Mandiant 在“指标”的基础上,于 2010 年正式定义了失陷指标(IoCs)。而“指标”这一术语则是由Kevin Mandia 不晚于他2003年的事件响应书籍定义,其后在检测环境中被广泛引入。(对应之前分享过的《Incident Response & Computer Forensics(第3版)》读书笔记6,书中定义:失陷指标(Indicators of Compromise,IoC)的生成,是以结构化的方式记录事件的特征和证物的过程
IoC包含从主机和网络角度的所有内容,而不仅仅是恶意软件。它可能是工作目录名、输出文件名、登录事件、持久性机制、IP地址、域名甚至是恶意软件网络协议签名。)
2010年1月25日第一份 M-trnds 报告中,针对IoC进行了描述:IoC不仅查找特定的文件和系统信息,还使用详细描述恶意活动的逻辑语句
Mandiant 博客“Combat the APT by Sharing Indicators of Compromise7”中,作者Matt Frazier 介绍了一个基于 XML 语言的 IoC 实例化,并且可以使用免费的 Mandiant 工具读取和创建IoC。

从 IoC 转向 IoB

IoC 的局限性

IoC 的事后性质是其最明显的限制之一。它们是文档工件(文件散列、IP 信誉、已知不良 URL、内存占用等),基于发生后的孤立操作。通常情况下,他们的 1:1 映射在其中 IoC 触发警报,然后由安全运营中心分析师进行分类以审查或采取行动导致警报过载。尽管高级 SIEM、UEBA 和威胁情报平台可以通过自动化帮助减少少量误报,但它们的发生率仍然很高。
除了数量庞大之外,更大的挑战是 IoC 源自孤立发生、缺乏背景的行动。作为独立事件,IoC 仍然难以分配优先级,更难保持更新和最新。假设安全团队能够应对这些挑战,那么 IoC 的生命周期是多少?国际奥委会如何以及何时到期?威胁情报源中有多少“噪音”?
另一个关键限制:IoC 是为以基础设施安全为中心的世界设计的。多年来,世界一直在变化。当前的流行病加速了这种变化,因为组织现在努力保护混合 IT 环境:您的公司“网络”现在由数千个“一个分支机构”组成,因为员工在家工作。这就是为什么我们认为用户是新的边界,而不是网络,而且数据引力改变了信息保护游戏。在这个现实中,IoC 简直是功亏一篑。