o mais rápido possível:
Estabeleça um plano de resposta a incidentes
Responder a um incidente é estressante e demorado porque quanto mais tempo os invasores permanecerem sem serem detectados, maior será a probabilidade de atingirem seus objetivos. Muitas organizações desenvolvem um plano de resposta a incidentes para ajudar a orientar as equipes durante as fases críticas de uma resposta. O plano descreve como a organização define um incidente, funções e responsabilidades, as etapas necessárias para resolver um incidente e como a equipe deve se comunicar com os funcionários e as partes interessadas externas.
Isolar sistemas e dispositivos comprometidos
Depois que uma organização identifica uma ameaça, a equipe de segurança isola rapidamente os aplicativos ou sistemas que estão sob ataque do restante das redes. Isso ajuda a impedir que invasores acessem outras partes do negócio.
Realizar análise forense
A análise forense ajuda as organizações a descobrir todos os aspectos de uma violação, incluindo a origem, o tipo de ataque e os objetivos do invasor. A análise é feita durante o ataque para compreender a extensão do comprometimento. Depois que a organização se recupera do ataque, análises adicionais ajudam a equipe a compreender possíveis vulnerabilidades e outros insights.
Eliminar a ameaça
A equipe remove o invasor e qualquer malware dos sistemas e recursos afetados, o que pode envolver a desativação dos sistemas.
Implementar melhorias de segurança e processos
Depois que a organização se recuperar do incidente, é importante avaliar por que o ataque aconteceu e se há algo que a organização poderia ter feito para evitá-lo. Pode haver melhorias simples em processos e políticas que reduzirão o risco de um ataque semelhante no futuro, ou a equipe pode identificar soluções de longo alcance para adicionar a um roteiro de segurança.
Soluções de IOC
A maioria das violações de segurança deixa um rastro forense em arquivos de log e sistemas. Aprender a identificar e monitorar esses IOCs ajuda as organizações a isolar e eliminar rapidamente os invasores. Muitas equipes recorrem a soluções SIEM, como o Microsoft Sentinel e o Microsoft Defender XDR, que usam IA e automação para revelar IOCs e correlacioná-los com outros eventos. Um plano de resposta a incidentes permite que as equipes se antecipem aos ataques e os encerrem rapidamente. Quando se trata de segurança cibernética, quanto mais rápido as empresas entenderem o que está acontecendo, maior será a probabilidade de interromperem um ataque antes que ele lhes custe dinheiro ou prejudique sua reputação. A segurança do IOC é fundamental para ajudar as organizações a reduzir o risco de uma violação dispendiosa.
Saiba mais sobre a Segurança da Microsoft
Proteção contra Ameaças da Microsoft
Identifique e responda a incidentes em sua organização com o que há de mais moderno em proteção contra ameaças.
Microsoft Sentinel
Descubra ameaças sofisticadas e responda de forma decisiva com uma solução SIEM poderosa baseada em nuvem.
Microsoft Defender XDR
Impeça ataques em pontos de extremidade, emails, identidades, aplicativos e dados com soluções XDR.
Comunidade de Informações sobre ameaças
Obtenha as atualizações mais recentes da edição da comunidade de Informações sobre Ameaças do Microsoft Defender.
Perguntas frequentes
-
Há vários tipos de IOCs. Alguns dos mais comuns são:
- Anomalias de tráfego
- Tentativas de entrada incomuns
- Irregularidades em contas privilegiadas
- Alterações nas configurações do sistema
- Instalações ou atualizações inesperadas de software
- Numerosas solicitações para o mesmo arquivo
- Solicitações Incomuns de Sistemas de Nomes de Domínio
-
Um indicador de comprometimento é a evidência digital de que um ataque já ocorreu. Um indicador de um ataque é uma evidência de que é provável que um ataque ocorra. Por exemplo, uma campanha de phishing é um indicador de ataque porque não há provas de que o invasor tenha violado a empresa. No entanto, se alguém clicar num link de phishing e descarregar malware, a instalação do malware é um indicador de comprometimento.
-
Os indicadores de comprometimento no email incluem uma inundação repentina de spam, anexos ou links estranhos ou um email inesperado de uma pessoa conhecida. Por exemplo, se um funcionário enviar a um colega de trabalho um email com um anexo estranho, isso pode indicar que sua conta foi comprometida.
-
Há várias maneiras de identificar um sistema comprometido. Uma alteração no tráfego de rede de um determinado computador pode ser um indicador de que ele foi comprometido. Se uma pessoa que normalmente não precisa de um sistema começar a acessá-lo regularmente, isso é um sinal de alerta. Alterações nas configurações do sistema ou uma instalação inesperada de software também podem indicar que ele foi comprometido.
-
Três exemplos de IOCs são:
- Uma conta de usuário baseada na América do Norte começa a entrar nos recursos da empresa na Europa.
- Milhares de solicitações de acesso em diversas contas de usuários, indicando que a organização foi vítima de um ataque de força bruta.
- Solicitações de novos Sistemas de Nomes de Domínio provenientes de um novo host ou de um país/região onde funcionários e clientes não residem.
Siga a Segurança da Microsoft