IOC (Indicator of Compromise)

Definitie

Een Indicator of Compromise (IOC) is een digitaal spoor dat wijst op een mogelijke cyberaanval. Voorbeelden: verdachte IP-adressen, malware-hashes of afwijkend netwerkverkeer.

Een Indicator of Compromise (IOC) is een digitaal spoor of artefact dat wijst op een mogelijke of bevestigde cyberaanval. IOC's vormen de basis van reactieve dreigingsdetectie en worden wereldwijd gedeeld via threat intelligence-platforms om organisaties te helpen bekende dreigingen sneller te identificeren.

Hoe werken IOC's?

IOC's zijn concrete, waarneembare sporen die achterblijven na een cyberaanval of die wijzen op lopende kwaadaardige activiteit. Wanneer een nieuwe malwarevariant wordt ontdekt, worden de bijbehorende IOC's geextraheerd en gedeeld met de beveiligingsgemeenschap. Security-tools zoals SIEM, EDR en firewalls vergelijken continu de activiteit in het netwerk met bekende IOC's. Bij een match wordt een alert gegenereerd voor het SOC-team. IOC's worden verspreid via threat intelligence-feeds in gestandaardiseerde formaten zoals STIX en TAXII.

Soorten IOC's

Netwerk-IOC's omvatten verdachte IP-adressen, domeinnamen en URL's die geassocieerd zijn met command-and-control-servers of phishing-campagnes. Host-based IOC's zijn bestandshashes (MD5, SHA-256), verdachte registersleutels, ongebruikelijke processen of bestanden op onverwachte locaties. E-mail IOC's betreffen afzenderadressen, onderwerpregels en bijlagehashes van bekende phishing-campagnes. Gedragsindicatoren beschrijven patronen zoals ongebruikelijke dataoverdrachten of inlogpogingen op afwijkende tijdstippen.

IOC versus IOA

IOC's zijn reactief: ze detecteren bekende dreigingen op basis van eerder geidentificeerde sporen. Indicators of Attack (IOA's) zijn proactief: ze herkennen aanvalsgedrag ongeacht de specifieke malware. Een volwassen beveiligingsoperatie combineert beide: IOC's voor snelle detectie van bekende dreigingen en IOA's voor het ontdekken van nieuwe, onbekende aanvallen.

Impact voor organisaties

Zonder IOC-gebaseerde detectie missen organisaties bekende dreigingen die al door andere organisaties zijn geidentificeerd. Het delen van IOC's via Information Sharing and Analysis Centers (ISACs) en threat intelligence-platforms is een kernonderdeel van collectieve cyberweerbaarheid. NIS2 moedigt informatie-uitwisseling over cyberdreigingen tussen organisaties aan. Het NCSC publiceert regelmatig IOC's gerelateerd aan actuele dreigingscampagnes die Nederlandse organisaties treffen.

Bescherming

Implementeer geautomatiseerde IOC-matching in SIEM, EDR en firewalls. Abonneer op threat intelligence-feeds van betrouwbare bronnen. Automatiseer het blokkeren van hoog-vertrouwen IOC's via SOAR. Houd IOC-databases actueel en verwijder verouderde indicatoren. Combineer IOC-detectie met gedragsmatige analyse voor een volledig detectiebeeld.

Hoe DEFION helpt

DEFION biedt Managed Threat Intelligence waarbij actuele IOC's continu worden geintegreerd in de monitoringomgeving. Het SOC-team correleert IOC-matches met bredere dreigingscontext om valse positieven te reduceren en daadwerkelijke incidenten snel te escaleren.

Gerelateerde termen

DEFION Security helpt organisaties hiermee: