Co to jest Indicator of Compromise?

Indicator of Compromise (wskaźnik kompromitacji) to techniczny artefakt świadczący o tym, że system może być zainfekowany lub zhakowany. IoC obejmują: hasze złośliwych plików, adresy IP serwerów C2, złośliwe domeny, podejrzane wpisy w rejestrze, nietypowe pliki czy anomalie w logach systemowych.

Zespoły bezpieczeństwa wykorzystują IoC do wykrywania zagrożeń, analizy incydentów i proaktywnego wyszukiwania zagrożeń (threat hunting). IoC są wymieniane między organizacjami w ramach threat intelligence.

Dlaczego to ważne? Programy antywirusowe i systemy SIEM wykorzystują IoC do wykrywania znanych zagrożeń. Im szybciej IoC są zidentyfikowane i udostępnione, tym skuteczniejsza jest ochrona wszystkich użytkowników.