inteligência de ameaças
3 artigos com esta tag
O que é um IOA (Indicator of Attack) — detectar uma invasão por comportamento, não por rastros
Um IOA (Indicator of Attack) detecta uma invasão pelo comportamento de um ataque em andamento (escalonamento de privilégios → movimento lateral → exfiltração). É a contraparte do IOC, que é a posteriori. Atacantes trocam hashes e IPs num instante, mas a técnica (comportamento) é difícil de mudar — então os IOAs duram. Até times pequenos podem se aproximar disso observando comportamento que difere do normal.
O que é um IOC (Indicator of Compromise) — rastros que revelam uma invasão
Um IOC (Indicator of Compromise) é um rastro que uma invasão deixa para trás — hashes de arquivo sabidamente maliciosos, IPs/domínios de atacantes, URLs, processos incomuns. Seu valor é detectar/bloquear mecanicamente o sabidamente malicioso. Mas é uma pista reativa que os atacantes trocam barato, então a correspondência de IOC é uma verificação final, não uma cura. A defesa de verdade é um design que não pega fogo (privilégio mínimo, correções, MFA).
O que é C2 (comando e controle) — o canal que atacantes usam para controlar um dispositivo após uma invasão
C2 é o canal que um dispositivo comprometido usa para ligar de volta ao servidor do atacante (um beacon) para receber comandos e exfiltrar dados — a etapa após a invasão. As chaves para detectá-lo são tráfego de saída periódico suspeito e destinos sabidamente maliciosos. Defesas: filtragem de saída, monitoramento de DNS, correspondência de IOC/IOA, privilégio mínimo. Confirmar que 'não há C2 residente' é uma parte fundamental da investigação de uma invasão.