O que é um Indicador de Ataque (IoA)?
Home » Artigos e Notícias »Independentemente do malware ou exploit usado em um ataque, os indicadores de ataque (IoA) se concentram em detectar a intenção do que um invasor está tentando realizar. Uma abordagem de detecção baseada em IoC, como assinaturas de Antivírus, é incapaz de detectar os perigos crescentes de invasões de malware e vulnerabilidades de dia zero. Os sistemas que detectam IoAs, por outro lado, trabalham em tempo real para detectar explorações à medida que ocorrem, em vez de conduzir investigações posteriores para descobrir os sinais de uma violação. Esses sistemas são capazes de:
- Detectar técnicas de exploração
- Garantir que se tenha visibilidade em tempo real de todo o seu ambiente
- São agnósticos em relação a vulnerabilidades individuais
- A detecção baseada em IoA analisa o comportamento de um invasor, independentemente de o invasor estar utilizando um ataque conhecido ou desconhecido, para encontrar explorações e ataques desconhecidos ou em desenvolvimento. Como um invasor não precisa de malware para invadir seu sistema, uma solução baseada em IoA é ótima para capturar criminosos antes que eles ultrapassem suas defesas.
O que é um Indicador de Comprometimento (IoC)?
Na indústria forense, um indicador de comprometimento (IoC) é uma evidência em um computador que sugere que a segurança da rede foi comprometida. Os investigadores geralmente coletam essas informações depois de serem notificados de um incidente suspeito, regularmente, ou depois de descobrir chamadas de rede estranhas. Esses dados são coletados idealmente para desenvolver sistemas “mais inteligentes” que possam detectar e colocar em quarentena arquivos suspeitos no futuro. Os sistemas que funcionam detectando IoCs são reativos. Eles examinam os eventos depois que eles ocorreram, essencialmente identificando os problemas depois que eles ocorreram. Marcadores específicos após o fato são incluídos nos IoCs para certificar uma violação das defesas de uma empresa, como:
- Endereços IPs, Domínios e Arquivos são exemplos de IoCs.
- Ataques conhecidos por se comportarem de uma maneira específica.
- Foco em ferramentas de comando e controle (CNC) e pós-exploração.
- Devido à maneira óbvia como são configurados, os sistemas baseados em IoCs podem gerar muitos falsos positivos, mesmo quando mostram que um agente de ameaça penetrou em um sistema. Além disso, os IoCs são reativos por natureza, entrando em ação somente após a ocorrência de um comprometimento, deixando uma operação suscetível.
Qual é mais eficaz? IoC ou IoA?
Como dito acima, o IoC será recolhido após a exploração. Como analista de SOC, é importante coletar todos esses IoCs, como IPs, Domínios etc., e os bloquear em nossos perímetros de firewall. Não há uma regra que identifique que os invasores usarão o mesmo IoC em outra exploração. Os IoCs mudam regularmente. Mas o padrão de como eles estão atacando será o mesmo na maioria dos casos. Por exemplo, as tentativas do Phishing Emotet usaram o mesmo padrão de e-mail de phishing para espalhar o malware em todo o mundo. Isso é conhecido como IoA. Em geral, considera-se que o IoA é mais eficaz do que o IoC. No entanto, não devemos subestimar o valor do IoC porque eles têm seu próprio conjunto de vantagens na detecção de Incidentes Cibernéticos.
Fonte: Adaptado do texto original por CrowdStrike.
Por Almir Meira Alves, Diretor Acadêmico da CECyber
Comments are closed.