® 
IOA (Indicadors d'Atac)
Definicio
Els IOA son indicadors conductuals que senyalen un atac en curs, a diferencia dels IOC que detecten l'atac a posteriori.
Els Indicadors d'Atac (IOA) son indicadors conductuals que assenyalen un atac en curs, a diferencia dels IOC que detecten l'atac a posteriori. Els IOA permeten als equips de seguretat detenir els atacs abans, sovint abans que es produeixi dany.
Com funcionen els IOA?
Els IOC son reactius: cerquen artefactes coneguts com hashes de malware. Els IOA son proactius: reconeixen el comportament d'atac independentment del malware especific. Exemples d'IOA: PowerShell iniciat per un document Word (atac de macro), inici de sessio a hora inusual, proces intentant escalar privilegis de kernel, eines d'administracio connectant-se a centenars de sistemes rapidament (moviment lateral).
IOA versus IOC
Els IOC detecten amenaces conegudes. Els IOA detecten el comportament d'atac fonamental que tot atacant exhibeix. Una operacio de seguretat madura combina ambdos.
Impacte per a les organitzacions
La deteccio basada en IOA es el nucli de les plataformes EDR i XDR modernes. NIS2 exigeix capacitats de deteccio que vagin mes enlla de la deteccio basada en signatures.
Proteccio
Implementeu EDR/XDR amb analisi conductual que reconegui patrons IOA. Definiu regles de deteccio basades en tecniques MITRE ATT&CK.
Com ajuda DEFION
DEFION integra deteccio basada en IOA a Managed Threat Detection. Purple Teaming valida l'efectivitat de les regles de deteccio IOA.