® 
IOA (Indicators of Attack)
Definitie
Indicators of Attack (IOA) zijn gedragsindicatoren die een aanval in uitvoering signaleren — in tegenstelling tot IOC's (Indicators of Compromise) die de aanval achteraf detecteren. IOA's stellen beveiligingsteams in staat om aanvallen eerder te stoppen.
Indicators of Attack (IOA) zijn gedragsindicatoren die een aanval in uitvoering signaleren, in tegenstelling tot IOC's (Indicators of Compromise) die de aanval achteraf detecteren. IOA's stellen beveiligingsteams in staat aanvallen eerder te stoppen, vaak voordat schade wordt aangericht. CrowdStrike introduceerde het concept als basis voor proactieve dreigingsdetectie.
Hoe werken IOA's?
IOC's zijn reactief: ze zoeken naar bekende sporen zoals malwarehashes en verdachte IP-adressen. IOA's zijn proactief: ze herkennen aanvalsgedrag ongeacht de specifieke malware of tools. Een IOA beschrijft niet wat de aanvaller gebruikt maar wat de aanvaller doet. Voorbeelden van IOA's: PowerShell wordt gestart door een Word-document (macro-aanval), een gebruiker logt in op een ongebruikelijk tijdstip vanaf een onbekende locatie, een proces probeert kernelrechten te escaleren, een beheertool maakt verbinding met honderden systemen in korte tijd (laterale beweging), grote hoeveelheden data worden naar een extern IP verzonden (exfiltratie).
IOA versus IOC
IOC's detecteren bekende dreigingen: als de malwarehash in de database staat, wordt deze herkend. Maar nieuwe malware met een onbekende hash passeert ongemerkt. IOA's detecteren het gedrag dat elke aanvaller vertoont, ongeacht de specifieke tools. Een aanvaller kan elke dag nieuwe malware compileren, maar het fundamentele aanvalsgedrag (code execution via macro, privilege escalation, lateral movement) blijft herkenbaar. Een volwassen beveiligingsoperatie combineert IOC's voor snelle herkenning van bekende dreigingen met IOA's voor detectie van nieuwe, onbekende aanvallen.
Impact voor organisaties
IOA-gebaseerde detectie is de kern van moderne EDR- en XDR-platforms. Organisaties die alleen op IOC's vertrouwen missen geavanceerde aanvallen die custom malware en living-off-the-land-technieken gebruiken. NIS2 vereist adequate detectiecapaciteiten die verder gaan dan signature-based detectie.
Bescherming
Implementeer EDR/XDR met gedragsanalyse die IOA-patronen herkent. Combineer IOA-detectie met IOC-matching voor een volledig beeld. Definieer IOA-detectieregels op basis van MITRE ATT&CK-technieken. Voer threat hunting uit op IOA-patronen.
Hoe DEFION helpt
DEFION integreert IOA-gebaseerde detectie in de Managed Threat Detection-dienst. Threat hunting zoekt specifiek naar IOA-patronen die wijzen op geavanceerde aanvallen. Purple Teaming valideert de effectiviteit van IOA-detectieregels.