Was ist ein Indicator of Attack?


Der Indicator of Attack (IoA) ist ein Merkmal, anhand dessen sich ein bevorstehender oder gerade erfolgender Angriff auf ein Computer­system oder Netzwerk erkennen lässt. Gegen­über dem Indicator of Compromise (IoC) hat der IoA einen proaktiven Charakter und ermöglicht die Abwehr eines Angriffs, bevor es zu einer Kompromittierung des Systems kommt.

Die Abkürzung IoA steht für Indicator of Attack. Es handelt sich um ein Merkmal oder Ereignis, das auf einen unmittelbar bevorstehenden oder gerade erfolgenden Angriff auf ein Computersystem oder ein Netzwerk schließen lässt. Im Vergleich zum Indicator of Compromise (IoC) hat der IoA einen proaktiven Charakter. Er zielt überwiegend auf Absichten eines Angreifers ab und ist sichtbar, bevor es zur Kompromittierung eines Systems kommt.

Ein Indicator of Attack ermöglicht aufgrund spezifischer Merkmale auch die Erkennung bisher unbekannter Bedrohungen oder Sicherheitslücken. In der Regel handelt es sich um bestimmte Aktivitäten auf einem Rechner oder in einem Netzwerk, die einen Angriff vorbereiten oder versuchen, eventuelle Schwachstellen zu finden. Durch ein kontinuierliches und konsequentes Suchen nach den Indicators of Attack lässt sich das Sicherheitsniveau einer IT-Umgebung steigern.

Typische Indikatoren eines Angriffs

Es existieren zahlreiche Indicator of Attack. Oft kommt es bei einem Angriffsversuch zu einem Auftreten mehrerer Indikatoren gleichzeitig. Die verschiedenen Indikatoren lassen sich beispielsweise aus Firewall-Logs, Server-Logs, Endgeräte-Logs, Netzwerk-Monitoring-Systemen, Identity-Managment-Systemen, Task-Managern oder anderen Informationsquellen auslesen. Typische Indikatoren eines Angriffs oder der Vorbereitung eines Angriffs sind beispielsweise:

  • Rechner- oder Netzwerkaktivitäten zu außergewöhnlichen Zeiten
  • ein Zunahme von Anmeldeversuchen an einem System
  • Änderungsversuche von Passwörtern
  • Anmeldeversuche aus ungewöhnlichen Regionen
  • Netzwerkverkehr zu außergewöhnlichen Zielen (IP-Adressen, Ports, URLs, Länder)
  • Protokoll- oder Port-Mismatches (Nutzung von Ports, die nicht zu den Standard-Ports der Protokolle passen)
  • interne oder externe Netzwerk- und Portscans
  • außergewöhnliche Alarme, Infomeldungen oder andere Logeinträge in einzelnen Systemen
  • vermehrter Netzwerkverkehr bestimmter IP-Protokolle
  • außergewöhnliche DNS-Anfragen
  • hohe Auslastung eines Rechners durch bestimmte Prozesse
  • ungeplante Neustarts von Rechnern
  • außergewöhnliche Zugriffe auf bestimmte Dateien
  • Installationsversuche von Software

Abgrenzung zwischen Indicator of Compromise und Indicator of Attack

Es existieren verschiedene Arten von Indikatoren, anhand derer sich Bedrohungen von Computersystemen und Netzwerkumgebungen erkennen lassen. Neben dem Indicator of Attack (IoA) existiert der Indicator of Compromise (IoC). Während der Indicator of Attack vor einem Angriff oder direkt während eines gerade erfolgenden Angriffs zu erkennen ist , tritt der Indicator of Compromise erst in Erscheinung, wenn ein Einbruch in ein System oder eine Kompromittierung tatsächlich stattgefunden hat. Der Indicator of Attack lässt sich als Indikator für proaktive Maßnahmen zum Schutz eines Systems klassifizieren. Beim Indicator of Compromise handelt es sich um einen Indikator für reaktive Maßnahmen.





Source link

Related posts