O que são indicadores de comprometimento?

Sophos XDR Avaliação gratuita

Indicadores de comprometimento (IOCs) são vistos como "rastros digitais", formados por evidências que mostram que um ataque cibernético está prestes a bater à sua porta. Os IOCs também oferecem insights sobre as ferramentas usadas durante um ataque cibernético, quem está por trás do ataque e outros detalhes. 

Indicadores de comprometimento

As equipes de segurança usam indicadores de comprometimento para encontrar atividades maliciosas ou ameaças. Esses indicadores podem ser incorporados ao monitoramento de segurança cibernética do seu negócio para auxiliar no bloqueio de ataques cibernéticos que estejam em andamento. Você também pode usar os IOCs para encontrar formas de detectar e interromper ransomware, malware e outras ameaças cibernéticas antes que causem violações de dados.

Como funcionam os Indicadores de comprometimento?

Quando um hacker ataca a sua empresa, o criminoso deixa uma pegada digital. Por exemplo, a sua equipe de segurança pode observar atividades cibernéticas criminosas em seus arquivos de log e sistema após um ataque cibernético, e é nesse ponto que suas equipes podem coletar dados forenses digitais desses arquivos. A partir daí, seu pessoal poderá determinar se um ataque cibernético ou violação de dados está em andamento ou já aconteceu.

Sua equipe de segurança pode buscar indicadores de comprometimento em toda a sua infraestrutura de TI, ou você pode contratar um provedor de serviços de segurança gerenciada (MSSP) que faça a busca de IOCs. Nos dois cenários, ferramentas e tecnologias avançadas podem ser usadas para a varredura e análise do tráfego da sua rede e de outras fontes de indicadores. Se alguma atividade suspeita for identificada, ela será isolada.

Tipos de indicadores de comprometimento

Rede

IOCs de rede incluem padrões incomuns de tráfego, conexões a endereços IP ou domínios maliciosos, ou outros sinais de atividade suspeita em uma rede. Sistema de detecção de intrusão (IDS), sistemas de gerenciamento de eventos e informações de segurança (SIEM) e outras ferramentas de monitoramento de rede podem ser usadas para detectar esses indicadores.

Baseado em host

Este tipo inclui atividades incomuns de arquivos, mudanças nos parâmetros de configuração do sistema e outras atividades suspeitas em um computador ou sistema. Sua empresa pode detectar IOCs baseados em host com detecção e resposta de endpoints (EDR), detecção e resposta estendidas (XDR) e outras soluções de segurança de endpoint.

Baseado em arquivo

Indicadores de comprometimento baseados em arquivo apontam para arquivos de sistema maliciosos ou malware. Exemplos de IOCs baseados em arquivo incluem hashes, nomes de arquivo e caminhos de arquivo suspeitos. Ferramentas de sandbox e EDR são bastante utilizadas para detectar indicadores baseados em arquivos.

Comportamental

Indicadores de comprometimento comportamental, como várias falhas na tentativa de login ou horários de login incomuns, levantam suspeitas sobre a atividade de um usuário em um sistema ou rede. Ferramentas de monitoramento de usuário, como as soluções UEBA de análise comportamental de usuário e entidade, podem ser usadas para identificar IOCs de comportamento.

Exemplos de indicadores de comprometimento

  • Um pico de uso ou desaceleração no tráfego de rede ou outra atividade incomum no tráfego de saída da rede
  • Escalonamento dos privilégios de acesso de um usuário em uma conta específica, uso de uma conta para acessar outras contas que permitem privilégios adicionais ao usuário ou outras anomalias de contas de usuário privilegiadas
  • Logins a contas feitos de fora do país onde o seu negócio está localizado
  • Várias tentativas malsucedidas de login em uma mesma conta
  • Várias solicitações de acesso a um mesmo arquivo
  • Uso de uma porta de rede que não estava em uso anteriormente
  • Mudanças não autorizadas a seus arquivos de sistema ou registro
  • Solicitações de sistemas DNS que acontecem repentinamente, sem nenhum aviso

Ciclo de vida dos indicadores de comprometimento

1. Descoberta

Sua empresa pode descobrir indicadores de comprometimento:

  • Examinando logs do sistema minuciosamente.
  • Analisando o tráfego de rede.
  • Realizando varreduras de segurança.
  • Coletando alertas de segurança de dispositivos e softwares.

2. Avaliação

São várias as ferramentas e tecnologias que você pode usar para obter detalhes sobre uma possível ameaça, incluindo:

  • Análise de tráfego de rede
  • Análise de malware
  • Análise de sistema
  • Inteligência de ameaça

3. Compartilhamento

Assim que obtiver os IOCs, você pode compartilhá-los com seus funcionários, autoridades legais ou outras empresas do setor. Ao fazê-lo, você pode:

  • Encontrar novas formas de se resguardar contra ameaças.
  • Identificar padrões e tendências nos ataques cibernéticos.
  • Acelerar a resposta e remediação de incidentes.

4. Implantação

Neste ponto, você pode implantar controles de segurança para melhorar a sua postura de segurança cibernética. Seria de grande auxílio estabelecer várias camadas de controle de modo a otimizar a sua proteção digital.

5. Detecção e resposta

Você pode usar várias ferramentas e técnicas para monitorar seus IOCs. Se um IOC for identificado, você pode:

  • Isolar a rede ou sistema afetado para evitar a disseminação da ameaça.
  • Bloquear o tráfego de rede suspeito, colocar sistemas infectados em quarentena ou tomar outras medidas para lidar com a ameaça.
  • Notificar as partes relevantes sobre o incidente e o que está sendo feito para resolver o problema.

6. Fim da vida útil (EOL)

Um IOC atinge o estágio EOL quando você consegue solucioná-lo com sucesso. Os fatores que podem fazer com que um IOC perca a sua relevância incluem:

  • Mudanças de tecnologias: um IOC pode ficar desatualizado porque determinadas tecnologias não são mais usadas.
  • Evolução no panorama de ameaças: as ameaças que você enfrenta podem mudar com a contínua evolução do panorama de ameaças.
  • Aprimoramentos à segurança: os IOCs podem se tornar redundantes ou desnecessários após investimentos em tecnologias ou ferramentas de segurança inovadoras.      

O que é um indicador de ataque (IOA)?

Um indicador de ataque (IOA) refere-se a indícios que mostram que um criminoso cibernético pretende atacar a sua empresa. Para entender como funciona um IOA, vamos examinar um exemplo.

Com os ataques de phishing, os criminosos cibernéticos tentam levar um alvo a clicar em um link ou abrir um documento que infecta seu dispositivo. Eles precisam encontrar possíveis alvos e analisar quais as formas de chamar a atenção desses alvos. Também precisam executar várias etapas para fazer com que as vítimas baixem um software malicioso.

Os IOAs enfatizam os passos que os criminosos cibernéticos seguirão para lançar seus ataques. Mantendo-se vigilante em relação a esses passos, sua empresa pode fechar as lacunas na segurança; mais importante ainda: você pode interromper os ataques cibernéticos em seus estágios iniciais ou antes que se concretizem.

Exemplos de indicadores de ataque

  • Comunicação entre servidores públicos que normalmente não se comunicam entre si
  • Comunicação entre hosts internos com destinatários fora do país onde a empresa opera
  • Conexões a portas fora do padrão
  • Malware que reaparece poucos minutos depois de ser removido de um dispositivo infectado
  • Login de usuário que vem de diferentes regiões

Diferença entre indicadores de comprometimento e indicadores de ataque

Indicadores de comprometimento são evidências que mostram que um ataque cibernético está acontecendo ou já aconteceu. Assim que um criminoso cibernético ataca a sua empresa, você pode detectar os IOCs. Esses indicadores o ajudam a analisar o impacto de um ataque. 

Comparativamente, os indicadores de ataque são evidências que mostram que você está suscetível a enfrentar um ataque em breve.  Você pode detectar IOAs antes de um ataque cibernético ou violação de dados. Se souber trabalhar com IOAs de forma apropriada, você será capaz de evitar as violações de dados.

Benefícios do monitoramento de indicadores de comprometimento

O monitoramento de IOCs ajuda a identificar e responder rapidamente a incidentes de segurança. Se você não der a atenção devida a esses indicadores, os incidentes podem afetar seus negócios, seus funcionários e seus clientes, impactando negativamente a reputação da sua marca e os seus rendimentos. Incidentes desse tipo podem comprometer a confidencialidade de dados dos seus negócios e levar a violações regulatórias e penalidades.

Desafios do monitoramento de indicadores de comprometimento

A busca por IOCs é reativa, não proativa. Sua empresa precisa aguardar até que uma ameaça cibernética desponte dentro da sua infraestrutura de TI para que haja um IOC. Se quiser ser proativa na proteção cibernética, sua organização pode investir em mais produtos e serviços de prevenção para atingir uma segurança cibernética robusta. Fazendo isso, você pode usar os IOCs para complementar a sua estratégia geral de segurança cibernética. 

Práticas recomendadas de gerenciamento de IOC

  • Estabeleça controles de gerenciamento de identidade e acesso (IAM) para poder identificar rápida e facilmente quem está acessando seus dados, sistemas e redes.
  • Segmente suas redes; assim, se um criminoso cibernético se infiltrar em uma de suas redes, você pode diminuir o risco do criminoso comprometer todas as redes.
  • Use a inteligência de ameaça para se manter atualizado sobre o cenário das ameaças cibernéticas, rastrear ameaças atuais e emergentes e encontrar as melhores formas de se proteger contra elas.
  • Use detecção e resposta gerenciadas (MDR), EDR, XDR, plataformas de inteligência de ameaça e outras tecnologias e ferramentas de segurança para gerenciar IOCs.
  • Automatize a análise e correlação entre indicadores de comprometimento para poder priorizar os alertas de IOC de maior importância com base na severidade e responder imediatamente às ameaças mais críticas.
  • Estabeleça um plano de resposta a incidentes que permita que você utilize os IOCs para examinar a severidade de um incidente e corrigi-lo com a maior rapidez e eficiência possíveis.
  • Faça uma parceria com um MSSP que possa analisar a sua postura de segurança cibernética, identificar lacunas e ajudar a desvendar as melhores formas de lidar com vulnerabilidades de segurança, agora e no futuro.
  • Compartilhe IOCs com seus parceiros do setor para poder trabalhar com os seus colegas profissionais sobre as formas de lidar com as ameaças cibernéticas que afetam o setor.
  • Examine os IOCs regularmente e crie uma política de retenção baseada nos requisitos regulamentares do setor e nas necessidades da empresa.

Elucide seus funcionários sobre os IOCs: o que são, como funcionam e o que podem fazer para proteger os negócios contra ataques cibernéticos.

 

Tópico de segurança relacionado: O que é honeypot em segurança cibernética?

Fique por dentro com mais notícias sobre segurança cibernética