Quels sont les indicateurs de compromission ?

Sophos XDR Essai gratuit

Les indicateurs de compromission (IOC) sont souvent considérés comme des « fils d’Ariane numériques ». Ils sont autant de preuves indiquant qu’une cyberattaque est en cours d’exécution. Par ailleurs, ils apportent des informations sur les outils utilisés lors d’une cyberattaque, sur les auteurs de l’attaque, etc. 

À propos des indicateurs de compromission

Les équipes de sécurité exploitent les indicateurs de compromission pour détecter les activités malveillantes ou les menaces. Ces indicateurs peuvent être intégrés dans le système de surveillance des risques liés à la cybersécurité de votre entreprise. Ils peuvent vous aider à mettre fin à une cyberattaque déjà engagée. Par ailleurs, les IOC permettent de détecter et de bloquer les ransomwares, les logiciels malveillants et autres cybermenaces avant qu’ils ne provoquent des violations de données.

Comment fonctionnent les indicateurs de compromission ?

Chaque attaque lancée contre une entreprise par un cybercriminel laisse une empreinte numérique derrière elle. C’est ainsi que votre équipe de sécurité peut détecter une activité cybercriminelle dans votre système et vos fichiers journaux à la suite d’une cyberattaque. À ce stade, votre équipe peut recueillir des données numériques issues de ces systèmes et fichiers à des fins d’analyse forensique. À partir de là, celle-ci peut déterminer si une cyberattaque ou une violation de données est en cours ou s’est déjà produite.

Votre équipe de sécurité peut rechercher des indicateurs de compromission dans l’ensemble de votre infrastructure informatique. Vous pouvez également faire appel à un fournisseur de services de sécurité managés (MSSP) qui se chargera de rechercher les IOC à votre place. Dans ces deux cas, des technologies et des outils avancés seront employés pour explorer et analyser le trafic réseau et d’autres sources à la recherche d’indicateurs de compromission. Toute activité suspecte identifiée sera isolée en conséquence.

Types d’indicateurs de compromission

Réseau

Les IOC réseau comprennent des profils de trafic inhabituels, des connexions à des adresses IP ou des domaines malveillants, ou d’autres signes d’activité suspecte sur un réseau. Les systèmes de détection d’intrusion (IDS), les systèmes de gestion des informations et des informations de sécurité (SIEM) et d’autres outils de surveillance du réseau peuvent être utilisés pour détecter ces IOC.

Basé sur l’hôte

Il s’agit notamment d’activités inhabituelles liées aux fichiers, de modifications des paramètres de configuration du système et d’autres activités suspectes sur un ordinateur ou un système. Votre entreprise peut détecter les IOC basés sur l’hôte grâce à des systèmes EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) et d’autres solutions de sécurité Endpoint.

Basé sur fichier

Les indicateurs de compromission basés sur fichier signalent la présence de fichiers système malveillants ou de logiciels malveillants. Parmi les exemples d’IOC basés sur fichier, on peut citer les hachages, noms de fichiers et chemins d’accès suspects. Les outils EDR et sandboxing sont couramment utilisés pour détecter les IOC basés sur fichier.

Comportemental

Les indicateurs comportementaux de compromission, tels que les multiples tentatives ratées de connexion ou les horaires de connexion inhabituels, signalent une activité suspecte de la part d’un utilisateur sur un système ou un réseau. Les outils de surveillance des utilisateurs, tels que les solutions d’analyse du comportement des utilisateurs et des entités (UEBA), peuvent être utilisés pour identifier ce type d’IOC.

Exemples d’indicateurs de compromission

  • Une augmentation ou un ralentissement du trafic réseau ou toute autre activité inhabituelle du trafic réseau sortant.
  • Escalade des privilèges d’accès utilisateur pour un compte spécifique, utilisation d’un compte pour accéder à d’autres comptes qui fournissent à l’utilisateur des privilèges supplémentaires, ou autres anomalies liées à des comptes utilisateur privilégiés
  • Connexions à des comptes provenant de l’extérieur du pays où est établie votre entreprise
  • Multiples tentatives ratées de connexion sur un même compte
  • Demandes multiples d’accès à un seul fichier
  • Utilisation d’un port réseau qui n’était pas utilisé auparavant
  • Modifications non autorisées apportées à votre registre ou à vos fichiers système
  • Requêtes DNS (système de noms de domaine) qui surviennent soudainement et sans avertissement

Cycle de vie des indicateurs de compromission

1. Détection

Votre entreprise peut détecter les indicateurs de compromission :

  • En examinant les journaux système.
  • En analysant le trafic réseau.
  • En exécutant des analyses de sécurité.
  • En recueillant les alertes de sécurité provenant des appareils et des logiciels.

2. Évaluation

Il existe de nombreux outils et technologies que vous pouvez utiliser pour en savoir plus sur une menace potentielle, notamment :

  • Analyse du trafic réseau
  • Analyse des malwares
  • Analyse du système
  • Renseignements sur les menaces

3. Partage

Une fois que vous avez identifié des IOC, vous pouvez les diffuser à vos employés, aux organismes chargés de l’application de la loi ou à d’autres entreprises de votre secteur. Ce partage d’informations vous permettra de :

  • Trouvez de nouveaux moyens de vous protéger contre les menaces.
  • Repérer les tendances et les constantes des cyberattaques.
  • Accélérer la réponse aux incidents et la remédiation.

4. Déploiement

À ce stade, vous pouvez déployer des contrôles de sécurité afin d’améliorer votre posture en matière de cybersécurité. Il est conseillé de mettre en place plusieurs niveaux de contrôle afin d’optimiser votre cyberprotection.

5. Détection et réponse

Vous pouvez utiliser divers outils et techniques pour traquer les IOC. Si un IOC est identifié, vous pouvez :

  • Isoler le système ou le réseau affecté afin de prévenir la propagation de la menace.
  • Bloquer le trafic réseau suspect, mettre en quarantaine les systèmes infectés ou prendre d’autres mesures pour contrer la menace.
  • Informer les parties prenantes concernées de l’incident et des mesures prises pour y remédier.

6. Fin de vie (EOL)

Un IOC arrive en fin de vie lorsque vous êtes parvenu à le neutraliser. Les facteurs pouvant conduire à la perte de pertinence d’un IOC sont notamment les suivants :

  • Changements technologiques : Un IOC peut devenir obsolète du fait que certaines technologies ne sont plus utilisées.
  • Évolution du paysage des menaces : La nature des menaces auxquelles vous pouvez être confronté est le reflet du paysage des cybermenaces au sens large : elle est en constante évolution.
  • Améliorations de la sécurité : Les IOC peuvent devenir redondants ou inutiles lorsque vous investissez dans des outils ou des technologies de sécurité de pointe.      

Qu’est-ce qu’un indicateur d’attaque (IOA) ?

Un indicateur d’attaque (IOA) désigne tout élément indiquant qu’un cybercriminel se prépare à attaquer votre entreprise. Pour comprendre le fonctionnement d’un IOA, prenons un exemple.

Dans le cadre d’une attaque de phishing, les cybercriminels cherchent à inciter leur cible à cliquer sur un lien ou à ouvrir un document qui infectera son appareil. Pour cela, ils doivent trouver des cibles potentielles et réfléchir à la manière d’attirer leur attention. De même, les attaquants doivent suivre plusieurs étapes en vue d’amener les victimes à télécharger des logiciels malveillants.

Les IOA indiquent les étapes que les cybercriminels doivent suivre pour lancer leurs attaques. En prêtant attention à ces étapes, votre entreprise sera en mesure de combler ses lacunes en matière de sécurité. Plus important encore, les IOA peuvent vous permettre de stopper les cyberattaques dès leur lancement ou avant même qu’elles ne se produisent.

Exemples d’indicateurs d’attaque

  • Communication entre des serveurs publics qui ne communiquent généralement pas entre eux
  • Communication entre des hôtes internes et des destinataires situés en dehors du pays où opère votre entreprise
  • Connexions à des ports non standard
  • Malware qui réapparaît quelques minutes après avoir été supprimé d’un appareil infecté
  • Connexion utilisateur émanant de différentes régions

Différence entre les indicateurs de compromission et les indicateurs d’attaque

Les indicateurs de compromission sont des preuves qui montrent qu’une cyberattaque est en cours d’exécution ou s’est déjà produite. Pour pouvoir détecter un ou plusieurs IOC, il faut qu’une attaque visant votre entreprise se soit produite. Ces indicateurs peuvent vous aider à analyser l’impact d’une attaque. 

En comparaison, les indicateurs d’attaque sont des preuves qui montrent que vous pourriez bientôt faire l’objet d’une cyberattaque.  En conséquence, les IOA peuvent être détectés avant qu’une cyberattaque ou une violation de données visant votre entreprise ne se soit produite. Une bonne gestion des IOA peut ainsi vous prémunir contre les violations de données.

Avantages de la surveillance des indicateurs de compromission

La surveillance des IOC permet d’identifier rapidement les incidents de sécurité et d’y répondre. Si rien n’est fait, ces incidents peuvent perturber votre entreprise, ses employés et ses clients. Ces incidents peuvent porter atteinte à la réputation de votre marque et affecter vos résultats financiers. Ils peuvent également compromettre les données sensibles de votre entreprise et entraîner des violations réglementaires et des sanctions.

Défis liés à la surveillance des indicateurs de compromission

La recherche d’IOC est une démarche réactive, et non proactive. Il est inutile de rechercher un indicateur de compromission si l’infrastructure de votre entreprise n’a pas fait l’objet d’une cyberattaque. Si vous souhaitez adopter une approche proactive en matière de cyberprotection, votre organisation peut investir dans des produits et services de prévention plus robustes en matière de cybersécurité. Ainsi, vous pourrez utiliser les IOC pour compléter votre stratégie globale en matière de cybersécurité. 

Meilleures pratiques de gestion des IOC

  • Mettez en place des contrôles de gestion des identités et de l’accès (IAM) afin de pouvoir identifier rapidement et facilement qui a eu accès à vos données, vos systèmes et vos réseaux.
  • Segmentez vos réseaux : de cette manière, si un cybercriminel infiltre l’un de vos réseaux, vous réduisez le risque qu’il compromette l’ensemble de vos réseaux.
  • Utilisez les renseignements sur les menaces pour rester informé de l’évolution du paysage des cybermenaces, suivre les menaces actuelles et émergentes, et identifier les meilleurs moyens de s’en prémunir.
  • Utilisez des services MDR (Managed Detection and Response), EDR et XDR, les plateformes de renseignements sur les menaces et d’autres outils et technologies de sécurité pour gérer les IOC.
  • Automatisez l’analyse et la corrélation des indicateurs de compromission pour classer les alertes IOC les plus urgentes en fonction de leur gravité et réagir immédiatement aux menaces critiques.
  • Mettez en place un plan d’intervention en cas d’incident qui vous permette d’utiliser les IOC pour évaluer la gravité d’un incident et y remédier aussi rapidement et efficacement que possible.
  • Faites équipe avec un MSSP capable d’analyser votre posture en matière de cybersécurité, d’identifier les lacunes et de vous aider à déterminer les meilleurs moyens de remédier aux failles de sécurité actuelles et futures.
  • Partagez les IOC avec vos homologues du secteur afin de mener une lutte conjointe contre les cybermenaces dans votre secteur.
  • Examinez régulièrement les IOC et élaborez une politique de conservation basée sur les exigences réglementaires de votre secteur et les besoins de votre entreprise.

Informez vos employés sur les IOC, ce qu’ils sont, comment ils fonctionnent et ce qu’il convient de faire pour se protéger contre les cybermenaces.

 

Sujet connexe : Qu’est-ce qu’un honeypot en cybersécurité ?

Plus d’actualités sur la cybersécurité