IoC(Indicator of Compromise)
IoCってなんだ
IoC(Indicator of Compromise)は、侵害の痕跡、侵害指標、痕跡情報などと訳されることが多い。
サイバー攻撃の痕跡をデータベース化して技術仕様として活用することで、攻撃を受けていることを素早く察知し、その影響範囲の最小化を目指すのがIoCの基本的な考え方のようです。
共有される情報としては、ファイルハッシュ、IPアドレス、ドメイン名など。
こちらの一連の記事でIoCを収集するツールが紹介されている。
・コミュニティ
① OTX (Open Threat Exchange)
② ThreatConnect Exchange
③ MISP (Malware Information Sharing Platform)
④ IBM X-Force Exchange
⑤ Twitter
したいことが色々ある⇒IBM X-ForceもしくはOTX
IOCの情報をとにかく沢山集めたい⇒OTX、ThreatConnect
他では見つけられない、ユニークな情報が欲しい⇒Twitter、MISP
・IPアドレスとドメイン
① VirusTotal
② Threat Intelligence Platform
③ IPVoidとURLVoid
④ DNSdumpster
⑤ CIRCL BGP Ranking
・さらなる調査
① ThreatCrowd
② VirusTotal
③ PassiveTotal
④ Yeti
IoCの標準化の動きもある。
- OpenIOC:Mandiant社が作成しオープンソースとして公開している
- STIX:MITRE と OASIS サイバー脅威インテリジェンス(CTI)技術委員会がサイバー脅威情報の記述のために開発した標準化言語
STIXをどのように伝達するのかがTAXIIで規定される。TAXII は「Trusted Automated eXchange of Intelligence Information」の略。
IoCとともに、IoBというものもある。Indicator of Behabiorで、振る舞いの痕跡、となる。
IoAもあって、Indicator of Attackで、攻撃の痕跡。IoAとIoCで対で表現されることがあり、前者は現在進行形で、後者は過去形、という捉え方。
サイバー脅威インテリジェンス(CTI)
サイバー脅威インテリジェンスは以下に分類され、プロアクティブな対応を推進する。
- 戦略的
- 戦術的
- 運用上
- 技術的
IoCが適用されるのは、戦術的・技術的部分。