Trace Id is missing
Passa a contenuti principali
Microsoft Security

Che cosa sono gli indicatori di compromissione (IOC)?

Informazioni su come monitorare, identificare, usare e rispondere agli indicatori di compromissione.

Spiegazione degli indicatori di compromissione

Un indicatore di compromissione (IOC) è la prova che qualcuno potrebbe aver violato la rete o l'endpoint di un'organizzazione. Questi dati forensi non indicano solo una potenziale minaccia, ma segnalano che si è già verificato un attacco, ad esempio malware, credenziali compromesse o esfiltrazione di dati. I professionisti della sicurezza cercano gli IOC nei registri eventi, nelle soluzioni XDR (funzionalità di rilevamento e reazione estese) e nelle soluzioni SIEM (informazioni di sicurezza e gestione degli eventi). Durante un attacco, il team usa gli IOC per eliminare la minaccia e mitigare i danni. Dopo il ripristino, gli IOC consentono a un'organizzazione di comprendere meglio cosa è successo, in modo che il team di sicurezza dell'organizzazione possa rafforzare la sicurezza e ridurre il rischio di un altro evento imprevisto simile. 

Esempi di IOC

Nella sicurezza IOC, l'IT monitora l'ambiente alla ricerca dei seguenti indizi di un attacco in corso:

Anomalie del traffico di rete

Nella maggior parte delle organizzazioni, esistono modelli coerenti per il traffico di rete che entra ed esce dall'ambiente digitale. Quando le condizioni cambiano, ad esempio se i dati che escono dall'organizzazione sono significativamente più numerosi o se c'è un'attività che proviene da una posizione insolita della rete, potrebbe essere il segno di un attacco.

Tentativi di accesso insoliti

Analogamente al traffico di rete, le abitudini lavorative delle persone sono prevedibili. Le persone di solito eseguono l'accesso dalle stesse posizioni e approssimativamente dagli stessi orari durante la settimana. I professionisti della sicurezza possono rilevare un account compromesso prestando attenzione agli accessi in orari dispari del giorno o da aree geografiche insolite, ad esempio un paese in cui un'organizzazione non ha alcun ufficio. È anche importante prendere nota di più accessi non riusciti dallo stesso account. Anche se le persone dimenticano periodicamente le password o hanno problemi di accesso, in genere sono in grado di risolvere la situazione dopo alcuni tentativi. La presenza di ripetuti tentativi di accesso non riusciti può indicare che qualcuno sta tentando di accedere all'organizzazione usando un account rubato. 

Irregolarità degli account con privilegi

Molti utenti malintenzionati, che si tratti di interni o esterni, sono interessati ad accedere agli account amministrativi e ad acquisire dati sensibili. Il comportamento atipico associato a questi account, ad esempio un tentativo di escalation dei privilegi, può essere un segno di violazione.

Modifiche alle configurazioni dei sistemi

Il malware viene spesso programmato per apportare modifiche alle configurazioni dei sistemi, ad esempio l'abilitazione dell'accesso remoto o la disabilitazione del software di sicurezza. Monitorando queste modifiche di configurazione impreviste, i professionisti della sicurezza possono identificare una violazione prima che si verifichi un danno eccessivo.

Installazioni o aggiornamenti software imprevisti

Molti attacchi iniziano con l'installazione di software, ad esempio malware o ransomware, progettato per rendere i file inaccessibili o per consentire agli utenti malintenzionati di accedere alla rete. Grazie al monitoraggio delle installazioni e degli aggiornamenti software non pianificati, le organizzazioni possono intercettare rapidamente questi IOC. 

Numerose richieste per lo stesso file

La presenza di più richieste per un singolo file può indicare che un utente malintenzionato sta tentando di rubarlo e ha provato diversi metodi per accedervi.

Richieste insolite di Domain Name System

Alcuni utenti malintenzionati usano un metodo di attacco denominato "comando e controllo". Installano malware nel server di un'organizzazione che crea una connessione a un server di cui loro sono proprietari. Quindi, inviano comandi dal server al computer infetto per tentare di rubare i dati o interrompere le operazioni. La presenza di richieste DNS (Domain Name System) insolite consente all'IT di rilevare questi attacchi.

Come identificare gli IOC

I segni di un attacco digitale vengono registrati nei file di log. Come parte della sicurezza informatica IOC, i team monitorano regolarmente i sistemi digitali alla ricerca di attività sospette. Le moderne soluzioni SIEM e XDR semplificano questo processo attraverso algoritmi di intelligenza artificiale e Machine Learning che stabiliscono una linea di base per gli eventi che normalmente possono verificarsi nell'organizzazione e quindi avvisano il team delle eventuali anomalie. È anche importante coinvolgere i dipendenti al di fuori della sicurezza, che potrebbero ricevere messaggi di posta elettronica sospetti o scaricare accidentalmente un file infetto. Un buon programma di formazione sulla sicurezza aiuta i lavoratori a migliorare l'individuazione delle e-mail compromesse e offre loro la possibilità di segnalare tutto ciò che sembra strano.

Perché gli IOC sono importanti

Il monitoraggio degli IOC è fondamentale per ridurre i rischi per la sicurezza di un'organizzazione. Il rilevamento anticipato degli IOC consente ai team di sicurezza di rispondere e risolvere rapidamente agli attacchi, riducendo il tempo di inattività e le interruzioni. Il monitoraggio regolare offre anche ai team maggiori informazioni sulle vulnerabilità dell'organizzazione, che possono quindi essere attenuate.

Risposta agli indicatori di compromissione

Dopo aver identificato un IOC, i team di sicurezza devono rispondere in modo efficace per garantire il minor numero possibile di danni all'organizzazione. I passaggi seguenti consentono alle organizzazioni di rimanere concentrate e di arrestare le minacce il più rapidamente possibile:

Stabilire un piano di risposta agli eventi imprevisti

Rispondere a un incidente è stressante e richiede tempo, perché più a lungo gli utenti malintenzionati rimangono inosservati, più è probabile che riescano a raggiungere i loro obiettivi. Molte organizzazioni sviluppano un piano di risposta agli eventi imprevisti per guidare i team durante le fasi critiche di una risposta. Il piano descrive il modo in cui l'organizzazione definisce un evento imprevisto, i ruoli e le responsabilità, i passaggi necessari per risolvere un evento imprevisto e il modo in cui il team deve comunicare con i dipendenti e gli stakeholder esterni. 

Isolare i sistemi e i dispositivi compromessi

Dopo che un'organizzazione ha identificato una minaccia, il team di sicurezza isola rapidamente le applicazioni o i sistemi sotto attacco dal resto delle reti. Ciò contribuisce a impedire che gli utenti malintenzionati accedano ad altre parti dell'azienda.

Eseguire analisi forensi

L'analisi forense consente alle organizzazioni di individuare tutti gli aspetti di una violazione, tra cui l'origine, il tipo di attacco e gli obiettivi degli utenti malintenzionati. L'analisi viene eseguita durante l'attacco per comprendere la portata della compromissione. Una volta che l'organizzazione si è ripresa dall'attacco, un'ulteriore analisi aiuta il team a comprendere le possibili vulnerabilità e altre informazioni dettagliate.

Eliminare la minaccia

Il team rimuove l'utente malintenzionato e qualsiasi malware dai sistemi e dalle risorse interessati, il che può comportare la disconnessione dei sistemi.

Implementare miglioramenti alla sicurezza e ai processi

Una volta che l'organizzazione si è ripresa dall'incidente, è importante valutare perché l'attacco è avvenuto e se ci sono operazioni che l'organizzazione avrebbe potuto eseguire per evitarlo. Potrebbe trattarsi di esserci semplici miglioramenti del processo e dei criteri che ridurranno il rischio di un attacco simile in futuro, oppure il team potrebbe identificare soluzioni a più lungo raggio da aggiungere a una roadmap per la sicurezza.

Soluzioni IOC

La maggior parte delle violazioni della sicurezza lascia un percorso forense nei file di log e nei sistemi. Imparare a identificare e monitorare questi IOC aiuta le organizzazioni a isolare ed eliminare rapidamente gli utenti malintenzionati. Molti team si occupano di soluzioni SIEM, come Microsoft Sentinel e Microsoft Defender XDR, che sfruttano l'intelligenza artificiale e l'automazione per far emergere gli IOC e correlarli con altri eventi. Un piano di risposta agli eventi imprevisti consente ai team di anticipare gli attacchi e arrestarli rapidamente. Quando si parla di sicurezza informatica, più velocemente le aziende capiscono cosa sta succedendo, più è probabile che riescano a fermare un attacco prima che costi loro denaro o danneggi la loro reputazione. La sicurezza IOC è fondamentale per aiutare le organizzazioni a ridurre il rischio di una violazione costosa.

Scopri di più su Microsoft Security

Microsoft threat protection

Identifica e rispondi agli incidenti nella tua organizzazione con la protezione dalle minacce più recente.

Microsoft Sentinel

Scopri le minacce sofisticate e rispondi in modo incrociato con una potente soluzione SIEM basata sul cloud.

Microsoft Defender XDR

Con le soluzioni XDR, potrai bloccare gli attacchi a endpoint, posta elettronica, identità, applicazioni e dati.

Community di intelligence sulle minacce

Ottieni gli aggiornamenti più recenti dall'edizione community di Microsoft Defender Threat Intelligence.

Domande frequenti

  • Esistono diversi tipi di IOC. Alcuni dei più comuni sono:

    • Anomalie del traffico di rete
    • Tentativi di accesso insoliti
    • Irregolarità degli account con privilegi
    • Modifiche alle configurazioni di sistema
    • Installazioni o aggiornamenti software imprevisti
    • Numerose richieste per lo stesso file
    • Richieste insolite di Domain Name System
  • Un indicatore di compromissione è la prova digitale che si è già verificato un attacco. Un indicatore di un attacco è la prova che è probabile che si verifichi un attacco. Ad esempio, una campagna di phishing è un indicatore di attacco perché non ci sono prove che l'utente malintenzionato abbia violato la società. Tuttavia, se qualcuno fa clic su un collegamento di phishing e scarica malware, l'installazione del malware è un indicatore di compromissione.

  • Gli indicatori di compromissione nei messaggi di posta elettronica includono un'improvviso flusso di posta indesiderata, allegati o collegamenti insoliti o un messaggio di posta elettronica imprevisto inviato da una persona nota. Ad esempio, se un dipendente invia a un collega un messaggio di posta elettronica con uno strano allegato, ciò potrebbe indicare che il suo account è stato compromesso.

  • Esistono diversi modi per identificare un sistema compromesso. Una modifica del traffico di rete da un determinato computer potrebbe essere un indicatore della compromissione. Se una persona che di solito non ha bisogno di un sistema inizia ad accedervi regolarmente, è un segnale di allarme. Le modifiche alle configurazioni nel sistema o un'installazione software imprevista potrebbero anche indicare una compromissione. 

  • Tre esempi di IOC sono:

    • Un account utente con sede in America del Nord inizia ad accedere alle risorse aziendali dall'Europa.
    • Migliaia di richieste di accesso su diversi account utente, che indicano che l'organizzazione è vittima di un attacco di forza bruta.
    • Nuove richieste di Domain Name System provenienti da un nuovo host o da un paese in cui i dipendenti e i clienti non risiedono.

Segui Microsoft Security