Che cosa sono gli indicatori di compromissione?

Gli indicatori di compromissione(IoC) sono la prova che si è verificato un attacco informatico. Gli IoC forniscono preziose informazioni su quanto successo, ma possono essere usati anche per prepararsi al futuro e prevenire attacchi simili. I software antimalware e tecnologie di sicurezza simili utilizzano indicatori di compromissione noti, ad esempio la firma di un virus, come misura di protezione proattiva dalle minacce evasive. Gli indicatori di compromissione possono essere usati anche nell’analisi euristica.

Un attacco malware può lasciare tracce della sua attività nei file di sistema e di registro; si tratta dei cosiddetti IoC, ovvero indicatori di compromissione, che lasciano nella rete artefatti altrimenti non visibili in tempo reale e suggerire attività potenzialmente dannose in atto. Se viene identificata una violazione della sicurezza, i professionisti IT raccolgono gli IoC o "dati forensi" da questi file. I moderni sistemi antimalware utilizzano indicatori di compromissione noti per rilevare precocemente infezioni da malware, violazioni dei dati e altre attività che minacciano la sicurezza, consentendo alle organizzazioni di assumere misure proattive nella prevenzione degli attacchi e nella protezione dei dati e dei sistemi IT.

In materia di sicurezza, l'efficacia di Advanced Malware Detection di Forcepoint non teme rivali. L’ispezione avanzata dei contenuti rintraccia anche le minacce altamente evasive, rilevando attività a molteplici livelli, i codici inattivi e altri indicatori di compromissione spesso ignorati dalle tradizionali tecnologie di sicurezza con sandbox.

Le violazioni della sicurezza possono assumere molte forme diverse: pattern di rete anomali, comportamenti insoliti degli utenti, modifiche impreviste o inspiegabili di una configurazione e nuovi file sconosciuti nei sistemi possono essere tutti sintomi di una violazione.

Ecco alcuni degli IoC più comuni usati oggi:

Anomalie del traffico di rete in uscita

Forse uno dei segni rivelatori più comuni di una violazione di sicurezza sono le anomalie dei pattern e dei volumi del traffico di rete. Oltre ad analizzare il traffico in ingresso nella rete, è necessario monitorare anche il traffico in uscita. I cambiamenti nel traffico in uscita, infatti, possono indicare un attacco in corso nella rete. L'approccio migliore consiste nel monitorare tutte le attività in corso nella rete, sia in ingresso che in uscita.

Irregolarità geografiche

Hai mai ricevuto dall'operatore del tuo servizio e-mail un messaggio che segnalava un accesso alla tua inbox da un altro Paese? In questo caso sai cos’è un’irregolarità geografica e conosci il valore degli indicatori di compromissione per proteggere i tuoi dati e le informazioni personali.

Immagina, quindi, quanto possono essere preziosi per un’azienda gli IoC che monitorano le irregolarità geografiche. Queste irregolarità nei pattern di accesso possono essere utili per dimostrare che sono in atto delle attività criminali da un altro Paese o continente.

Anomalie degli account utente con privilegi

Un hacker che riesce ad accedere a un account con privilegi elevati ha praticamente vinto una lotteria! Questo tipo di attacco di solito avviene attraverso l’infiltrazione in account con privilegi amministrativi oppure aumentando i privilegi per gli account che l’aggressore ha già forzato. I cambiamenti nelle attività di un account, ad esempio nel volume di informazioni consultate o modificate oppure nel tipo di sistema a cui si è avuto accesso, sono IoC utili da monitorare.

Aumento sostanziale del volume di dati letti da un database

La maggior parte delle organizzazioni conserva i dati più confidenziali e i dati personali in formato di database. Per questo motivo, i database saranno sempre un bersaglio primario per gli aggressori. Un aumento repentino nel volume delle letture dei dati di un database è un buon indicatore di un tentativo di infiltrazione da parte di un aggressore.