Informationen zu Cisco
Wie Sie Cisco Lösungen kaufen
Was sind Indicators of Compromise?

Indicators of Compromise

Was sind Indicators of Compromise?

Indicators of Compromise (IOC) sind Anhaltspunkte dafür, dass in einem Netzwerk oder an einem Endpunkt eine Sicherheitsverletzung aufgetreten ist. Für die schnelle IOC-Erkennung und die Eindämmung von Bedrohungen sind effiziente Monitoring-Systeme unverzichtbar.

Cisco Secure IPS entdecken

    Was bedeutet IOC in der Cybersicherheit?

    Als Indicators of Compromise (IOC) werden im Bereich der Cybersicherheit Anhaltspunkte oder Spuren bezeichnet, die darauf schließen lassen, dass in einem Netzwerk oder System eine Sicherheitsverletzung oder ein Angriff stattgefunden hat. Beispiele für IOCs sind ungewöhnliches Verhalten im Netzwerkverkehr, unerwartete Softwareinstallationen, Benutzeranmeldungen von unüblichen Standorten aus und eine große Anzahl von Anfragen für dieselbe Datei.

    Was ist der Unterschied zwischen Indicators of Compromise und Indicators of Attack?

    Infosec-Teams greifen bei der Analyse eines Sicherheitsereignisses sowohl auf Indicators of Compromise als auch auf Indicators of Attack (IOA) zurück. IOAs melden einen Angriff in Echtzeit, während IOCs nach einem Angriff ausgewertet werden, um den Vorfall genauer zu untersuchen.

    Welche Arten von Daten gelten als IOCs?

    IOCs umfassen verschiedenste Arten von Daten, darunter:

    • IP-Adressen
    • Domänennamen
    • URLs
    • E-Mail-Adressen
    • Muster im Netzwerkverkehr
    • Dateinamen, Pfade und Hash-Dateien

    Wo liegen die Herausforderungen beim effektiven Management von IOCs?

    Das Monitoring und die Analyse von IOCs ist mit zahlreichen Herausforderungen verbunden. Allein die schiere Menge der täglich entdeckten IOCs kann die Sicherheitsteams überfordern. Hinzu kommt, dass die IOCs in der heutigen, sich schnell entwickelnden Bedrohungslandschaft immer auf dem neuesten Stand sein müssen. Doch selbst das effektivste IOC-Management reicht nicht aus, um das Risiko von Bedrohungen zu verringern und Angriffe zu unterbinden.

    Das Management von IOCs ist ein reaktiver Ansatz, der sich auf frühere Daten über bekannte Bedrohungen stützt. Neue, raffinierte Bedrohungen lassen sich mit der indikatorbasierten Bedrohungserkennung möglicherweise nicht feststellen. IOCs sind effektiver, wenn sie mit proaktiven Maßnahmen zur schnelleren Erkennung von Bedrohungen kombiniert werden. Dazu gehören Endpunktsicherheit, Echtzeit-Threat-Intelligence, Bedrohungsmanagement-Plattformen und identitätsbasierte Zugriffskontrollen.

    Produkt

    Cisco Secure Endpoint

    Mit diesem modernen Endpunktschutz können Sie problemlos Angriffe erkennen, darauf reagieren und den Schaden beheben.

    Cisco Secure Endpoint entdecken

    Produkt

    Cisco Talos

    Mögliche Bedrohungen werden schneller erkannt und gestoppt. Setzen Sie auf globale Threat-Intelligence in Echtzeit und aussagekräftige Erkenntnisse, um Ihre Security-Lösungen und Ihre Abwehr zu stärken.

    Sorgen Sie für mehr Transparenz

    Video

    Erläuterungen zu Cisco Secure IPS

    Cisco Secure IPS ist ein neuartiges Intrusion-Prevention-System, das IOCs zur proaktiven Erkennung und Eindämmung von Cyberangriffen nutzt.

    Wie lassen sich mithilfe von IOCs Cyberbedrohungen erkennen?

    In der Cybersicherheit sind IOCs ein Indiz dafür, dass möglicherweise ein Angriff stattgefunden hat. Mithilfe von Monitoring können Sicherheitsteams oder -technologien Netzwerkverkehr, Benutzer- und Geräteverhalten, Dateiattribute und andere Daten auf Unregelmäßigkeiten oder verdächtige Muster überwachen. Wenn Protokolldaten auf bekannte Indicators of Compromise hinweisen, werden die Teams gewarnt, damit sie diese potenziellen Bedrohungen untersuchen und entschärfen können.

    Auch wenn IOCs nützlich sind, um bekannte Bedrohungen aufzuspüren, sind sie naturgemäß reaktiv und können unbekannte oder komplexe Angriffe nicht erkennen. Unternehmen nutzen häufig Threat-Intelligence-Plattformen zur proaktiven Erkennung moderner ausgefeilter Bedrohungen, mit denen sie IOCs in ihrer Umgebung nachverfolgen können und gleichzeitig Echtzeitinformationen über die neuesten Bedrohungen und Abhilfemaßnahmen zu erhalten.

    Inwiefern hilft das Monitoring von IOCs beim Incident Response?

    Sicherheitsteams setzen auf das Monitoring von Threat-Intelligence-Feeds, Sicherheitsprotokollen und des Netzwerkverkehrs, um IOCs zu identifizieren, die untersucht werden müssen und eventueller Fehlerbehebung bedürfen. Das regelmäßige Monitoring der IOC-Sicherheit bietet folgende Vorteile:

    Früherkennung: Durch die frühzeitige Erkennung von IOCs werden Teams auf Verstöße oder Angriffe hingewiesen und in die Lage versetzt, die Bedrohung schnell zu bekämpfen und den Betrieb wiederherzustellen.

    Priorisierung: Das Monitoring der IOCs ermöglicht eine Priorisierung der zu behebenden Vorfälle je nach Schweregrad, sodass die kritischsten Bedrohungen sofort abgewehrt werden können.

    Bessere Reaktion: Durch die Nachverfolgung und Dokumentation von IOCs können die Reaktionsteams aus jedem Ereignis lernen und einen effektiveren Incident-Response-Plan (IRP) entwickeln.

    Geringeres Sicherheitsrisiko: Nach einem Angriff können durch die forensische Analyse des Ereignisses und seiner Indikatoren Schwachstellen in Systemen und Prozessen aufgedeckt werden. Diese Analyse hilft dem Team bei der Entwicklung effektiverer Abwehrmechanismen gegen ähnliche Angriffe in der Zukunft.

    In welche Kategorien werden IOCs bei Untersuchungen zur Cybersicherheit eingeordnet?

    Netzwerkbasierte IOCs

    Netzwerk-IOCs signalisieren verdächtige Aktivitäten in einem Netzwerk, wie Domänen, IP-Adressen und URLs, die bekanntermaßen schädlich sind. Ungewöhnliches Datenverkehrsverhalten, wie z. B. eine Zunahme des Webdatenverkehrs auf einer bestimmten Website, kann ebenfalls auf eine Gefährdung des Netzwerks hinweisen. Network Monitoring-Tools wie Security Information and Event Management(SIEM)-Lösungen und IDS (Intrusion Detection Systems) dienen der Erkennung dieser Arten von IOCs.

    Dateibasierte IOCs

    Dateibasierte Indicators of Compromise lassen darauf schließen, dass schädliche Downloads oder Malware Systemdateien infiziert haben. In der Regel werden Sandboxing-Tools oder EDR-Software (Endpoint Detection and Response) eingesetzt, um Dateien auf bekannte schädliche Datei-Hashes, Pfade oder Dateinamen hin zu überprüfen.

    Verhaltensbasierte IOCs

    Verhaltensbasierte IOCs beruhen auf Abweichungen von normalen Aktivitäten und Mustern. Eine Ausweitung der Rechte, zahlreiche Anfragen für dieselbe Datei oder wiederholte fehlgeschlagene Anmeldeversuche sind beispielsweise Verhaltensweisen, die auf einen Systemangriff schließen lassen. UEBA-Lösungen (User and Entity Behaviour Analytics) ermöglichen das Monitoring der Kommunikationsmuster von Usern und Geräten im Hinblick auf verdächtiges Verhalten, das von einer festgelegten Norm abweicht.

    Hostbasierte IOCs

    Hostbasierte IOCs decken potenziell schädliche Aktivitäten auf einzelnen Computern, Systemen oder anderen Endpunkten auf. Dazu zählen unerwartete Änderungen der Systemeinstellungen, Änderungen der Systemberechtigungen oder verdächtige Prozesse auf einem Gerät. Für das Monitoring von Endpunkten im Hinblick auf Bedrohungen und das Management hostbasierter IOCs können EDR- oder XDR-Tools (Extended Detection and Response) eingesetzt werden.

    Was sind typische Beispiele für IOCs?

    Ungewöhnliche Anmeldeaktivität

    Untypische Angaben bei einem User oder Gerät während der Anmeldung bei einem Konto können auf einen versuchten oder erfolgreichen Sicherheitsverstoß hinweisen. Mehrere fehlgeschlagene Anmeldeversuche, die Anmeldung von einem unüblichen Ort aus oder ein für einen User ungewöhnlicher Dateizugriff können ein Anzeichen dafür sein, dass ein Konto gehackt wurde.

    Anomalien im Netzwerkverkehr

    Wenn die Muster des Netzwerkverkehrs von der Norm abweichen, können bestimmte Anomalien darauf hindeuten, dass ein Cyberangriff stattgefunden hat. Ein plötzlicher Anstieg der Datenübertragungen oder die Kommunikation mit einer bekanntermaßen schädlichen IP-Adresse können beispielsweise Hinweise auf einen versuchten Datendiebstahl durch einen Angreifer sein.

    Auffälligkeiten bei privilegierten Konten

    Die unerwartete Nutzung privilegierter Konten kann auf eine Insider-Bedrohung oder ein kompromittiertes Konto hinweisen. Eine Änderung der Benutzerzugriffseinstellungen durch AdministratorInnen oder der Zugriff auf nicht standardisierte Ressourcen kann auf einen Versuch hindeuten, sich nicht autorisierten Zugriff zu verschaffen.

    Sehr viele Dateianforderungen

    Ein plötzlicher Anstieg der Anforderungen von sensiblen Dateien, insbesondere von einem einzelnen User oder einer IP-Adresse, kann ein Zeichen dafür sein, dass ein Angreifer versucht, auf vertrauliche Informationen zuzugreifen.

    Anomalien bei DNS-Anfragen

    Auffälligkeiten bei DNS-Abfragen (Domain Name System), wie z. B. Anfragen nach bekanntermaßen schädlichen Domänen, können darauf hinweisen, dass ein Angreifer versucht, eine Command-and-Control-Kommunikation mit dem Server des Unternehmens herzustellen.

    Konfigurationsänderungen

    Unerwartete oder nicht autorisierte Änderungen an Systemkonfigurationen, Firewall-Regeln oder Zugriffssicherheitsrichtlinien können auf einen Angreifer hindeuten, der versucht, die Abwehr zu schwächen.

    Ausführung verdächtiger Prozesse

    Unbekannte Prozesse, die im Task-Manager eines Systems ausgeführt werden, insbesondere solche mit üblichen Attributen oder Namen, können ein Hinweis auf eine Malware-Infektion sein.

    IOC-Lösungen und -Tools

    Das Monitoring von IOCs ist entscheidend für die Erkennung von Angriffen und deren schnelle Bekämpfung. Das Wissen um diese Indicators of Compromise bietet den Teams zudem einen tiefen Einblick, der es ihnen ermöglicht, Schwachstellen besser zu entschärfen, Abwehrmechanismen zu verbessern und Sicherheitsvorfälle schneller in den Griff zu bekommen.

    Zwar sind IOCs ein wichtiges Instrument für die Cybersicherheit, aber sie sind keine Standalone-Lösungen. Das IOC-Monitoring ist am effektivsten, wenn es mit modernen Sicherheitslösungen kombiniert wird, die Ihr Unternehmen vor immer neuen Bedrohungen schützen. Hier stehen einige Lösungen zur Auswahl:

    Next-Generation Intrusion Prevention System (NGIPS)

    Ein NGIPS setzt IOCs für die Bedrohungserkennung ein. Hochentwickelte NGIPS-Systeme ermöglichen das kontinuierliche Monitoring von IOCs in Verbindung mit dem User- und Geräteverhalten. Zur Gewährleistung eines zuverlässigen Schutzes vor Bedrohungen liefern sie kontextbezogene Bedrohungsanalysen in Echtzeit, setzen Sicherheit in öffentlichen und privaten Clouds durch und unterstützen die Netzwerksegmentierung.

    Endpoint-Security-Plattformen

    Endpoint-Security-Lösungen wurden für den Schutz von Geräten (oder Endpunkten) entwickelt, die mit einem Netzwerk verbunden sind. XDR-Lösungen (Extended Detection and Response) ermöglichen das Monitoring von Endpunkt-, E-Mail-, Server-, Cloud- und Netzwerkaktivitäten auf verhaltensbezogene Indicators of Compromise. Die Kombination dieser Transparenz mit KI und Machine Learning ermöglicht eine automatisierte und zielgerichtete Beseitigung von Bedrohungen, die nach dem größten Risiko priorisiert werden.

    Security Information and Event Management (SIEM)

    SIEM-Lösungen sammeln Protokoll- und Ereignisdaten, Threat-Intelligence und Sicherheitswarnungen von Systemen aus der gesamten IT-Umgebung. Wenn Aktivitäten mit bekannten IOCs korrelieren, generiert eine SIEM-Lösung auf der Grundlage vordefinierter Richtlinien priorisierte Warnungen und ermöglicht automatische Reaktionen auf den potenziellen Sicherheitsvorfall.

    Identity Access Management (IAM)

    IAM-Lösungen managen den Benutzerzugriff auf Ressourcen anhand ihrer digitalen Identitäten und ihrer Zugriffsebene. Zur Verhinderung des nicht autorisierten Zugriffs auf sensible Ressourcen verwenden diese Lösungen mehrere Faktoren für die Authentifizierung der Benutzeridentität und nutzen kontinuierliches Monitoring des Benutzer- und Geräteverhaltens auf IOCs.

    Netzwerksegmentierung

    Die Netzwerksegmentierung sorgt für eine präzise Zugriffskontrolle, bei der das Netzwerk in kleinere Einheiten aufgeteilt wird. Sollten die IOCs eine Sicherheitsverletzung aufdecken, kann die Segmentierung verhindern, dass sich Angriffe lateral im Netzwerk ausbreiten. Dadurch wird der Schaden möglichst gering gehalten.

    Threat-Intelligence-Plattformen

    Threat-Intelligence-Plattformen sind Instrumente für die Cybersicherheit, die Unmengen globaler Daten aus verschiedenen Quellen, darunter auch IOCs, zusammenführen und analysieren. Dadurch lassen sich aussagekräftige Erkenntnisse über sich anbahnende Bedrohungen der Cybersicherheit gewinnen. Die Integration von Cyberbedrohungsdaten in die Sicherheitsarchitektur verbessert die Lösungen zur Erkennung und Bekämpfung von Bedrohungen – so können sich Unternehmen proaktiv und auf der Grundlage von Echtzeitdaten vor neuen Cyberbedrohungen schützen.

    Zugehörige Themen zur Bedrohungserkennung

    Was ist Bedrohungserkennung?

    Lösungen zur Erkennung und Bekämpfung von Bedrohungen ermitteln Sicherheitsbedrohungen und ergreifen entsprechende Gegenmaßnahmen.

    Mehr zu Bedrohungserkennung

    Was ist Endpoint Detection and Response (EDR)?

    Endpoint Detection and Response-Lösungen schützen Geräte, die mit einem Netzwerk verbunden sind.

    Mehr zum Thema EDR

    Was ist Extended Detection and Response (XDR)?

    XDR vereinheitlicht Sicherheitslösungen, um die Erkennung und Bekämpfung von Bedrohungen in allen digitalen Umgebungen zu erleichtern.

    XDR entdecken

    Was ist ein Cyberangriff?

    Ein Cyberangriff ist ein böswilliger Versuch, das Informationssystem eines Ziels zu stehlen, zu stören oder zu beschädigen.

    Wissenswertes zu Cyberangriffen

    Was ist SIEM?

    Security Information and Event Management(SIEM)-Software sammelt Sicherheitsdaten aus verschiedenen Systemen.

    Mehr zum Thema SIEM

    Was bedeutet Observability?

    Observability-Tools sammeln und analysieren Daten, mit denen sich Schwachstellen erkennen lassen, bevor sie zu echten Problemen werden.

    So funktioniert Observability

    Leitfaden

    Referenzhandbuch zu Indicators of Compromise

    Schützen Sie das Netzwerk, die Geräte und Systeme Ihres Unternehmens mithilfe unserer umfassenden Liste gängiger IOCs.

    Blog lesen