Kompromittierungsindikatoren (Indicators of Compromise, IOCs)

Verschaffen Sie sich den nötigen Kontext, um einen bevorstehenden Angriff zu erkennen.

Mehr über Threat Command

Inhaltsübersicht

Was sind Kompromittierungsindikatoren (Indicators of Compromise, IOCs)? 

Kompromittierungsindikatoren (Indicators of Compromise, IOCs) sind Kontextinformationen, die bei forensischen Analysen erkannt werden und Analysten vor zurückliegenden bzw. laufenden Angriffen, Netzwerkverstößen oder Malware-Befall warnen sollen. Diese spezifischen Anhaltspunkte – oder Artefakte – werden oft als missbräuchlich verwendete IP-Adressen, URLs, Domains oder Hashes wahrgenommen. Sicherlich ist es von Vorteil, vor IOCs gewarnt zu werden, damit Sie über einen möglichen Verstoß Bescheid wissen. Sehr oft fehlt den IOCs jedoch der Kontext, mit dem ein Security Operations Center (SOC) eine Priorisierung und schnelle Reaktion zum Schutz vor einem Verstoß vornehmen kann.

Auch wenn das Akronym IOC in der Cybersecurity-Community weit verbreitet ist, bezieht sich der Begriff „Indicator of Compromise“ im Allgemeinen auf jede Art von Threat Intelligence, die auf ein ungewöhnliches Ereignis hinweisen könnte. Zusätzlich zu den bereits genannten Szenarien identifiziert ein IOC in der Regel auch Abweichungen im Netzwerk-Traffic, Ransomware-Angriffe oder Anomalien beim Identity and Access Management (IAM).

Wenn Systeme außerhalb des normalen Baseline-Bereichs liegende Aktivitäten melden, können die Teams anhand von Kontextinformationen die Art des potenziellen Angriffs ermitteln und Sicherheitsmaßnahmen wie Verfahren und Geräte zur Malware-Abwehr präzisieren, die SIEM-Konfiguration anpassen und gründlichere und effizientere Untersuchungen anstellen.

Laut Forrester integrieren viele Cybersecurity-Anbieter inzwischen Feeds mit IOC-Sicherheitsinformationen in zahlreiche Unternehmensbereiche. So können IOCs nativ direkt im Sicherheitstool erkannt werden, ohne dass ein separater IOC-Feed verwendet werden muss.

Wie werden IOCs identifiziert? 

Bei der Erkennung von IOCs werden Analysen und Threat Intelligence ausgewertet, um anomale Verhaltensweisen zu identifizieren, die gefährlich sein könnten – oder auch nicht. Die Analysten und Ermittler müssen sich auch hier stark auf den Kontext verlassen können, um Fortschritte zu erzielen.

Doch nicht alle Prozesse zur Identifizierung von Frühindikatoren für eine bevorstehende Kompromittierung sind gleich oder auch nur ähnlich. Sie sind spezifisch für das jeweilige Unternehmen und den Anwendungsfall. Sehen wir uns einige gängige Methoden der IOC-Identifizierung genauer an:

  • Betriebssystemspezifische Mechanismen für die Persistenz von Malware und Methoden zur Prozessinjektion: Diese Strategie erkennt Verhaltens- und Kommunikationsanomalien durch die Überprüfung aktuell laufender Prozesse, geplanter Aufgaben und gängiger Verstecke auf. 
  • Laterale Bewegung von Angreifern: Diese Strategie enthüllt Angreiferpfade durch Threat Intelligence und Analysen des Benutzerverhaltens in Echtzeit. 
  • Verbreitete Angreifer-Tools: Diese Strategie prüft mutmaßliche Kompromittierungen durch die Suche nach Beweisen für Angreiferaktivitäten, einschließlich veränderter Registry-Schlüssel oder hinterlassener Ausführungsdateien. 
  • Aus Untersuchungen abgeleitete Indikatoren: Diese Strategie bewertet eine umfassende Liste von Kompromittierungsindikatoren wie Anomalien bei privilegierten Nutzerkonten, geografische Auffälligkeiten oder verdächtige Registry-Veränderungen. 
  • Umgebungsspezifische Aspekte: Diese Strategie identifiziert alle Artefakte in der Kill-Chain, indem die Umgebung und die Beziehungen zwischen den Nutzern, Hosts und Prozessen in Ruhe untersucht werden.

Beispiele für IOCs 

Da IOCs im Grunde Anhaltspunkte sind, die in Verbindung mit digitalen forensischen Untersuchungen Hinweise auf schädliche Vorgänge geben können, kommen sie in den verschiedensten Varianten vor. Dies sind einige Beispiele für IOCs, bei denen die Alarmglocken läuten sollten: 

  • Bekanntlich schädliche IP-Adressen: Dieser IOC ist recht häufig und kann kurzlebig sein, da bösartige Akteure ihre IP-Adresse häufig ändern. 
  • Schädliche harte Werte: Diese helfen bei der Identifizierung von Viren und Angriffsversuchen. Sicherheitsteams können bösartige Hashes proaktiv auf die schwarze Liste setzen, wenn ihre Bedrohungsinformationen solide sind. 
  • Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs): TTPs umfassen Dinge wie Malware, Cryptojacking (Verwendung Ihrer Assets zum Mining von Kryptowährungen) und die Exfiltration vertraulicher Daten. 
  • Domains: DNS-Logs (Domain Name Server) zeigen anomalen Anfrage-Traffic normalerweise auf, was bei regelmäßigem Auftreten ein starker IOC sein kann. 
  • Netzwerk-Artefakte: Ob Nutzerkonten, Logs oder Fehlkonfigurationen – es gibt viele Beispiele für Artefakte, die ein Threat Hunter als IOC einstufen könnte und die er sich daher genauer ansehen sollte. 
  • Erfolgreiche Anmeldung nach mehreren Fehlversuchen: Nur weil sich ein Nutzer oder möglicherweise eine Maschine erfolgreich im Netzwerk anmelden konnte, heißt das noch lange nicht, dass sie auch das Recht dazu haben. Ein erstes Anzeichen dafür wäre, wenn die Anmeldung erst nach mehreren Fehlversuchen erfolgreich war.
  • Verlangsamung des Netzwerks: Ein langsameres Netzwerk kann ganz harmlose Gründe haben. Es könnte jedoch auch auf verstärkte Aktivitäten hinweisen, z. B. in Form von Angriffsverhalten. 
  • Exfiltration an einen unbekannten, netzwerkfremden Ort: Eine Untersuchung der Prozess-Logs sowie der Ausgabe und Konfiguration von Jobs kann Hinweise auf die Exfiltration bzw. Kompromittierung von Daten liefern. 

Kompromittierungsindikatoren vs. Angriffsindikatoren

Es existieren mehrere sich überschneidende Konzepte zwischen Kompromittierungs- (IOCs) und Angriffsindikatoren (IOAs). Um nachzuvollziehen, warum ein Problem als IOC oder IOA eingestuft wurde, hilft es, die wichtigsten Unterschiede genauer zu betrachten . 

IOCs sind in der Regel Artefakte

Wir haben das Thema Artefakte bereits angesprochen, aber etwas mehr Kontext ist sicherlich hilfreich. Artefakte sind in der Regel historischer Natur. Es handelt sich dabei um digitale Spuren eines bösartigen Ereignisses, das bereits stattgefunden hat. Sie werden durch die Durchführung von Bedrohungsjagden auf der Grundlage spezifischer Informationen gefunden. Sicherheitsanalysten und Threat Hunter können auch externe Artefakt-Bibliotheken zu Rate ziehen, um sich damit vertraut zu machen, worauf sie in ihren eigenen Netzwerken achten müssen.

Wurden Artefakte gefunden, die auf einen potenziellen Verstoß oder eine laufende Bedrohung hinweisen, können die Teams einen Incident Response Plan in Kraft setzen. Je schneller Sicherheitsexperten wissen, dass eine Kompromittierung tatsächlich stattgefunden hat, desto schneller können sie den Sachverhalt ermitteln, reagieren und hoffentlich auch besser einschätzen, nach welchen Arten von Artefakten sie in Zukunft Ausschau halten müssen.

IOAs deuten in der Regel auf einen bevorstehenden Angriff hin 

IOAs tragen dazu bei, dass Angriffe nicht in die Geschichte Ihres Unternehmens eingehen. Sie sind Anzeichen dafür, dass ein Angriff unmittelbar bevorstehen könnte. Mit IOAs können Teams eine offensivere Haltung einnehmen und anhand von Telemetriedaten für die erweiterte Erkennung und Abwehr (XDR) von Bedrohungen handeln, die über den Netzwerkrand hinausgehen, da die Angriffsfläche immer größer wird.

Werden IOAs richtig interpretiert, können Teams nicht nur auf zukünftige oder laufende Verstöße reagieren, sondern auch die möglichen Aktivitäten eines Angreifers und seine nächsten Schritte vorhersagen. Das kann bei der Priorisierung von Abwehr- und Abhilfemaßnahmen mit Blick auf die angegriffenen Systeme und die Daten, auf die zugegriffen wird und/oder die exfiltriert werden sollen, äußerst hilfreich sein.

Welche Vorteile haben IOCs? 

IOCs haben viele Vorteile. Sie können Unternehmen vor allem bei der Behebung von Verstößen helfen und vielleicht auch Anhaltspunkte für das Verhalten von Angreifern liefern, auf das Sie in Zukunft achten sollten. Nachfolgend einige weitere Vorteile: 

  • Abwehr fortgeschrittener Angriffe: IOCs sind in der Regel Artefakte eines Angriffs, der bereits stattgefunden hat. Sie könnten aber auch ein Hinweis auf den Abschluss einer Stufe eines noch laufenden größeren Angriffs sein, der durchaus noch abgewehrt werden könnte.
  • Standardisierung der Priorisierung: IOCs können für sich genommen nützlich sein. Allerdings ist es immer hilfreich, den größtmöglichen Kontext zu haben. So gewinnen Sie nicht nur ein klareres Bild vom Verhalten der Angreifer, sondern können auch priorisieren, welche Maßnahmen zuerst zu ergreifen sind und wie Sie den Angriff am besten aufhalten oder sich auf den nächsten vorbereiten können. Viele Lösungen haben eine integrierte Funktion zur Kontextanreicherung von IOCs, damit sich die Teams auf die kritischsten Schwachstellen konzentrieren können.
  • Verhinderung von Warnungsermüdung: Eine solide Lösung zur Risikominderung sollte IOCs in automatisierte Abwehrpläne einbinden können, damit die Sicherheitsteams von den Datenanalysen nicht überwältigt werden und dadurch möglicherweise eine ernste Bedrohung übersehen.
  • Erstellung benutzerdefinierter Warnmeldungen: Wenn ein Team die IOCs eines Unternehmens kennt, kann es spezifische und individuelle Warnmeldungen in einer Plattform oder Technologie erstellen, damit es sofort weiß, wenn bedenkliche Artefakte gefunden werden.

Welche Bedeutung haben IOCs für ein effektives verwaltetes Erkennungs- und Abwehrprogramm? 

IOCs sind ein wichtiger Faktor für ein effektives verwaltetes Erkennungs- und Abwehrprogramm (Managed Detection and Response, MDR), da ein MDR-Anbieter im gesamten Ökosystem seiner Kunden IOCs identifizieren können muss.

Dadurch können die Anbieter Trends im Angriffsverhalten erkennen, die Netzerkennung bei der Entdeckung von IOCs ausbauen, Pläne für die Vorfallsreaktion erstellen und diese Informationen an ihre Kunden weitergeben, damit diese die IOC-Daten in ihre eigenen Sicherheitstechnologien integrieren können.

MDR-Programme sollten auch die Effizienzgewinne und Kosteneinsparungen berücksichtigen, die sich aus der Nutzung von IOCs für die Abwehr von Verstößen ergeben können. Die Kundenzufriedenheit ist ebenfalls ein Wachstumstreiber. Dies gilt insbesondere nach der erfolgreichen Implementierung eines vom MDR-Anbieter empfohlenen Plans oder nachdem ein Anbieter IOCs automatisch getestet und auf Kundenprotokolle angewendet hat, damit beim Auftreten dieser Indikatoren in ihren Netzwerken Warnmeldungen erzeugt werden.

Die Kombination all dieser Aspekte hilft MDR-Anbietern, ihre Kunden an sich zu binden, die eigenen Abläufe zu verbessern und die breitere Sicherheitscommunity durch den Austausch von Erkenntnissen zu stärken.

Mehr erfahren

Verwandte Themen

Threat Intelligence

Detection & Response
Lesen

User and Entity Behavior Analytics (UEBA)

Detection & Response
Lesen

Gartner Magic Quadrant für SIEM

Detection & Response
Lesen

Extended Detection and Response (XDR)

Detection & Response
Lesen

Der Leitfaden für das Dark Web

Detection & Response
Lesen

Zero-Trust-Sicherheit

Detection & Response
Lesen

Was ist SIEM und wie funktioniert es?

Detection & Response
Lesen

Incident Response

Detection & Response
Lesen

Analyse des Netzwerkverkehrs

Detection & Response
Lesen

Network Detection and Response (NDR)

Detection & Response
Lesen

Das MITRE ATT&CK Framework

Detection & Response
Lesen

Threat Detection

Detection & Response
Lesen
Weitere Themen anzeigen Weitere Themen anzeigen