Indicateur de compromission
Un indicateur de compromission (en anglais, indicator of compromise ou IOC), en sécurité informatique, est un artefact observé sur un réseau ou dans un système d'exploitation qui indique, avec un haut niveau de certitude, une intrusion informatique[1].
Des exemples d'indicateurs de compromission sont : des signatures virales, des adresses IP particulières, les hash de fichiers malveillants, des URLs ou des noms de domaine de serveurs de commande et de contrôle de botnet. Une fois que les identificateurs ont été identifiés dans un processus de réponse aux incidents et de criminalistique informatique, ils peuvent être utilisés pour la détection précoce des tentatives d'attaque en utilisant des systèmes de détection d'intrusion et des logiciels antivirus.
Des projets sont en cours pour standardiser le format des indicateurs de compromission pour en permettre un traitement automatisé plus efficace (RFC 5070[2])[3]. Les indicateurs de compromission connus sont généralement échangés au sein de l'industrie, souvent en association avec le Traffic Light Protocol (en)[4],[5],[6],[7],[8],[9],[10].
Notes et références
- Will Gragido, « Understanding Indicators of Compromise (IoC) Part I » [archive du ], RSA, (consulté le ).
- (en) « The Incident Object Description Exchange Format », Request for comments no 5070, .
- « Introduction to STIX » (consulté le ).
- « FIRST announces Traffic Light Protocol (TLP) version 1.0 », Forum of Incident Response and Security Teams (consulté le ).
- Eric Luiijf et Allard Kernkamp, « Sharing Cyber Security Information », sur Global Conference on CyberSpace 2015, Toegepast Natuurwetenschappelijk Onderzoek, (consulté le ).
- Don Stikvoort, « ISTLP - Information Sharing Traffic Light Protocol », sur Trusted Introducer, National Infrastructure Security Co-ordination Centre, (consulté le ).
- « Development of Policies for Protection of Critical Information Infrastructures », Organisation for Economic Co-operation and Development (OECD) (consulté le ).
- « ISO/IEC 27010:2015 [ISO/IEC 27010:2015] | Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications », International Organization for Standardization/International Electrotechnical Commission, (consulté le ).
- « Traffic Light Protocol (TLP) Definitions and Usage », United States Department of Homeland Security (consulté le ).
- « Traffic Light Protocol » [archive du ], Centre for Critical Infrastructure Protection (consulté le ).