Indicatore di compromissione

Da Wikipedia, l'enciclopedia libera.
Jump to navigation Jump to search

Indicatore di Compromissione (dall'inglese "Indicator of compromise") abbreviato con IOC è, nella informatica forense, un artefatto osservato in una rete o all'interno di un sistema che con un'alta probabilità è correlabile, o indica, un'intrusione.[1] Tipici IOC sono le firme antivirali, un Indirizzo IP, un hash MD5 con cui si identifica univocamente un file malevolo, una URL e/o un nome di dominio da cui è stato veicolato un attacco o verso cui un malware si connette una volta attivato (anche noto come C&C, Stazione di Comando e Controllo).

L'identificazione di IOC, durante un incidente informatico, è un passo essenziale per poter valutare in modo organico e scientifico le proporzioni dell'incidente stesso, da cui poi far partire le azioni di mitigazione e triage. In genere gli IOC, durante l'incidente, sono creati dal team del CERT e in particolare dagli analisti di informatica forense che li coniano per poter identificare altre occorrenze dell'attacco attraverso l'ausilio di Intrusion Detection System e antivirus.

Esistono tentativi, già in atto, di standardizzazione del formato degli IOC.[2][3] Spesso, nel campo della Sicurezza informatica gli IOC vengono scambiati tra investigatori ed esperti.[4]

Note[modifica | modifica wikitesto]

  1. ^ Understanding Indicators of Compromise (IOC) Part I, RSA, 2012. URL consultato il 27 febbraio 2013 (archiviato dall'url originale il 27 febbraio 2013).
  2. ^ The Incident Object Description Exchange Format (TXT), su RFC 5070, IETF, 2007. URL consultato il 27 febbraio 2013.
  3. ^ Cyber Observable eXpression (CybOX), Mitre. URL consultato il 27 febbraio 2013.
  4. ^ IOC Bucket, su iocbucket.com.
Informatica Portale Informatica: accedi alle voci di Wikipedia che trattano di informatica