O que são indicadores de comprometimento (IOCs)?
Saiba como monitorizar, identificar, utilizar e responder a indicadores de comprometimento.
Explicação sobre indicadores de comprometimento
Um indicador de comprometimento (IOC) é uma prova de que alguém pode ter causado uma falha de segurança na rede ou ponto final de uma organização. Estes dados forenses não indicam apenas uma potencial ameaça, mas sinalizam que um ataque, como malware, credenciais comprometidas ou transferência de dados não autorizada, já ocorreu. Os profissionais de segurança procuram IOCs em registos de eventos, soluções de deteção e resposta alargada (XDR) e soluções de gestão de informações e eventos de segurança (SIEM). Durante um ataque, a equipa utiliza os IOCs para eliminar a ameaça e mitigar os danos. Após a recuperação, os IOCs ajudam a organização a compreender melhor o que aconteceu, para que a equipa de segurança da organização possa reforçar a segurança e reduzir o risco de outro incidente semelhante.
Exemplos de IOCs
No quadro da segurança baseada em IOCs, os profissionais de TI monitorizam o ambiente para detetar as seguintes pistas de que um ataque está em curso:
Anomalias no tráfego de rede
Na maioria das organizações, existem padrões consistentes para o tráfego de rede que entra e sai do ambiente digital. Quando isso muda, por exemplo, se houver significativamente mais dados a sair da organização ou se houver atividade proveniente de uma localização invulgar na rede, tal poderá constituir um sinal de um ataque.
Tentativas invulgares de início de sessão
Tal como o tráfego de rede, os hábitos de trabalho das pessoas são previsíveis. Normalmente, iniciam sessão a partir das mesmas localizações e aproximadamente às mesmas horas durante a semana. Os profissionais de segurança podem detetar uma conta comprometida ao prestar atenção aos inícios de sessão a horas estranhas do dia ou a partir de localizações geográficas invulgares, como um país onde a organização não tem escritório. Também é importante tomar nota de vários inícios de sessão falhados a partir da mesma conta. Embora as pessoas se esqueçam periodicamente das suas palavras-passe ou tenham problemas em iniciar sessão, normalmente conseguem resolver o problema após algumas tentativas. As repetidas tentativas de início de sessão falhadas podem indicar que alguém está a tentar aceder à organização através de uma conta roubada.
Irregularidades na conta de privilégios
Muitos atacantes, sejam eles internos ou externos, estão interessados em aceder a contas administrativas e adquirir dados confidenciais. Um comportamento atípico associado a estas contas, como alguém a tentar aumentar os seus privilégios, pode ser um sinal de uma falha de segurança.
Alterações nas configurações dos sistemas
O malware é muitas vezes programado para fazer alterações nas configurações dos sistemas, tais como ativar o acesso remoto ou desativar o software de segurança. Ao monitorizar estas alterações de configuração inesperadas, os profissionais de segurança podem identificar uma falha de segurança antes de ocorrerem demasiados danos.
Instalações ou atualizações inesperadas de software
Muitos ataques começam com a instalação de software, como malware ou ransomware, que é intencionalmente concebido para tornar os ficheiros inacessíveis ou para dar aos atacantes acesso à rede. Ao monitorizar as instalações e atualizações não planeadas de software, as organizações podem detetar rapidamente estes IOCs.
Vários pedidos para o mesmo ficheiro
Vários pedidos para um único ficheiro podem indicar que um ator mal-intencionado está a tentar roubá-lo e tentou vários métodos para aceder ao mesmo.
Pedidos invulgares de Sistemas de Nomes de Domínio
Alguns atores mal-intencionados utilizam um método de ataque chamado comando e controlo. Instalam malware no servidor de uma organização que cria uma ligação a um servidor que lhes pertence. Em seguida, enviam comandos do respetivo servidor para o computador infetado para tentar roubar dados ou perturbar as operações. Os pedidos invulgares de Sistemas de Nomes de Domínio (DNS) ajudam os profissionais de TI a detetar estes ataques.
Porque é que os IOCs são importantes
Monitorizar os IOCs é fundamental para reduzir o risco de segurança de uma organização. A deteção precoce de IOCs permite que as equipas de segurança respondam e resolvam os ataques rapidamente, reduzindo o tempo de inatividade e as interrupções. A monitorização regular também dá às equipas maiores informações sobre as vulnerabilidades organizacionais, que podem ser mitigadas.
Responder a indicadores de comprometimento
Assim que as equipas de segurança identificam um IOC, precisam de responder eficazmente para garantir o mínimo possível de danos para a organização. Os passos seguintes ajudam as organizações a manterem-se focadas e a travarem as ameaças o mais rapidamente possível:
Estabeleça um plano de resposta a incidentes
A resposta a um incidente é stressante e exige uma resposta atempada, porque quanto mais tempo os atacantes permanecerem sem serem detetados, maior é a probabilidade de atingirem os seus objetivos. Muitas organizações desenvolvem um plano de resposta a incidentes para ajudar a orientar as equipas durante as fases críticas de uma resposta. O plano descreve como a organização define um incidente, funções e responsabilidades, os passos necessários para resolver um incidente e como a equipa deve comunicar com os colaboradores e intervenientes externos.
Isole os sistemas e dispositivos comprometidos
Assim que a organização tiver identificado uma ameaça, a equipa de segurança isola rapidamente as aplicações ou sistemas que estão a ser atacados do resto das redes. Isto ajuda a impedir que os atacantes acedam a outras partes da empresa.
Realize análises forenses
A análise forense ajuda as organizações a detetar todos os aspetos de uma falha de segurança, incluindo a origem, o tipo de ataque e os objetivos do atacante. A análise é efetuada durante o ataque para compreender a extensão do compromisso. Depois de a organização ter recuperado do ataque, a análise adicional ajuda a equipa a compreender possíveis vulnerabilidades e outras informações.
Elimine a ameaça
A equipa remove o atacante e qualquer malware dos sistemas e recursos afetados, o que pode implicar colocar os sistemas offline.
Implemente melhorias na segurança e nos processos
Depois de a organização ter recuperado do incidente, é importante avaliar a razão pela qual o ataque aconteceu e se há algo que a organização poderia ter feito para o evitar. Pode haver melhorias simples de processos e políticas que reduzam o risco de um ataque semelhante no futuro, ou a equipa pode identificar soluções de longo alcance para adicionar a um mapa de objetivos de segurança.
Soluções de IOC
A maioria das falhas de segurança deixa um rasto forense nos ficheiros e sistemas de registo. Aprender a identificar e monitorizar estes IOCs ajuda as organizações a isolar e eliminar rapidamente os atacantes. Muitas equipas recorrem a soluções SIEM, como o Microsoft Sentinel e o Microsoft Defender XDR, que utilizam IA e automatização para detetar IOCs e correlacioná-los com outros eventos. Um plano de resposta a incidentes permite que as equipas se antecipem aos ataques e os eliminem rapidamente. No que diz respeito à cibersegurança, quanto mais rapidamente as empresas compreenderem o que está a acontecer, maior será a probabilidade de travarem um ataque antes que este lhes custe dinheiro ou prejudique a sua reputação. A segurança de IOC é fundamental para ajudar as organizações a reduzir o risco de uma falha de segurança dispendiosa.
Saiba mais sobre o Microsoft Security
Proteção contra ameaças da Microsoft
Identifique e responda a incidentes em toda a sua organização com os últimos desenvolvimentos em matéria de proteção contra ameaças.
Microsoft Sentinel
Detete ameaças sofisticadas e responda de forma decisiva com uma solução SIEM poderosa e com base na cloud.
Microsoft Defender XDR
Impeça ataques em pontos finais, e-mail, identidades, aplicações e dados com as soluções XDR.
Comunidade de informações sobre ameaças
Obtenha as atualizações mais recentes da edição da comunidade de Informações sobre Ameaças do Microsoft Defender.
Perguntas mais frequentes
-
Existem vários tipos de IOCs. Alguns dos mais comuns são:
- Anomalias no tráfego de rede
- Tentativas invulgares de início de sessão
- Irregularidades na conta de privilégios
- Alterações nas configurações do sistema
- Instalações ou atualizações inesperadas de software
- Vários pedidos para o mesmo ficheiro
- Pedidos invulgares de Sistemas de Nomes de Domínio
-
Um indicador de compromisso é uma prova digital de que já ocorreu um ataque. Um indicador de um ataque é uma prova de que é provável que ocorra um ataque. Por exemplo, uma campanha de phishing é um indicador de ataque porque não há provas de que o atacante tenha causado uma falha de segurança na empresa. No entanto, se alguém clicar numa ligação de phishing e transferir malware, a instalação do malware é um indicador de comprometimento.
-
Os indicadores de comprometimento no e-mail incluem uma súbita vaga de spam, anexos ou ligações estranhas, ou um e-mail inesperado de uma pessoa conhecida. Por exemplo, se um colaborador enviar um e-mail com um anexo estranho a um colega de trabalho, tal poderá indicar que a respetiva conta foi comprometida.
-
Existem várias formas de identificar um sistema comprometido. Uma alteração no tráfego de rede de um determinado computador pode ser um indicador de que este foi comprometido. Se uma pessoa que normalmente não precisa de um sistema começar a aceder-lhe regularmente, isso é um sinal de alerta. Alterações nas configurações do sistema ou uma instalação inesperada de software também podem indicar que foi comprometido.
-
Três exemplos de IOC são:
- Uma conta de utilizador sediada na América do Norte começa a iniciar sessão nos recursos da empresa a partir da Europa.
- Milhares de pedidos de acesso em várias contas de utilizador, indicando que a organização foi vítima de um ataque de força bruta.
- Pedidos de novos Sistemas de Nomes de Domínio provenientes de um novo anfitrião ou de um país onde os colaboradores e clientes não residem.
Siga o Microsoft Security