Indicatore di compromissione

L'indicatore di compromissione (dall'inglese Indicator of Compromise, abbreviato con IoC) è, nella informatica forense, un artefatto osservato in una rete o all'interno di un sistema che con un'alta probabilità è correlabile, o indica, un'intrusione.[1] Tipici IoC sono le firme antivirali, un Indirizzo IP, un hash MD5 con cui si identifica univocamente un file malevolo, una URL e/o un nome di dominio da cui è stato veicolato un attacco o verso cui un malware si connette una volta attivato (anche noto come C&C, Stazione di Comando e Controllo).

L'identificazione di IoC, durante un incidente informatico, è un passo essenziale per poter valutare in modo organico e scientifico le proporzioni dell'incidente stesso, da cui poi far partire le azioni di mitigazione e triage. In genere gli IoC, durante l'incidente, sono creati dal team del CERT e in particolare dagli analisti di informatica forense che li coniano per poter identificare altre occorrenze dell'attacco attraverso l'ausilio di Intrusion Detection System e antivirus.

Esistono tentativi, già in atto, di standardizzazione del formato degli IoC.[2][3] Spesso, nel campo della Sicurezza informatica gli IoC vengono scambiati tra investigatori ed esperti.[4]

Note

  1. ^ Understanding Indicators of Compromise (IOC) Part I, su blogs.rsa.com, RSA, 2012. URL consultato il 27 febbraio 2013 (archiviato dall'url originale il 27 febbraio 2013).
  2. ^ The Incident Object Description Exchange Format (TXT), su RFC 5070, IETF, 2007. URL consultato il 27 febbraio 2013.
  3. ^ Cyber Observable eXpression (CybOX), su cybox.mitre.org, Mitre. URL consultato il 27 febbraio 2013.
  4. ^ IoC Bucket, su iocbucket.com.
  Portale Informatica: accedi alle voci di Wikipedia che trattano di informatica