Come decifrare gli acronimi della sicurezza informatica: IoC e IoA
I team che si occupano della sicurezza informatica ricoprono il ruolo più importante nella lotta contro la cybercriminalità in qualsiasi azienda. È per questo che hanno bisogno delle tecnologie più avanzate possibili.
Tuttavia, ci sono altri importanti fattori che influiscono sulla lotta contro i criminali informatici: anche avere un atteggiamento proattivo contro possibili attacchi informatici è infatti fondamentale. È qui che entrano in gioco due concetti essenziali per tutti i team di sicurezza: IoC (indicatori di compromissione) e IoA (indicatori di attacco).
Qual è la differenza? Vanno usati singolarmente o insieme? Quando devono essere utilizzati? Quale delle due opzioni è più efficace? Ecco un’analisi di questi due concetti.
IoC (indicatori di compromissione)
Gli IoC (indicators of compromise, indicatori di compromissione) identificano la presenza di un autore di minacce su un computer dopo che la compromissione potrebbe essere già avvenuta. In sostanza, vengono utilizzati per diagnosticare un problema di sicurezza che si è appena verificato all'interno dell'azienda: sono la prova che è avvenuta o stava per avvenire una violazione di sicurezza.
A tale scopo, gli IoC vengono utilizzati per identificare file o artefatti che sono stati precedentemente classificati come dannosi: un'e-mail di phishing, un file malware, un indirizzo IP associato alla criminalità informatica, un elemento di rischio nel registro di sistema e così via. Pertanto, gli IoC sono utili alle aziende per analizzare i danni subiti dopo o durante una compromissione e per reagire al fine di ridurne gli effetti e debellare la minaccia.
Gli IoC possono anche essere usati dall’azienda che ha subito l’attacco per diagnosticare con precisione ciò che è accaduto. Una volta localizzato il punto di attacco e la vulnerabilità sfruttata, si può risolvere il problema e prevenire attacchi simili in futuro.
IoA (indicatori di attacco)
La ricerca degli IoA (indicators of attack, indicatori di attacco) rappresenta un approccio diverso, completamente orientato alla proattività: l'obiettivo è evitare le compromissioni tramite lo svolgimento di indagini su attività sospette, al contrario dunque degli IoC, che si focalizzano sulla reazione e quindi sulla ricerca di prove che dimostrino la compromissione del sistema. In altre parole, gli IoA non intervengono quando l'attacco è già avvenuto, ma piuttosto quando è in corso o anche prima che possa avere conseguenze serie.
Gli IoA coprono le lacune lasciate dagli IoC: danno avvisi su qualsiasi tentativo di attacco, indipendentemente dal metodo utilizzato per eludere il sistema di sicurezza dell'azienda. Ciò significa che gli IoA rilevano gli elementi degli attacchi che non richiedono malware, come le tecniche LotL (living-off-the-land).
Questi indicatori sono il risultato del lavoro svolto dai team dedicati alla ricerca delle minacce, basato sulle più avanzate soluzioni di sicurezza informatica supportate da AI e ML (intelligenza artificiale e machine learning). Questi team indagano e analizzano in modo approfondito le attività dei processi del sistema, alla ricerca di comportamenti anomali o che possano rappresentare un rischio per la sicurezza aziendale. Se vengono rilevati, gli IoA consentono alle imprese di agire prima che la vulnerabilità possa essere sfruttata e che il danno diventi definitivo.
Conclusioni
La conclusione è chiara: gli IoC sono molto utili sia per scoprire una compromissione (la minaccia che ha causato l'incidente e le relative conseguenze) sia per implementare la reazione: ciò significa debellare i pericoli, bloccare l’incidente e ridurne gli effetti. Tuttavia, qualsiasi azienda che voglia proteggersi in modo proattivo deve concentrarsi sullo sviluppo di strategie di indagine basate sul rilevamento degli IoA per identificare le attività anomale, analizzarle e rispondere quanto prima alla minaccia, anche anticipando la possibilità che questa diventi un incidente concreto.
Esplora i prodotti WatchGuard Endpoint Security per scoprire come le nostre soluzioni consentono ai team di sicurezza di prevenire e rilevare minacce sofisticate in modo proattivo e attivare una risposta attraverso l'automazione e i motori di ricerca di IoA e IoC.