indicators of compromise (IOC)

Apa itu Indicators of Compromise (IOC)?

Indicators of Compromise (IOC)  atau Indikator kompromi adalah bukti forensik digital yang menunjukkan kemungkinan pelanggaran pada jaringan atau sistem endpoint. Pelanggaran ini bisa disebabkan oleh malware, kredensial yang terkompromi, ancaman dari dalam, atau perilaku jahat lainnya. Begitu tim keamanan menemukan IOC, kemungkinan besar pelanggaran telah terjadi, yang berarti data mungkin telah terkompromi. Meskipun demikian, IOC masih bisa membantu tim keamanan untuk menghilangkan ancaman dan membatasi kerusakan.

Tim keamanan biasanya memantau IOC sebagai bagian dari strategi keamanan siber yang lebih besar. Semakin cepat mereka dapat menemukan dan bertindak berdasarkan IOC yang ditemukan, semakin efektif mereka dapat merespons pelanggaran tersebut. Jika tim keamanan menangkap pelanggaran IOC yang sedang berlangsung, mereka mungkin dapat membatasi kerusakan.

IOC juga dapat memberikan wawasan kepada tim tentang sifat pelanggaran tersebut sehingga mereka dapat lebih efektif melindungi sistem di masa mendatang dan meningkatkan proses respons insiden secara keseluruhan.

Jenis-jenis indikator kompromi

Tim keamanan mengandalkan berbagai macam IOC untuk melindungi sistem jaringan dan endpoint. Berbagai sumber mengkategorikan IOC dengan cara yang berbeda. Salah satu pendekatannya adalah dengan membagi IOC ke dalam tiga kategori besar:

  • Berbasis jaringan. IOC berbasis jaringan dapat mencakup peristiwa seperti pola lalu lintas yang tidak biasa atau penggunaan protokol atau port yang tidak terduga. Misalnya, mungkin ada lonjakan lalu lintas yang mendadak ke situs web tertentu atau koneksi yang tidak terduga ke URL, alamat IP, atau domain yang diketahui berbahaya.
  • Berbasis host. IOC berbasis host menunjukkan perilaku mencurigakan pada endpoint individual. Ini dapat mencakup berbagai ancaman potensial, termasuk proses yang tidak dikenal, file hash mencurigakan atau jenis file lain, perubahan pada pengaturan sistem atau izin file, atau perubahan pada nama file, ekstensi, atau lokasi. IOC berbasis file terkadang dianggap sebagai kategori terpisah dari IOC berbasis host.
  • Perilaku. IOC perilaku mencerminkan perilaku di seluruh jaringan atau sistem komputer, seperti percobaan login yang gagal berulang kali atau login pada waktu yang tidak biasa. Kategori ini kadang-kadang dimasukkan ke dalam kategori lainnya.

Dengan menggunakan berbagai jenis IOC, tim keamanan dapat lebih kompeten dalam mendeteksi dan merespons pelanggaran keamanan, serta lebih proaktif dalam mencegahnya. Tim juga dapat membagikan informasi ini dengan organisasi lain untuk membantu meningkatkan respons insiden dan forensik komputer. Kerjasama semacam ini telah menghasilkan umpan intelijen ancaman standar seperti OpenIOC dan STIX/TAXII, antara lain.

Profesional keamanan mencari IOC di log sistem dan keamanan, pemantauan lalu lintas jaringan, platform keamanan perusahaan, dan sumber lainnya. Berikut adalah contoh IOC:

  • Pola lalu lintas jaringan yang tidak biasa, seperti lonjakan mendadak dalam transfer data keluar.
  • Lonjakan yang tidak terduga dalam jumlah pembacaan database, yang dapat terjadi ketika penyerang mencoba mengekstrak data.
  • Aktivitas yang tidak biasa untuk akun dengan hak istimewa atau administrator, seperti permintaan untuk memperluas izin.
  • Anomali login atau percobaan tidak biasa untuk mengakses sumber daya, seperti lonjakan mendadak dalam permintaan akses.
  • File, layanan, proses, atau aplikasi yang tidak dikenal tiba-tiba muncul di sistem, seperti instalasi perangkat lunak yang tidak terduga.
  • Perubahan mencurigakan pada registri, file sistem, atau konfigurasi sistem, yang bisa terjadi jika penyerang mencoba mengendalikan sistem.
  • Anomali geografis, seperti lalu lintas yang tidak dapat dijelaskan dari negara atau wilayah tertentu.
  • Permintaan sistem nama domain yang tidak biasa, yang bisa terjadi sebagai hasil dari serangan command-and-control.
  • Anomali terkait file, seperti lonjakan permintaan untuk file yang sama.

Dengan melacak aktivitas dan peristiwa yang tidak biasa ini, tim keamanan dapat merespons perilaku jahat dengan cepat dan efektif. Namun, hanya melacak IOC saja tidak cukup untuk melindungi sistem jaringan dan endpoint sepenuhnya. Oleh karena itu, sebagian besar organisasi melacak IOC bersama dengan solusi seperti manajemen informasi dan kejadian keamanan, deteksi dan respons yang diperluas, deteksi dan respons endpoint, dan sistem deteksi intrusi,

 

Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *