Indicator of Compromise (IOC)

Der Begriff Indicator of Compromise oder abgekürzt IOC wird in der Computer-Forensik für Daten verwendet, die in einem möglicherweise kompromittierten System gefunden wurden. Dabei kann es sich zum Beispiel um einzelne Dateien oder auch nur um Protokolldaten handeln, die auf böswillige Aktivitäten in einem System oder Netzwerk hinweisen und die dann in Form eines IOCs dokumentiert werden.

Beispiele für IOCs umfassen ungewöhnlichen Datenverkehr im Netzwerk, ungewöhnliche Aktivitäten eines Nutzers, Anomalien beim Login, Steigerungen bei den Lesevorgängen in Datenbanken, verdächtige Änderungen in der Registry oder von Systemdateien, ungewöhnliche DNS-Anfragen sowie Surf-Spuren, die nicht auf menschliches Verhalten hindeuten. Diese und andere ungewöhnliche Aktivitäten ermöglichen es Security-Mitarbeitern, die ein System oder Netzwerk überwachen, böswillige Eindringlinge frühzeitig im Rahmen eines Intrusion-Detection-Prozesses zu erkennen.

Das Erstellen von IOCs und die darin beschriebenen Bedrohungen erlauben es der Industrie, die Daten zu teilen und die Reaktionen auf Vorfälle sowie die Computer-Forensik insgesamt zu verbessern. Aus diesem Grund gibt es mehrere Anstrengungen durch zum Beispiel Gruppen wie das OpenIOC und Standards wie STIX sowie TAXII ein einheitliches System bei der Dokumentation und dem Bericht über Vorfälle zu finden.