Decifrando as siglas da cibersegurança: IoCs e IoAs
As equipes de operações de segurança são a base da luta contra o cibercrime na chamada “last mile” em qualquer organização. É por isso que precisam das tecnologias mais avançadas possíveis.
No entanto, o combate aos hackers não é somente uma questão de tecnologia. Ter uma atitude proativa contra possíveis ciberataques também é fundamental. Nesse contexto, há dois conceitos essenciais para todas as equipes de operações de segurança: indicadores de comprometimento (IoCs) e indicadores de ataque (IoAs).
Qual é a diferença entre eles? Um conceito anula o outro? São conceitos complementares? Quando são usados? Qual deles é mais decisivo? A seguir, analisamos os dois conceitos.
Indicadores de comprometimento (IoCs)
Os IoCs são os indicadores que identificam a presença de um agente da ameaça em um computador quando o comprometimento talvez já tenha ocorrido. Ou seja, eles são usados para diagnosticar um problema de segurança que acabou de acontecer na organização. Essa é a prova de que um comprometimento de segurança aconteceu ou estava prestes a acontecer.
Nesse sentido, os IoCs são usados para identificar arquivos ou artefatos que foram anteriormente classificados como maliciosos: um e-mail de phishing, um arquivo de malware, um endereço IP relacionado ao cibercrime, uma entrada suspeita no registro e assim por diante. Isso significa que os IoCs ajudam as empresas a analisar os danos após ou durante um comprometimento, reagindo com a mitigação dos efeitos e a eliminação da ameaça.
Os IoCs também podem ser úteis para empresas que precisam diagnosticar com precisão o que aconteceu para saber exatamente onde está o problema e qual é a vulnerabilidade explorada depois de um acidente, o que permite corrigir os problemas e evitar ataques semelhantes no futuro.
Indicadores de ataque (IoAs)
A busca por IoAs segue outra filosofia: com os IoAs, temos o esforço máximo de proatividade. O objetivo é antecipar o comprometimento ao investigar atividades suspeitas, o que difere da busca por IoCs que segue uma filosofia reativa, procurando provas de que o comprometimento existe. Em outras palavras, os IoAs não intervêm quando o ataque já aconteceu, mas sim quando está ocorrendo, ou mesmo antes que possa se tornar um incidente real.
Os IoAs cobrem as lacunas deixadas pelos IoCs ao alertar sobre qualquer tentativa de ataque, independentemente do método usado para burlar o sistema de segurança da empresa. Ou seja, os IoAs detectam etapas de ataque que não exigem malware, como técnicas living-off-the-land (LotL).
Esses indicadores são o resultado do trabalho realizado por equipes de threat hunting que usam as mais avançadas soluções de cibersegurança com ajuda de IA/ML (inteligência artificial/machine learning). Essas equipes investigam e analisam de modo aprofundado as atividades dos processos do sistema, buscando comportamentos incomuns ou que possam representar um risco a segurança da organização. Se forem detectados, os IoAs permitem que as organizações ajam antes que a vulnerabilidade possa ser explorada e o dano se torne definitivo.
Conclusão
A conclusão é clara: Os IoCs são úteis e muito necessários para descobrir um comprometimento (a ameaça por trás do incidente e o impacto gerado) e reagir para eliminar o perigo, interromper o incidente e mitigar os efeitos. No entanto, qualquer organização interessada em se proteger proativamente deve se concentrar no desenvolvimento de estratégias de investigação baseadas na detecção de IoA, a fim de identificar atividades anormais, investigá-las rapidamente e responder à ameaça o mais rápido possível, mesmo antes que isso se torne um incidente real.
Conheça os produtos WatchGuard Endpoint Security para descobrir como as nossas soluções permitem que as equipes de segurança previnam, detectem e respondam proativamente às ameaças sofisticadas por meio de automação e mecanismos de buscas de IoA e IoC.
