IOA (Indicators of Attack)

Definitie

Indicators of Attack (IOA) zijn gedragsindicatoren die een aanval in uitvoering signaleren — in tegenstelling tot IOC's (Indicators of Compromise) die de aanval achteraf detecteren. IOA's stellen beveiligingsteams in staat om aanvallen eerder te stoppen.

IOC's zijn reactief: ze detecteren bekende malware of verdachte bestanden. IOA's zijn proactief: ze herkennen aanvalspatronen ongeacht de specifieke malware.

Voorbeelden van IOA's: PowerShell wordt uitgevoerd door een Word-document (macro), een gebruiker logt in op een tijdstip dat hij normaal niet actief is, een proces probeert kernel-rechten te escaleren.

IOA's zijn de basis van threat hunting en EDR/XDR-detectie.

Gerelateerde termen