Home » IoC

IoC

Home » IoC

Qu’est-ce qu’un indicateur de compromission (IoC) ?

Un IoC (indicateur de compromission) en sécurité informatique est une donnée technique qualifiée qui permet de détecter des activités malveillantes sur un système d’information. Ces indicateurs peuvent s’appuyer sur des données de types variés, par exemple: un hash de fichiers, une signature, une adresse IP, une URL, un nom de domaine… mais dans tous les cas, la donnée technique seule (observable, voir ce mot) ne suffit pas pour parler d’IoC.

L'art de la création de règles de détection sur SEKOIA.IO XDR
Visionner le replay

L’usage des IoCs pour détecter et répondre aux menaces cyber

Grâce à un système d’analyse et de contextualisation perpétuelle de ces traces laissées par les attaquants, les spécialistes de la Cyber Threat Intelligence procèdent à une identification des menaces par l’élaboration de : données spécialisées et de moyens de les exploiter à travers les règles YARA ou les règles SIGMA.

Une erreur très commune est de considérer qu’une donnée technique brute (par exemple, une adresse IP) constitue un indicateur. En réalité, cette donnée technique seule n’est qu’un observable, et faute de contexte et de qualification, s’en servir comme indicateur conduit à de très nombreux faux positifs.

Pour une détection efficace, un indicateur doit toujours contenir, en plus d’un observable technique, des métadonnées de validité et de qualification.

Définition d'un Indicateur de compromission ou IoC par SEKOIA.IO

 

Comment collecter et utiliser les indicateurs de compromission ?

Prenons l’exemple des indicateurs fondés sur les adresses IP. Pour alerter une entreprise cliente sur une éventuelle connexion de son réseau informatique avec des adresses IP d’attaquants :

  1. L’équipe de chercheurs analysera chaque semaine, toutes les traces laissées par les auteurs sur l’ensemble des adresses IP du monde et en qualifiera certaines comme IoC. 
  2. Intégrées dans la base de données, ces informations serviront à générer une alerte, surtout à la contextualiser au cas où il y aurait une tentative de connexion entre le réseau informatique de l’entreprise avec l’une des adresses IP des attaquants. Il est rare de disposer en interne d’une équipe de recherche capable de suivre toutes les menaces efficacement. C’est pourquoi il est bien souvent préférable de se connecter à des bases de données et de s’abonner à leurs mises à jour, les flux de renseignements sur les menaces cyber ou feeds CTI. Certaines de ces bases sont éditées bénévolement et gratuitement par des communautés d’intérêt, d’autres sont commerciales et ne sont pas gratuites.
  3. Pour le chercheur, la démarche consiste à compléter le cycle du renseignement : collecter des données, certaines ouvertes, d’autres avec des moyens en propre, investiguer, croiser les informations, et les qualifier.
  4. La dernière étape consiste à les standardiser pour les rendre opérationnelles. Chez SEKOIA, nous utilisons SEKOIA.IO TIP pour réaliser ce travail; les indicateurs ainsi élaborés sont ensuite mis à disposition au format standard STIX 2.1 dans nos solutions SEKOIA.IO CTI et SEKOIA.IO XDR.
Webinar replay sur la manière dont SEKOIA.IO améliore l'Expérience Analyste avec Sigma Correlation
Visionner le replay

IoC vs IoA, quelles différences ?

Un IoC est la réponse aux questions « Quoi » et « Comment » d’une attaque ayant déjà eu lieu ailleurs.

Contrairement à un IoC, un IoA (Indicators of Attack) sert d’indicateur sur la présence d’une attaque en cours. Par exemple, une adresse IP repérée lors d’une attaque précédente peut devenir un IoC; lorsque cette même IP sera repérée dans un système d’information, elle constituera un IoA.

Vous pouvez consulter d’autres définitions sur le : SOC (Security Operations Center), CTI (Cyber Threat Intelligence), XDR (eXtended Detection and Response), EDR (Endpoint Detection and Response), SIEM (Security Information and Event Management).

Si vous consultez pour la première fois SEKOIA.IO, sachez que nous sommes un éditeur de logiciels de cybersécurité. Nous fournissons aux équipes cyber et MSSP une plateforme de sécurité opérationnelle clé en main. À travers notre plateforme XDR, notre outil CTI et notre plateforme de Threat Intelligence, nous permettons à nos usagers de neutraliser les menaces informatiques, quelle que soit la surface d’attaque.

Autres termes

CERT

CSIRT

CTI

EDR

EPP

EPT

Firewall

ISAC

MSSP

Autres termes

CTI(Cyber Threat Intelligence)

La Cyber Threat Intelligence (CTI) définit la recherche, la contextualisation et la modélisation de la menace. Il sert à les prévenir et à les détecter.

En savoir plus

EDR(Endpoint Detection and Response)

EDR est l’acronyme de Endpoint Detection and Response. Le terme EDR est apparu pour la première fois en 2013 dans une analyse de la société de conseil Gartner. Analysant le fait que les hackers ciblent prioritairement les postes de travail des salariés, Gartner a introduit le concept de “Endpoint Detection and Response” pour désigner une solution de sécurité permettant de détecter et de remédier aux cybermenaces ciblant les terminaux (ordinateur, serveur).

En savoir plus

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ?
Vous voulez découvrir nos produits de XDR et de CTI ?
Vous avez un projet de cybersécurité dans votre organisation ?
Prenez rendez-vous et rencontrons-nous !

Contactez-nous

Chat with our team !

Would you like to know more about our solutions ?
Do you want to discover our XDR and CTI products ?
Do you have a cyber security project in your organization ?
Make an appointment and meet us !
Contact us