Признак компрометации (IOC) - это понятие, используемое специалистами по компьютерной безопасности для обнаружения возможной вредоносной активности или компрометации системы в сети. С точки зрения безопасности, IOC - это любая информация или деятельность, которая отличается от ожидаемых, нормальных событий, что может свидетельствовать о присутствии злоумышленника. IOC может быть чем угодно: от подозрительного URL-адреса в веб-журналах до новой службы, прослушивающей системный порт.
IOC - это сочетание "типа доказательства" и метрики релевантности/ценности. Примеры типов доказательств могут включать IP-адреса, связанные с вредоносной деятельностью, пользователей или системы с несанкционированным доступом, а также имена файлов или хэши, связанные с вредоносным программным обеспечением. Метрика релевантности/ценности обычно включает значения баллов для доказательства, такие как его надежность или вероятность того, что оно является вредоносным. Обнаружение МОК зависит от сравнения текущих доказательств с имеющимися индикаторами, предположительно связанными с вредоносным поведением.
Организации используют МОК в качестве меры безопасности для систематического получения, анализа и принятия мер в отношении подозрительных точек данных. Подход к безопасности на основе IOC является скорее проактивным, чем реактивным, и позволяет организациям лучше отслеживать вредоносную активность в режиме реального времени и быстрее реагировать на угрозы. Собирая данные и показатели, связанные с попытками вторжения, организации также могут получить представление о том, как развиваются угрозы, и соответствующим образом улучшить свою защиту.
В мире кибербезопасности использование IoC становится все более популярным, поскольку они обеспечивают систему различения угроз и доброкачественного трафика, тем самым улучшая видимость сети. Используя стратегию безопасности на основе МОК, организации могут быстро обнаруживать и блокировать субъектов угроз и более эффективно защищать свои сети.