Введение
IoC (Indicator of Compromise, индикатор компрометации) – наблюдаемый технический артефакт или паттерн, обнаружение которого в информационной системе или сети свидетельствует о том, что система была скомпрометирована или находится под атакой. IoC являются основным «сырьём» для Threat Intelligence и инструментом обнаружения инцидентов в SIEM.
Концепция IoC сформулирована Mandiant (тогда MCIRT) в 2013 году в OpenIOC-фреймворке. Сегодня IoC стандартизированы в форматах STIX и обмениваются через TAXII.
История и контекст
До появления формализованного понятия IoC аналитики безопасности оперировали «сигнатурами» – жёстко закодированными паттернами антивирусов. IoC обобщил это понятие: не только байтовые последовательности, но и сетевые артефакты, поведенческие паттерны, ключи реестра. Pyramid of Pain (David Bianco, 2013) показала иерархию ценности различных типов IoC: хэши файлов легко менять атакующим, а изменение TTP требует значительных усилий.
Типы IoC
- Сетевые – IP-адреса C2-серверов, вредоносные домены, URL загрузчиков malware, User-Agent строки, SSL-сертификаты.
- Файловые – MD5/SHA1/SHA256 хэши вредоносных файлов, имена файлов и пути, YARA-правила для байтовых паттернов.
- Системные – пути в реестре Windows, имена процессов, сервисов, задач планировщика, изменения в hosts-файле.
- Поведенческие (IoB) – паттерны активности, характерные для конкретных вредоносных инструментов (например, использование PowerShell для загрузки из сети).
- Email – адреса отправителей, темы писем, хэши вложений в фишинговых кампаниях.
Где применяется
- SIEM – корреляция событий с IoC-базой для генерации алертов.
- Threat Hunting – поиск IoC в исторических логах и телеметрии EDR.
- EDR/XDR – блокировка файлов по хэшу, изоляция хостов при совпадении IoC.
- NGFW/DNS-фильтрация – блокировка трафика к вредоносным IP/доменам.
- Расследование инцидентов – подтверждение факта компрометации и атрибуция атаки.
Pyramid of Pain
Концепция Pyramid of Pain ранжирует IoC по ценности для обороняющегося: на вершине – TTP (тактики и техники), изменение которых для атакующего крайне дорого; внизу – хэши файлов, которые атакующий меняет за секунды перекомпиляцией. Средний уровень: сетевые/хостовые артефакты, инструменты.
Связь с другими понятиями
IoC – «продукт» Threat Intelligence, доставляемый через TI-фиды. Структурируется с помощью MITRE ATT&CK. Обнаруживается SIEM и UEBA. Используется при цифровой криминалистике для атрибуции атак.
