Открыть сервис

Индикаторы компрометации

Индикаторы компрометации (англ. Indicators of Compromise, IoC) — это совокупность технических данных, свидетельствующих о потенциальном или состоявшемся несанкционированном доступе к информационной системе, вредоносной активности или нарушении политики безопасности. IoC представляют собой «цифровые улики», позволяющие специалистам по информационной безопасности выявлять инциденты, идентифицировать злоумышленников, классифицировать атаки и принимать меры по локализации угрозы.

История и происхождение понятия

Термин «индикаторы компрометации» вошёл в широкий обиход в сообществе специалистов по компьютерной безопасности в начале 2000-х годов. Его популяризация связывается с аналитиками группы Mandiant (ныне подразделение Google Cloud), которые в 2005 году начали систематизировать и публиковать технические следы, оставляемые вредоносным программным обеспечением (ВПО) и действиями злоумышленников.

До появления концепции IoC обнаружение угроз строилось преимущественно на сигнатурах антивирусных программ — однозначных шаблонах, характерных для конкретных образцов ВПО. Однако с усложнением атак и появлением целевых кампаний (advanced persistent threat, APT) сигнатурный метод перестал быть достаточным. Потребовалось более широкое понятие, включающее не только вредоносный код, но и данные о сетевой активности, используемых инструментах, времени атаки и поведении системы.

Классификация индикаторов компрометации

Индикаторы компрометации делятся на три основные категории по типу источника данных:

1. Сетевые индикаторы

Данные, извлекаемые из сетевого трафика или логов систем обнаружения вторжений (IDS/IPS):

2. Хостовые индикаторы

Данные, собираемые с конечных устройств (рабочие станции, серверы):

3. Поведенческие индикаторы

Характеристики действий, которые не сводятся к статическому шаблону, но свидетельствуют об аномальной активности:

Форматы обмена индикаторами

Для автоматизации обмена IoC между организациями, сообществами и платформами кибербезопасности разработаны стандартизированные форматы:

Практическое применение

Системы класса Threat Intelligence

Специализированные платформы (например, VirusTotal, AlienVault OTX, IBM X-Force Exchange, MISP) предоставляют доступ к актуальным базам IoC. Организации могут подписываться на фиды угроз по своей отрасли или типу угроз.

Интеграция с SIEM-системами

Современные системы управления информацией и событиями безопасности (SIEM), такие как Splunk, ArcSight, QRadar, позволяют импортировать списки IoC и строить правила корреляции, генерирующие оповещения при совпадении индикаторов с текущими событиями сети или хостов.

Средства Endpoint Detection and Response (EDR)

Агенты EDR-решений (CrowdStrike, SentinelOne, Kaspersky Endpoint Security для бизнеса — входит в реестр отечественного ПО, отечественные аналоги: PIRANNY, Security Vision) могут в реальном времени сверять события на конечных устройствах с загруженными IoC и автоматически блокировать или изолировать узлы при обнаружении соответствий.

Сетевые экраны и системы предотвращения вторжений (IPS)

Современные межсетевые экраны (NGFW) и IPS могут использовать списки IoC для блокировки соединений с вредоносными IP-адресами или доменами.

Проблемы и ограничения

Несмотря на широкое применение, индикаторы компрометации имеют ряд недостатков:

Эволюция: от IoC к IoA (Indicators of Attack)

В ответ на ограничения классических IoC в середине 2010-х годов развивается концепция индикаторов атаки (Indicators of Attack, IoA). В отличие от статических IoC, IoA описывают последовательности действий, которые обычно приводят к компрометации. Например, не просто IP-адрес зловредного сервера, а паттерн: «запуск интерпретатора PowerShell → получение полезной нагрузки по HTTP → изменение реестра». Такой подход позволяет обнаруживать атаки, даже если технические средства их реализации (IP, хеш) изменились.

Индикаторы компрометации в российской практике

В Российской Федерации деятельность по обмену и применению IoC регулируется в рамках Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и подзаконных актов ФСБ России, Минцифры и ФСТЭК России. Российские организации, особенно те, кто входит в критическую информационную инфраструктуру (КИИ), обязаны:

В 2023–2024 годах на российском рынке активно развиваются национальные платформы Threat Intelligence: BI.ZONE TIP, Positive Technologies PT.Threat Intelligence, Kaspersky TI. Они ориентированы на форматы, совместимые с ГосСОПКА, и учитывают специфику угроз для российской КИИ.

Источники

  1. Mandiant. M-Trends: Attack Lifecycle. — Mandiant, 2013.
  2. L. Garber. "Indicators of Compromise: The Art of Detection". — IEEE Security & Privacy, 2014.
  3. К. С. Булдыгин. «Основы кибербезопасности: Индикаторы компрометации (IoC)». — М.: ДМК-пресс, 2021.
  4. MISP Project. MISP: Malware Information Sharing Platform — официальная документация.
  5. NIST. Computer Security Incident Handling Guide (SP 800-61 Rev. 2). — National Institute of Standards and Technology, 2012.
  6. OASIS. STIX Version 2.1 Specification.
  7. Positive Technologies. «Threat Intelligence: что такое индикаторы компрометации и как их применять». — 2023.
  8. BI.ZONE. «Threat Intelligence Platform: описание и возможности». — 2024.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →