® 
IOC (Indicador de Compromis)
Definicio
Un IOC es un artefacte digital que indica un possible ciberatac.
Un Indicador de Compromis (IOC) es una empremta o artefacte digital que assenyala un possible o confirmat ciberatac. Els IOC formen la base de la deteccio reactiva d'amenaces i es comparteixen globalment a traves de plataformes d'intel-ligencia d'amenaces per ajudar les organitzacions a identificar amenaces conegudes mes rapidament.
Com funcionen els IOC?
Els IOC son empremtes concretes i observables que queden despres d'un ciberatac o que indiquen activitat maliciosa en curs. Quan es descobreix una nova variant de malware, els IOC associats s'extreuen i es comparteixen amb la comunitat de seguretat. Les eines de seguretat com SIEM, EDR i tallafocs comparen continuament l'activitat de xarxa amb IOC coneguts. Quan hi ha una coincidencia, es genera una alerta per a l'equip SOC. Els IOC es distribueixen mitjancant feeds d'intel-ligencia d'amenaces en formats estandarditzats com STIX i TAXII.
Tipus d'IOC
Els IOC de xarxa inclouen adreces IP sospitoses, noms de domini i URL associats amb servidors de comandament i control o campanyes de phishing. Els IOC basats en host inclouen hashes de fitxers (MD5, SHA-256), claus de registre sospitoses i processos inusuals. Els IOC de correu electronic inclouen adreces de remitent i hashes de fitxers adjunts de campanyes de phishing conegudes. Els indicadors de comportament descriuen patrons com transferencies de dades inusuals.
IOC versus IOA
Els IOC son reactius: detecten amenaces conegudes basant-se en empremtes previament identificades. Els Indicadors d'Atac (IOA) son proactius: reconeixen comportament d'atac independentment del malware especific. Una operacio de seguretat madura combina ambdos.
Impacte per a les organitzacions
Sense deteccio basada en IOC, les organitzacions perden amenaces conegudes ja identificades per altres organitzacions. Compartir IOC a traves d'ISACs i plataformes d'intel-ligencia d'amenaces es un component central de la ciberresiliencia col-lectiva. NIS2 fomenta l'intercanvi d'informacio sobre ciberamenaces entre organitzacions.
Proteccio
Implementeu coincidencia automatitzada d'IOC en SIEM, EDR i tallafocs. Subscriviu-vos a feeds d'intel-ligencia d'amenaces de fonts fiables. Automatitzeu el bloqueig d'IOC d'alta confianca mitjancant SOAR. Mantingueu les bases de dades d'IOC actualitzades. Combineu la deteccio d'IOC amb analisi de comportament.
Com ajuda DEFION
DEFION ofereix Managed Threat Intelligence on els IOC actuals s'integren continuament a l'entorn de monitoratge. L'equip SOC correlaciona les coincidencies d'IOC amb un context d'amenaces mes ampli.