Sei sotto attacco Cyber? Interveniamo subito

Indicatori di Compromissione

Indicatori di Compromissione (Ioc)

Indicatori di Compromissione

Gli indicatori di compromissione (IoC) sono segnali che ti avvisano quando un sistema potrebbe essere stato compromesso da un attacco informatico. Piccoli indizi che, messi insieme, ti aiutano a rilevare e rispondere a potenziali minacce.

Una lista di Indicatori di Compromissione (IoC) ti aiuta per la gestione e la segnalazione degli incidenti di sicurezza.

Vediamo di seguito i più comuni:

1. File e processi anomali
• Presenza di file o script che non dovrebbero essere presenti o che sono stati recentemente modificati.

• Processi sospetti, non autorizzati o non riconosciuti.

• Crash frequenti o rallentamenti: Applicazioni che si arrestano in modo anomalo o che mostrano un degrado delle prestazioni senza motivo apparente.

2. Modifiche ai permessi
• Modifica dei permessi di file e directory

• Modifica dei ruoli e permessi degli account soprattutto quando riguardano account privilegiati.

3. Connessioni di rete sospette
• Traffico di rete insolito: elevate quantità di traffico verso indirizzi IP sconosciuti o anomalie nelle connessioni di rete.

• Connessioni a server con bad reputation.

• Risoluzione di DNS sospetti: verso domini noti per essere associati a malware o attività dannose.

4. Attività di autenticazione non comune
• Accessi non autorizzati da account non riconosciuti o con credenziali errate.

• Accessi in orari insoliti per l’organizzazione o per l’utente.

• Connessioni RDP da fonti sconosciute o insolite.

• VPN non autorizzate.

5. Modifiche alla configurazione del sistema
• Cambiamenti nella configurazione di firewall, antivirus, o configurazioni di rete.

• Disattivazione di sistemi di sicurezza: antivirus, firewall o sistemi di rilevamento delle intrusioni (IDS/IPS).

6. Segnalazioni dai software di sicurezza
• Notifiche o avvisi di rilevamento dai software di sicurezza.

• Anomalie nei sistemi di allarme: Attivazione frequente di allarmi senza cause apparenti.

• Disattivazione di allarmi.

7. File di log anomali
• Errori nei log: Presenza di errori, avvisi o eventi di sistema nei file di log che sembrano fuori posto o inspiegabili.

• Manipolazione dei log: Modifica o cancellazione di log per nascondere tracce di attività malevola.

• Modifiche insolite alle regole di monitoraggio.

8. Esfiltrazione dei dati
• Trasferimenti di dati anomali: Volumi insoliti di dati in uscita o trasferimenti verso server o indirizzi IP sconosciuti.

• Comunicazioni a domini recentemente creati: Connessioni verso domini di nuova creazione, che potrebbero essere utilizzati da attaccanti per mascherare le loro attività.

9. Anomalie nei sistemi di backup
• La cancellazione o la modifica di file di backup potrebbe indicare un tentativo di eliminare le prove o un preparativo per un attacco ransomware.

10. Ransomware
• File cifrati e/o con estensioni insolite.

• Notifiche di riscatto.

Digimetrica
Dal 2001 cybersecurity al servizio delle aziende
Visita il Profilo Linkedin

Hai bisogno di una consulenza? Contattaci!

    Logo Digimetrica

    Il partner per la sicurezza informatica della tua azienda

    Link rapidi

    Servizi

    Iscriviti alla nostra Newsletter

      Seguici sui social:

      Linkedin-in Facebook-f Youtube X-twitter