Indicateurs de compromission

Qu’est-ce qu’un IOC en cybersécurité?

Les indicateurs de compromission (IOC) en cybersécurité désignent les indices ou les preuves d’intrusion ou d’attaque dans le réseau ou le système. Par exemple, les IOC peuvent être un comportement inhabituel du trafic réseau, une installation non sollicitée d’un logiciel, la connexion d’un utilisateur depuis un endroit anormal, et un grand nombre de demandes visant un même fichier.

Quelle est la différence entre les indicateurs de compromission et les indicateurs d’attaque?

Les équipes de sécurité de l’information utilisent les deux types d’indicateurs pour analyser un événement relatif à la sécurité. Les indicateurs d’attaque signalent une attaque qui survient en temps réel, tandis que les indicateurs de compromission sont évalués après une attaque et permettent de mieux comprendre l’incident.

Quels types de données sont considérés comme des indicateurs de compromission?

Les indicateurs de compromission englobent divers types de données :

• les adresses IP;
• les noms de domaine;
• les URL;
• les adresses courriel;
• les tendances du trafic réseau;
• les noms et les chemins d’accès des fichiers ainsi que les fichiers de hachage.

Quelles sont les difficultés de la gestion efficace des IOC?

La surveillance et l’analyse des IOC présentent des difficultés. À lui seul, le volume des IOC détectés par jour peut submerger les équipes de sécurité, qui doivent en outre tenir à jour les IOC en fonction du paysage des menaces à évolution rapide d’aujourd’hui. Toutefois, même la gestion des IOC la plus efficace qui soit ne suffit pas à réduire le risque des menaces et à empêcher les attaques.

La gestion des IOC est une approche réactive qui compte sur l’historique des données des menaces connues. Les nouvelles menaces avancées peuvent tromper la solution de détection basée sur les indicateurs. Les IOC sont plus efficaces s’ils sont combinés à des mesures proactives visant à détecter les menaces plus rapidement, comme la sécurité de point terminal, les informations sur les menaces en temps réel, les plateformes de gestion des menaces et les contrôles d’accès selon l’identité.

Comment les IOC contribuent-ils à détecter les cybermenaces?

En cybersécurité, les IOC sont la preuve qu’une attaque peut s’être produite. Les équipes ou les technologies de sécurité surveillent, en quête d’irrégularités ou de tendances suspectes, le comportement du trafic réseau, des utilisateurs et des appareils, ainsi que les attributs des fichiers et les autres données. Les données du journal qui correspondent aux indicateurs de compromission connus alertent les équipes afin qu’elles examinent et maîtrisent les menaces potentielles.

Bien que les IOC soient utiles pour détecter les menaces connues, ils sont réactifs par nature et pourraient ne pas reconnaître les attaques avancées ou inconnues. Pour une détection proactive des menaces sophistiquées d’aujourd’hui, les organisations utilisent souvent les plateformes d’informations sur les menaces pour traquer les IOC dans leur environnement et se renseigner en temps réel sur les menaces récentes et sur les mesures à prendre pour les maîtriser.

Comment la surveillance des IOC contribue-t-elle aux interventions en cas d’incident?

Les équipes de sécurité surveillent les flux d’informations sur les menaces, les journaux de sécurité et le trafic réseau en quête d’IOC pouvant nécessiter un examen approfondi et une mesure corrective. La surveillance régulière de la sécurité des IOC permet ce qui suit :

Détection hâtive : La détection hâtive des IOC alerte les équipes en cas de violations ou d’attaques et leur permet d’éliminer rapidement la menace et de reprendre les activités.

Hiérarchisation : La surveillance des IOC contribue à hiérarchiser les incidents afin que les mesures correctives à prendre soient déterminées en fonction de la gravité de l’incident et que les menaces critiques soient contrées sans délai.

Amélioration de l’intervention : Le suivi et la documentation des IOC aident les équipes d’intervention à tirer des leçons de chaque événement et à élaborer un plan d’intervention en cas d’incident plus efficace.

Faible risque de sécurité : Une fois que les activités reprennent après une attaque, l’analyse détaillée de l’événement et de ses indicateurs permet de mettre au jour les vulnérabilités des systèmes et des processus. Cette analyse aide l’équipe à élaborer des défenses plus efficaces contre les attaques comparables qui pourraient se produire dans l’avenir.

Comment les IOC sont-ils catégorisés dans les examens approfondis de cybersécurité?

IOC basés sur le réseau

Les IOC basés sur le réseau signalent l’activité suspecte sur un réseau, comme les domaines, les adresses IP et les URL connus pour être malveillants. Le comportement inhabituel du trafic, comme une augmentation du trafic Web vers un site Web donné, peut également indiquer la compromission du réseau. Les outils de surveillance du réseau servent à détecter ces types d’IOC, comme les gestionnaires d’informations et d’événements de sécurité (SIEM) et les systèmes de détection des intrusions (IDS).

IOC basés sur les fichiers

Les indicateurs de compromission basés sur les fichiers suggèrent que des téléchargements malveillants ou des logiciels malveillants ont infecté des fichiers du système. Les outils de la fonction de bac de sable ou les logiciels de détection et d’intervention au point terminal sont couramment utilisés pour analyser les fichiers en quête de condensés de fichier, de chemins ou de noms de fichiers malveillants connus.

IOC basés sur les comportements

Les IOC basés sur les comportements tirent des leçons des écarts dans les activités et les tendances normales. L’escalade de privilèges, les demandes nombreuses pour un même fichier ou l’échec répété des tentatives de connexion sont des exemples de comportements indiquant qu’un système peut avoir été attaqué. Les solutions d’analyse du comportement de l’utilisateur et de l’entité (UEBA) supervisent les tendances dans les communications des utilisateurs et des appareils à la recherche d’un comportement qui diffère de la référence établie.

IOC basés sur l’hôte

Les IOC basés sur l’hôte mettent au jour l’activité potentiellement malveillante sur les ordinateurs personnels, les systèmes ou les autres terminaux. Citons notamment les changements inattendus aux paramètres du système, les modifications des permissions du système, ou les processus suspects qui s’exécutent sur un appareil. Pour surveiller la présence de menaces sur les terminaux et gérer les IOC basés sur l’hôte, on peut employer la détection et l’intervention de points d’extrémité (EDR) et les outils d’intervention (XDR).

Quels sont des exemples courants d’IOC?

Connexion inhabituelle

Les irrégularités constatées dans la connexion à un compte par un utilisateur ou un appareil révèlent une violation ou une tentative de violation. Plusieurs échecs de connexion, la connexion à partir d’un emplacement anormal, ou l’accès à des fichiers inhabituels de la part d’un utilisateur peuvent annoncer le piratage d’un compte.

Anomalies du trafic réseau

Lorsque les tendances du trafic réseau s’écartent de la norme, certaines anomalies peuvent suggérer qu’une cyberattaque a eu lieu. Par exemple, un pic soudain dans le transfert des données ou la communication avec une adresse IP malveillante connue peut indiquer qu’un agresseur tente de voler des données.

Irrégularités dans un compte privilégié

L’utilisation inattendue de comptes privilégiés peut signaler une menace interne ou la compromission d’un compte. Si un administrateur modifie les paramètres d’accès utilisateur ou accède à des ressources non standard, cela peut signifier qu’il tente d’obtenir un accès non autorisé.

Nombre important de demandes de fichiers

Une hausse soudaine de demandes pour des fichiers sensibles, particulièrement de la part d’un seul utilisateur ou d’une seule adresse IP, peut signifier qu’un agresseur déploie des efforts pour accéder à des renseignements exclusifs.

Anomalies dans les requêtes DNS

Les irrégularités dans les requêtes Domain Name System (DNS), comme les requêtes pour des domaines malveillants connus, peuvent évoquer les tentatives d’un agresseur d’établir une communication de commande et contrôle avec le serveur de l’organisation.

Changements de configuration

Les changements inattendus ou non autorisés aux configurations d’un système, aux règles du pare-feu, ou aux politiques de sécurité d’accès peuvent indiquer la présence d’un agresseur et ses tentatives d’affaiblir les défenses en place.

Processus suspects en exécution

Les processus inconnus qui s’exécutent dans un gestionnaire de tâches du système, particulièrement ceux qui ont des attributs ou des noms habituels, peuvent suggérer une infection par maliciel.

Outils et solutions des IOC

La supervision des IOC est cruciale pour repérer les attaques et les régler rapidement. La compréhension de ces indicateurs de compromission procure également des observations approfondies, qui permettent aux équipes de mieux maîtriser les vulnérabilités, d’améliorer les mécanismes de défense et de résorber plus rapidement les incidents de sécurité.

Comme les IOC sont un outil essentiel de la cybersécurité, ils ne sont pas des solutions autonomes. La supervision des IOC est plus efficace si elle est jumelée à des solutions de sécurité avancées qui protègent votre organisation contre les menaces croissantes, par exemple :

Système de prévention des intrusions de nouvelle génération (NGIPS)

Un NGIPS utilise les IOC pour détecter les menaces. Les NGIPS avancés supervisent continuellement les IOC basés sur les comportements des utilisateurs et des appareils, analysent en temps réel les menaces contextuelles, appliquent la sécurité dans l’ensemble des nuages publics et privés, et soutiennent la segmentation réseau pour une protection robuste contre les menaces.

Plateforme de sécurité des points terminaux

Les solutions de sécurité des points terminaux sont conçues pour protéger les appareils ou les terminaux qui sont connectés à un réseau. Les solutions étendues de détection et d’intervention (XDR) supervisent l’activité sur les terminaux, les courriels, le serveur, le nuage et le réseau à la recherche d’IOC basés sur les comportements. Ce niveau de visibilité, jumelé à l’IA et à l’apprentissage machine, permet les mesures correctives automatisées et orientées, hiérarchisées en fonction du risque le plus important.

Gestionnaire d’informations et d’événements de sécurité (SIEM)

Les solutions SIEM regroupent les données du journal, les données des événements, les informations sur les menaces et les alertes de sécurité émises par les systèmes d’un environnement de TI. Lorsque les activités sont en corrélation avec les IOC connus, un SIEM génère des alertes hiérarchisées en fonction des politiques prédéfinies et déclenche des interventions automatisées pour l’incident de sécurité potentiel.

Gestion de l’identité et de l’accès (IAM)

Les solutions IAM gèrent l’accès de l’utilisateur aux ressources en fonction de leurs identités numériques et du niveau d’accès. Pour empêcher les accès non autorisés aux ressources sensibles, ces solutions utilisent plusieurs facteurs pour authentifier l’identité d’un utilisateur et supervisent continuellement le comportement de l’utilisateur et de l’appareil pour vérifier la présence d’IOC.

Segmentation du réseau

La segmentation du réseau renforce le contrôle d’accès granulaire en divisant le réseau en petites sections. Au cas où des IOC signaleraient une brèche, la segmentation peut alors empêcher les attaques de se répandre latéralement dans le réseau, réduisant ainsi les dommages.

Plateformes d’informations sur les menaces

Les plateformes d’informations sur les menaces sont des outils de cybersécurité qui regroupent et analysent de grandes quantités de données mondiales issues de diverses sources, y compris les IOC, pour fournir des observations exploitables à propos des menaces de cybersécurité émergentes. L’intégration de l’information sur les cybermenaces dans votre architecture de sécurité rehausse les solutions de détection des menaces et d’intervention, permettant ainsi aux organisations de se défendre de façon proactive contre les cybermenaces en évolution basées sur les informations en temps réel.