Door: Martijn Nielen, senior sales engineer bij WatchGuard Technologies
De strijd tegen cybercriminaliteit vraagt om een proactieve houding van securityteams. Twee begrippen zijn daarbij cruciaal: IoC (Indicator of Compromise) en IoA (Indicator of Attack). Wat houden ze in, wat zijn de verschillen en waarom zijn ze belangrijk?
IoC’s vormen het bewijs dat er sprake is van malafide gedrag op een systeem of binnen een netwerk. Zo’n ‘indicator’ kan een piek of vertraging in het netwerkverkeer zijn. Maar denk ook aan accountlogins vanaf een ongebruikelijke locatie, of aan een gebruiker die ineens veel meer rechten binnen het netwerk krijgt. Allemaal tekenen dat systemen mogelijk zijn gecompromitteerd.
IoC’s helpen bij het identificeren van mogelijke bedreigingen zoals de aanwezigheid van malware, ransomware, phishingaanvallen en andere cyberdreigingen. Als een IoC is geïdentificeerd, kunnen securityteams de dreiging neutraliseren en verdere schade voorkomen. Dit doen ze bijvoorbeeld door geïnfecteerde systemen te isoleren, malware te verwijderen en beveiligingsmaatregelen aan te scherpen.
Ook na de aanval zijn IoC’s waardevol. Ze kunnen inzicht geven in hoe een aanval is uitgevoerd, welke systemen zijn getroffen en welke gegevens mogelijk zijn gecompromitteerd. Met deze informatie kunnen securityteams hun verdedigingsstrategieën verbeteren en toekomstige aanvallen voorkomen.
IoA’s (Indicators of Attack)
IoA’s zijn tekenen van verdachte activiteiten die kunnen wijzen op een lopende of op handen zijnde cyberaanval. Een voorbeeld van een IoA is een ongebruikelijke hoeveelheid dataverkeer naar een bepaalde server, of het gebruik van niet-standaard poorten voor communicatie. Maar ook zogenaamde LotL (living off the land)-technieken, waarbij aanvallers gebruikmaken van legitieme tools en processen binnen het systeem om detectie te vermijden, kunnen een IoA zijn.
In tegenstelling tot IoC’s zijn IoA’s proactief van aard. Ze stellen securityteams in staat om aanvallen te detecteren en te stoppen terwijl ze plaatsvinden, of zelfs voordat ze kunnen uitgroeien tot een volwaardig incident. Dit is een schril contrast met IoC’s, die voornamelijk het bestaan van een inbreuk bevestigen.
Geavanceerde cybersecurityoplossingen, ondersteund door AI en ML, spelen een cruciale rol bij het detecteren van IoA’s. Ze stellen threat hunting-teams in staat om binnen de gigantische hoeveelheid ‘Big Data’ van een organisatie of netwerk de activiteiten van systeemprocessen diepgaand te onderzoeken en te analyseren, op zoek naar afwijkend gedrag of gedrag dat een risico kan vormen voor de beveiliging van de organisatie. Zo kunnen organisaties handelen voordat de kwetsbaarheid kan worden uitgebuit en de schade definitief is geworden.
Belang van een proactieve filosofie
Maar welke indicatoren zijn nu effectiever voor het beschermen van een organisatie, IoC’s of IoA’s? De waarheid ligt in het midden. Beide technieken zijn noodzakelijk en vullen elkaar aan. Het zoeken naar IoC’s is een uitstekend hulpmiddel om de schade na of tijdens een inbreuk te analyseren en te reageren door de gevolgen te beperken en de dreiging weg te nemen. Maar de proactieve benadering van IoA’s heeft altijd een streepje voor als het gaat om het voorkomen van beveiligingsincidenten.
IoC’s zijn nuttig, maar niet genoeg om cyberaanvallen te voorkomen of te stoppen. Ze laten ons zien wat er is gebeurd, niet wat er nog kan gebeuren. IoA’s daarentegen helpen ons om de intentie en het gedrag van de aanvallers te begrijpen. Daardoor kunnen we proactief onze cyberweerbaarheid versterken. Veel cyberbeveiligingsoplossingen richten zich echter alleen op IoC’s, waardoor ze kwetsbaar zijn voor geavanceerde en onzichtbare bedreigingen, zoals bestandsloze malware. Daarom is het essentieel om IoA’s te integreren in een cyberbeveiligingsstrategie, zodat we niet alleen reageren, maar ook anticiperen op cyberaanvallen.
MDR-aanbieders (Managed Detection and Response) bieden een proactieve dienst die gebruikmaakt van de beste technologie en deskundige professionals. Ze gebruiken geavanceerde beveiligingsoplossingen om alle activiteiten in realtime te analyseren. MDR-analisten zoeken naar IoA’s om mogelijke cyberaanvallen te ontdekken. Ze gebruiken ook IoC-zoekopdrachten om te helpen bij het onderzoek en de respons, door het identificeren van betrokken componenten, de uitgebuite kwetsbaarheden en de getroffen bedrijfsmiddelen.
Conclusie
De conclusie is duidelijk: IoC’s zijn nuttig en zeer noodzakelijk om een inbreuk te ontdekken, en hierop te reageren door het gevaar te elimineren, het incident te stoppen en de gevolgen ervan te beperken. Maar elke organisatie die zich proactief wil beschermen, moet zich richten op het ontwikkelen van onderzoeksstrategieën op basis van IoA-detectie om abnormale activiteiten op te sporen, die activiteiten snel te onderzoeken en zo snel mogelijk op de dreiging te reageren. Nog voordat het uitgroeit tot een echt incident.
De krachten van IoA en IoC bundelen voor je eigen organisatie? Met WatchGuard Endpoint Security-oplossingen kunnen securityteams proactief geavanceerde dreigingen voorkomen, detecteren en mitigeren dankzij automation en IoA/IoC-zoekmachines.