IoC in informatica: ruolo e funzioni degli indicatori di compromissione

Il seguente articolo parla di indicatori di compromissioni, conosciuti in informatica come IoC.
Cosa sono, che funzioni svolgono e quanto sono rilevanti all’interno dell’azienda

Quando un criminale informatico attacca la tua azienda lascia un’impronta digitale.
Ad esempio, il tuo team di sicurezza potrebbe rilevare attività criminali informatiche nel sistema e registrare file dopo un attacco informatico.

A questo punto, il team può raccogliere dati forensi digitali da questi sistemi e file. Da qui, si può determinare se un attacco informatico o una violazione dei dati è in corso o si è già verificata.

Gli esperti cercheranno i cosiddetti “indicatori di compromissione” o IoC nell’infrastruttura IT per capire meglio cosa è successo ed evitare che accada di nuovo in futuro.

Con gli IoC, se viene identificata un’attività sospetta, è possibile isolarla di conseguenza.

IoC informatica

Cos’è uno IoC?

Quando si verifica un incidente di sicurezza, gli indicatori di compromissione sono un po’ la prova del data breach.

Le tracce digitali rivelano non soltanto l’incidente, ma anche quali strumenti sono stati usati per sferrare l’attacco e da dove proviene.

Gli indicatori di compromissione possono anche essere utilizzati per determinare di quale grado sia l’incidente informatico che ha colpito l’azienda, così da mettere in sicurezza la rete da possibili attacchi futuri.

Gli indicatori vengono tipicamente raccolti da appositi software, come gli antivirus e gli antimalware, ma anche da strumenti basati sull’intelligenza artificiale, sempre più spesso usati per aggregare e organizzare gli indicatori durante le fasi di incident response.

Come funzionano gli indicatori di compromissione

Vari eventi possono indicare una violazione della sicurezza, inclusi schemi di rete insoliti, attività dell’account, file sconosciuti e modifiche di configurazione inspiegabili.

• Anomalie del traffico in uscita: gli analisti e gli amministratori di sistema possono conoscere potenziali violazioni monitorando il traffico di rete in uscita. Ad esempio, uno spyware installato potrebbe comunicare con un server di comando e controllo o esfiltrare dati sensibili.
Gli strumenti di monitoraggio del traffico e di rilevamento delle intrusioni possono avvisare il team di sicurezza di eventi di rete insoliti.

Anomalie degli account utente: gli aggressori spesso sfruttano gli account utente compromessi per aumentare i privilegi. Gli utenti non autorizzati possono accedere ad account privilegiati utilizzando il phishing e altre tecniche di ingegneria sociale. Se un’organizzazione non dispone di una strategia di difesa approfondita o di forti misure di controllo degli accessi basate sul principio del privilegio minimo, gli account compromessi possono facilmente portare ad un’escalation di attacchi.

Anomalie dei database: la maggior parte delle aziende archivia dati sensibili nei database, rendendoli un bersaglio attraente per gli autori malintenzionati. Se si verificasse un picco nel volume di lettura del database, potrebbe indicare che un utente malintenzionato sta tentando di compromettere i dati.

Anomalie geografiche: le anomalie del traffico non si limitano ai picchi nell’utilizzo della larghezza di banda. Se il traffico proviene da una posizione insolita, potrebbe indicare un’attività dannosa.

Modifiche al registro non autorizzate: alcuni malware possono apportare modifiche al registro. Stabilire una linea di base per il registro e i file di sistema può aiutare a identificare le modifiche sospette associate a un’infezione da malware.

Credenziali trapelate: gli aggressori possono utilizzare credenziali di accesso rubate o trapelate per lanciare attacchi informatici. Il monitoraggio delle credenziali è importante per identificare le compromissioni.

Differenza tra IoC e IoA

Un indicatore di compromissione viene spesso descritto nel mondo forense come una prova su un computer che indica che la sicurezza della rete è stata violata.

Gli investigatori solitamente raccolgono questi dati dopo essere stati informati di un incidente sospetto, in modo programmato, o dopo aver scoperto chiamate insolite dalla rete.

Idealmente, queste informazioni vengono raccolte per creare strumenti “più intelligenti” in grado di rilevare e mettere in quarantena i file sospetti in futuro. Il che porta spesso a confondere IoC con IoA, gli indicatori di attacco.

Questi si concentrano sul rilevamento dell’intento di ciò che un utente malintenzionato sta tentando di realizzare, indipendentemente dal malware o dall’exploit utilizzato.

Spesso, un approccio di rilevamento basato solo su IoC non è in grado di rilevare le crescenti minacce derivanti dalle intrusioni di nuova generazione, che invece possono essere individuate aggiungendo soluzioni di IoA.

Un IoA rappresenta una serie di azioni che un avversario deve condurre per avere successo.

Pensiamo alla tattica più comune e ancora di maggior successo, lo spear phishing.

Un’e-mail di phishing riuscita deve convincere la vittima a fare clic su un collegamento o ad aprire un documento che infetterà la macchina. Una volta compromesso, l’aggressore eseguirà silenziosamente un altro processo, si nasconderà nella memoria o sul disco e manterrà la persistenza dopo i riavvii del sistema.

Il passo successivo è quello di prendere contatto con uno strumento di comando e controllo, informando i suoi assistenti che attende ulteriori istruzioni.

Gli IoA si preoccupano dell’esecuzione di questi passaggi, delle intenzioni dell’avversario e dei risultati che sta cercando di ottenere e non degli strumenti specifici che utilizza per raggiungere i suoi obiettivi.

Monitorando questi punti di esecuzione, raccogliendo gli indicatori e analizzandoli tramite un motore di Stateful Execution Inspection, possiamo determinare come un attore ottiene con successo l’accesso alla rete e dedurre l’intento.

Esempi di IoC

Tra alcuni IoC comuni possiamo individuare l’accesso non autorizzato alle risorse di sistema, come server o database.

  • Modifiche ai file di sistema o alle configurazioni che non possono essere spiegate o che si sono verificate all’insaputa dell’amministratore di sistema.
  • Modelli di traffico di rete insoliti o imprevisti, come un improvviso aumento del traffico da un indirizzo IP o dominio specifico. La presenza di software dannoso, come virus, trojan o ransomware, su un sistema. L’accesso non autorizzato a dati sensibili, come registri dei clienti o informazioni finanziarie. Gli account utente che potrebbero essere stati compromessi, ad esempio attraverso l’uso di password deboli o tecniche di ingegneria sociale.
  • Ma anche le modifiche inspiegabili ai registri di sistema o ad altri record e quelle impreviste o non autorizzate alle configurazioni o alle impostazioni del sistema. Non solo: il traffico porta-applicazione non corrispondente che suggerisce che un’applicazione o un processo non autorizzato sta comunicando su una porta di rete che non dovrebbe utilizzare.

La fase di rilevamento è in genere il primo passo nel ciclo di vita dell’IoC e prevede l’utilizzo di vari metodi per identificare potenziali minacce o anomalie.

Esistono diversi modi in cui le organizzazioni possono scoprire potenziali IoC, tra cui il monitoraggio dei log di sistema: analizzando i log di sistema, le organizzazioni possono identificare attività insolite o sospette che potrebbero indicare un incidente di sicurezza. 

Ad esempio, tentativi di accesso falliti o l’accesso a dati sensibili da parte di utenti non autorizzati potrebbero essere indicatori di compromissione.

Monitorando i modelli di traffico di rete, le organizzazioni possono identificare traffico insolito o imprevisto che potrebbe indicare un incidente di sicurezza. 

Ciò può includere un improvviso aumento del traffico proveniente da un indirizzo IP o dominio specifico oppure traffico che utilizza una porta o un protocollo insolito.

Le organizzazioni possono utilizzare vari tipi di scanner di sicurezza per cercare indicatori di compromissione, come virus, malware o vulnerabilità nelle configurazioni di sistema.

Molti dispositivi di sicurezza e programmi software sono progettati per avvisare le organizzazioni quando rilevano potenziali indicatori di compromissione. 

Questi avvisi possono aiutare le organizzazioni a rispondere tempestivamente alle potenziali minacce.

Il ruolo fondamentale degli IoC nella sicurezza informatica aziendale

I fornitori di sicurezza gestita e i team di sicurezza informatica devono tenere traccia degli IoC per accelerare la loro risposta alle sospette minacce.

Gli esperti di sicurezza possono utilizzare gli IoC e l’analisi dinamica delle minacce malware per identificare le violazioni della sicurezza e risolverle immediatamente.

Il monitoraggio IoC consente alle organizzazioni di ridurre al minimo i danni subiti durante un attacco. Spesso, gli esperti utilizzano le valutazioni di compromissione del sistema per prepararsi a specifiche minacce alla sicurezza informatica che colpiscono un’organizzazione.

Un approccio alla sicurezza IoC richiede strumenti di monitoraggio e indagine. Gli IoC sono una risorsa di sicurezza reattiva, ma costituiscono una parte fondamentale della strategia di sicurezza complessiva di un’organizzazione, per far sì che gli attacchi non passino inosservati.

Tuttavia, identificare tempestivamente le minacce è fondamentale per bloccare attacchi importanti come i ransomware che possono paralizzare un’azienda: il tempo necessario per rispondere determina se l’attacco è un semplice fastidio o un disastro.

Il SOC di IFI è in grado di attuare un monitoraggio proattivo e un’analisi degli eventi di sicurezza.