Глоссарий
Что такое IOC (Indicator of Compromise) — следы, выдающие взлом
IOC (Indicator of Compromise) — это след, оставленный уже случившимся взломом: подозрительный хеш файла, IP или домен злоумышленника, необычный процесс. Значение и типы, как сопоставлять их с вашими журналами и предел (следы реактивны и легко меняются) — объяснено с точки зрения защиты.
«Как понять, не взломали ли меня?» — подсказки это IOC (Indicators of Compromise). Разберём значение и типы, как их использовать и почему им не стоит чрезмерно доверять — всё с точки зрения защиты (без шагов атаки).
Основные типы IOC
Они делятся на четыре по «где оседает след».
| Тип | Примеры | Где сопоставлять |
|---|---|---|
| Сеть | IP/домен сервера злоумышленника, URL C2 | Журналы межсетевого экрана / прокси / DNS |
| Файл | SHA-256 хеш вредоносного ПО, характерное имя файла | EDR / антивирус / список файлов |
| Хост | Подозрительный ключ реестра, незнакомый резидентный процесс | Журналы ОС, список процессов |
| Поведение | Вход в необычное время/из необычной страны, внезапный массовый трафик | Журналы аутентификации, мониторинг трафика |
IOC против IOA — «след» против «поведения»
Обычное противопоставление — IOA (Indicator of Attack). Разница показывает и сильную, и слабую стороны IOC.
IOC (Indicator of Compromise) = след результата
- Свидетельство того, что уже случилось (хеши, IP)
- Можно сопоставлять механически с известным вредоносным — быстро
- Но злоумышленники легко это меняют (одноразово)
- По своей сути реактивно
IOA (Indicator of Attack) = поведение в процессе
- Поток техники: повышение привилегий → горизонтальное перемещение → вывод данных
- Ловит ближе к реальному времени
- Труднее изменить, чем след (это суть атаки)
- Тяжелее внедрить — нужно понимание механики
Насколько «изменяемо» каждое для злоумышленника (пирамида боли)
Даже среди IOC усилия, нужные злоумышленнику, чтобы изменить один из них, — то есть насколько ему больно, когда вы его ловите, — разнятся колоссально. Ниже — легче изменить; выше — труднее.
Поэтому сопоставление хешей и IP работает быстро, но и устаревает быстро. Чем лучше вы понимаете технику (как они атакуют), тем дольше держится ваша защита.
Использование IOC даже при малом масштабе
Даже без выделенного EDR или подписки на threat intelligence есть реалистичный минимум, который вы можете сделать.
Берите IOC из доверенных источников
Сопоставляйте их с вашими журналами и зависимостями
При срабатывании изолируйте и расследуйте
Записывайте собственные IOC и расширяйте проверку
Мнение этого сайта: IOC — это «след копоти после пожара»; настоящая цель — не гореть
Сопоставление IOC важно, но это осмотр следов копоти после пожара. К моменту, когда след проявится, вы уже взломаны. Поэтому на этом сайте мы держим сопоставление IOC как инструмент осмотра, а вес кладём на проектирование, которое не горит: минимум привилегий, быстрые обновления (мониторинг CVE), устойчивая к фишингу MFA и никакого хранения секретов в открытом виде. Защита, опирающаяся на реактивное сопоставление следов, всегда на шаг позади. Способность «замечать» через следы и способность «предотвращать» само существование следов — два колеса, которые хочется иметь вместе.
Читать дальше
- Глоссарий: Что такое CVE (идентификатор дыры) · Что такое программа-вымогатель · Что такое фишинг
- Восстановление: Основы резервного копирования и восстановления
FAQ
QЧто такое IOC?
Сокращение от Indicator of Compromise — след, оставленный уже случившимся взломом. Конкретно: хеш подозрительного файла, IP или домен назначения злоумышленника, вредоносный URL, необычный процесс или изменение реестра. Вы храните их как список известного вредоносного и сопоставляете с вашими журналами и устройствами, чтобы заметить признаки компрометации.
QЧем IOC отличается от CVE?
CVE — это «где дыра» (идентификатор уязвимости); IOC — «есть ли свидетельство взлома» (доказательство атаки). CVE — это то, что вы патчите; IOC — то, что вы проверяете, чтобы понять, не пострадали ли вы уже. Порядок: закрыть дыру через CVE, затем проверить на следы через IOC.
QМожно ли защищаться одними IOC?
Нет. IOC по своей сути реактивны, и злоумышленники могут дёшево менять хеши файлов и IP. Сопоставление IOC полезно как финальная проверка на известное вредоносное, но реальная защита — проектирование, которое не горит (минимум привилегий, быстрые обновления, устойчивая к фишингу MFA), плюс мониторинг труднее меняемого «поведения».