IoC und IoA I WatchGuard Blog

Security-Operations-Teams stehen an vorderster Front im Zuge der Abwehr von Cyberbedrohungen. Darum benötigen sie die fortschrittlichsten Technologien. Aber der Kampf gegen Cyberkriminelle ist nicht nur eine Frage der Technologie. Vorausschauendes Agieren ist ein entscheidendes Kriterium – und in dem Zusammenhang spielen zwei Begriffe eine essenzielle Rolle: IoC (Indicators of Compromise) und IoA (Indicators of Attack).

Was ist der Unterschied? Schließen sich diese beiden Konzepte aus oder ergänzen sie sich? Wann werden sie eingesetzt? Welches ist wichtiger? Die folgende Betrachtung hilft bei der Einordnung.

IoC (Indicators of Compromise)

IoC erkennen die Gegenwart einer Bedrohung auf einem Computer, wenn dieser bereits kompromittiert wurde. Das bedeutet: IoC werden verwendet, um ein Sicherheitsproblem zu diagnostizieren, das gerade innerhalb des Unternehmens aufgetreten ist. Sie zeigen an, dass eine Sicherheitsgefährdung stattgefunden hat oder in Kürze bevorstand.

Sie entfalten Wirkung, wenn es darauf ankommt, Dateien oder Ereignisse zu identifizieren, die zuvor als bösartig eingestuft wurden – wie beispielsweise Phishing-Mails, Malware-Dateien, IP-Adressen, die im Zusammenhang mit Cyberkriminalität stehen, oder riskante Verzeichniseinträge. IoC sind für Unternehmen immer dann nützlich, wenn es darum geht, den Schaden nach oder während einer Kompromittierung zu analysieren – und entsprechend zu reagieren, um Schlimmeres zu verhindern.

IoC helfen Unternehmen, eine genaue Diagnose eines Angriffs zu erstellen. IT-Sicherheitsteams können nach einem Vorfall exakt analysieren, wo das Problem liegt und welche Schwachstelle ausgenutzt wurde. Infolgedessen können Lücken geschlossen und ähnliche Szenarien in Zukunft verhindert werden.

IoA (Indicators of Attack)

Die Suche nach IoA folgt einer anderen Philosophie, hierbei ist deutlich mehr Proaktivität im Spiel: Ziel ist es, die Kompromittierung anhand verdächtiger Aktivitäten vorherzusehen. Mit anderen Worten: IoA wirken nicht erst, wenn der Angriff bereits stattgefunden hat, sondern zum Zeitpunkt der Attacke oder bereits davor.

IoA schließen somit die Lücken, die IoC hinterlassen: Sie machen auf jeden Angriffsversuch aufmerksam – unabhängig davon, welche Methode zur Umgehung des Sicherheitssystems des Unternehmens angewendet wurde. Das heißt, IoA erkennen selbst Angriffsschritte, für die keine Malware erforderlich ist, wie z.B. bei Living-off-the-Land-Techniken.

Beide Indikatorengruppen resultieren aus der Arbeit von Threat Hunting-Teams, die bereits fortschrittlichste Cybersicherheitslösungen mit Unterstützung von KI (Künstliche Intelligenz) sowie ML (Maschinelles Lernen) einsetzen. Diese Teams untersuchen und analysieren die Aktivitäten von Systemprozessen im Detail und suchen nach anomalem Verhalten oder Verhaltensweisen, die ein Risiko für die Sicherheit des Unternehmens darstellen können. Werden solche entdeckt, können die Verantwortlichen handeln, bevor die Schwachstelle ausgenutzt werden kann und Schaden entsteht.

Proaktivität ist Trumpf

Eine immer wiederkehrende Frage in Bezug auf Indikatoren lautet: Was ist effektiver für den Schutz einer Organisation, IoC oder IoA? Beide Techniken sind notwendig und ergänzen sich gegenseitig. Eines ist jedoch klar: Der proaktive IoA-Ansatz geht im Hinblick auf die Vermeidung von Sicherheitsvorfällen einen Schritt weiter.

Insofern leisten MDR-Anbieter (Managed Detection and Response) entscheidende Unterstützung. Ihre Dienste sind hochgradig proaktiv ausgerichtet. Das Gesamtpaket umfasst dabei nicht nur effektive Technologie, sondern auch Cybersicherheitsexperten sowie gut definierte und routinierte Prozesse, die massiv zum Schutz von Unternehmen gegenüber fortschrittlichen Bedrohungen beitragen.

Fazit

Das Fazit ist klar: IoC sind nützlich und unbedingt notwendig, um sowohl eine Kompromittierung aufzudecken als auch zu reagieren, d.h. die Gefahr zu beseitigen, den Angriff zu stoppen und seine Auswirkungen zu mildern. Jedes Unternehmen, das sich proaktiv schützen will, sollte sich jedoch auf Strategien konzentrieren, die auf der IoA-Erkennung basieren. Diese bringen abnormale Aktivitäten ans Licht, untersuchen diese und tragen dazu bei, schnell auf die Bedrohung zu reagieren – und zwar noch bevor ein echter Angriff stattfindet.

 Genau hierbei unterstützen die WatchGuard-Produkte für Endpoint Security und versetzen Sicherheitsteams auf Basis von Automatisierung und IoA- sowie IoC-Suchläufen in die Lage, komplexe Bedrohungen zu verhindern, zu erkennen und adäquat zu reagieren.