• Cursos
    • Para Pessoa Física​
        • Cyber Defense
          • ENTRY-LEVEL
            • From IT to Cyber
            • Network & Cybersecurity Essentials
            • Cybersecurity Foundation
            • Bootcamp Cyber Hero
          • INTERMEDIATE
            • Cybersecurity Associate
            • Cybersecurity Specialist L1
          • ADVANCED
            • SIEM Operation
            • Cybersecurity Specialist L2
            • Border & Internal Infra
            • Incident Response
        • AppSec
          • ENTRY-LEVEL
            • Secure Development Foundation
          • INTERMEDIATE
            • Secure Development Associate
          • ADVANCED
            • Secure Development Professional
        • CompTIA
            • CompTIA Security+
            • CompTIA Network+
            • CompTIA CySA+
        • EC-Council
            • EHE – Ethical Hacking Essentials
            • CEH v12 Certified Ethical Hacker
    • Para Empresas
        • Cyber Defense
          • ENTRY-LEVEL
            • From IT to Cyber
            • Network & Cybersecurity Essentials
            • Cybersecurity Foundation
          • INTERMEDIATE
            • Cybersecurity Associate
            • Cybersecurity Specialist L1
            • SOC Analyst Onboarding
            • Análise e Gestão de Vulnerabilidades
          • ADVANCED
            • SIEM Operation
            • Cybersecurity Specialist L2
            • Border & Internal Infra
            • Incident Response
          • EXPERT
            • Cybersecurity Specialist L3
            • Incident Response Advanced
            • Threat Hunting & Threat Intel
            • Forensics Analyst Formation
            • Defense Analyst Formation
          • LAB SESSION​
            • Nível 1
            • Nível 2
            • Nível 3
          • ASSESSMENT
            • Avaliação de candidatos e equipes
        • AppSec
          • BASIC
            • Application Security Essentials
            • Secure Development Foundation
          • INTERMEDIATE
            • Secure Development Associate
          • ADVANCED
            • Secure Development Professional
            • DevSecOps
        • Cloud Security
            • Cloud Security Essentials
            • Cloud Security Foundation
        • IAM/Security Administration
            • Administração do Active Directory
            • IAM: Identity and Acess Management
            • IAM para Mainframe com RACF
            • Administração RACF
        • GRC/Gestão
            • GRC – Governance, Risk and Compliance
            • C-Level/Management Workshop
            • Security Architecture Foundation
            • Segurança da Informação para Colaboradores
            • Segurança em Trabalho Remoto
            • Segurança em Mainframe para Gestores
        • Sob Encomenda
            • Cyber Financial & Cryptocurrency Crimes
            • Cryptography – Advanced
            • Malware Anatomy
            • SOAR
            • PIX/Open Banking
        • CompTIA
            • CompTIA Security+
            • CompTIA Network+
            • CompTIA CySA+
        • EC-Council
            • EHE – Ethical Hacking Essentials
            • CEH v12 Certified Ethical Hacker
  • Bootcamp Cyber Hero
  • Prep & Placement
  • Cyber Range
  • Conteúdos
    • Aulas Gratuitas
    • Pílulas de Conhecimento
    • Dicas de Carreira
    • Artigos e Notícias
  • A CECyber
    • Quem Somos
    • Metodologia
    • Parceiros
  • Contato
JÁ SOU ALUNO
Indicadores de Ataque (IoA) vs Indicadores de Comprometimento (IoC)
  • Artigos e Notícias

O que é um Indicador de Ataque (IoA)?

Independentemente do malware ou exploit usado em um ataque, os indicadores de ataque (IoA) se concentram em detectar a intenção do que um invasor está tentando realizar. Uma abordagem de detecção baseada em IoC, como assinaturas de Antivírus, é incapaz de detectar os perigos crescentes de invasões de malware e vulnerabilidades de dia zero. Os sistemas que detectam IoAs, por outro lado, trabalham em tempo real para detectar explorações à medida que ocorrem, em vez de conduzir investigações posteriores para descobrir os sinais de uma violação. Esses sistemas são capazes de:

  • Detectar técnicas de exploração
  • Garantir que se tenha visibilidade em tempo real de todo o seu ambiente
  • São agnósticos em relação a vulnerabilidades individuais
  • A detecção baseada em IoA analisa o comportamento de um invasor, independentemente de o invasor estar utilizando um ataque conhecido ou desconhecido, para encontrar explorações e ataques desconhecidos ou em desenvolvimento. Como um invasor não precisa de malware para invadir seu sistema, uma solução baseada em IoA é ótima para capturar criminosos antes que eles ultrapassem suas defesas.

O que é um Indicador de Comprometimento (IoC)?

Na indústria forense, um indicador de comprometimento (IoC) é uma evidência em um computador que sugere que a segurança da rede foi comprometida. Os investigadores geralmente coletam essas informações depois de serem notificados de um incidente suspeito, regularmente, ou depois de descobrir chamadas de rede estranhas. Esses dados são coletados idealmente para desenvolver sistemas “mais inteligentes” que possam detectar e colocar em quarentena arquivos suspeitos no futuro. Os sistemas que funcionam detectando IoCs são reativos. Eles examinam os eventos depois que eles ocorreram, essencialmente identificando os problemas depois que eles ocorreram. Marcadores específicos após o fato são incluídos nos IoCs para certificar uma violação das defesas de uma empresa, como:

  • Endereços IPs, Domínios e Arquivos são exemplos de IoCs.
  • Ataques conhecidos por se comportarem de uma maneira específica.
  • Foco em ferramentas de comando e controle (CNC) e pós-exploração.
  • Devido à maneira óbvia como são configurados, os sistemas baseados em IoCs podem gerar muitos falsos positivos, mesmo quando mostram que um agente de ameaça penetrou em um sistema. Além disso, os IoCs são reativos por natureza, entrando em ação somente após a ocorrência de um comprometimento, deixando uma operação suscetível.

Qual é mais eficaz? IoC ou IoA?

Como dito acima, o IoC será recolhido após a exploração. Como analista de SOC, é importante coletar todos esses IoCs, como IPs, Domínios etc., e os bloquear em nossos perímetros de firewall. Não há uma regra que identifique que os invasores usarão o mesmo IoC em outra exploração. Os IoCs mudam regularmente. Mas o padrão de como eles estão atacando será o mesmo na maioria dos casos. Por exemplo, as tentativas do Phishing Emotet usaram o mesmo padrão de e-mail de phishing para espalhar o malware em todo o mundo. Isso é conhecido como IoA. Em geral, considera-se que o IoA é mais eficaz do que o IoC. No entanto, não devemos subestimar o valor do IoC porque eles têm seu próprio conjunto de vantagens na detecção de Incidentes Cibernéticos.


Fonte: Adaptado do texto original por CrowdStrike.

Por Almir Meira Alves, Diretor Acadêmico da CECyber

 

cybersecurityIoAIoC

Deixe um comentário Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

Posts recentes

  • O que é o Mitre Att&ck?
  • Como ingressar na área de Cibersegurança?
  • O que é um ataque de força bruta?
  • Cores dos times de Cibersegurança
  • O que são a Análise e a Gestão de Vulnerabilidades?
Redação CECyber 8 de julho de 2022
No Comment
From IT to Cyber: torne-se um profissional da cibersegurança!
CECyber no maior festival hacker da América Latina

[email protected]

Av. Marquês de São Vicente, 576, 7º andar - Várzea da Barra Funda - São Paulo/SP - CEP 01139-000

(11) 99440-7801

Segunda a Sexta das 9h às 18h (exceto feriados)

  • Quem Somos
  • Cursos Empresas
  • Cyber Range
  • Dicas de Carreira
  • Para Você
  • Quem Somos
  • Cursos Empresas
  • Cyber Range
  • Dicas de Carreira
  • Para Você
Linkedin-in Facebook-f Instagram Youtube
Termos e Condições
Política de Privacidade
© Copyright - CECyber - Todos os direitos reservados.