Indicator of compromise (IoC) atau indikator kompromi merupakan petunjuk atau alarm yang bisa membantu kita untuk mendeteksi adanya indikasi-indikasi serangan atau upaya serangan, penyusupan, dan pembobolan terhadap sistem keamanan siber. Secara formal, IoC adalah manifestasi dari tindakan hacker yang dapat diamati atau dilihat. Secara informal, IoC adalah cara untuk mengkodifikasi aktivitas hacker sehingga sistem teknis dapat menemukan penyusup dalam bukti digital. IoC memberikan informasi yang krusial kepada tim keamanan siber
Jenis-jenis IoC
IoC Berbasis File
Ini termasuk hash (MD5, SHA-1, SHA-256) dari file berbahaya, nama file, jalur file, dan atribut file (seperti ukuran dan cap waktu). IoC berbasis file membantu mengidentifikasi file berbahaya yang diketahui dan variasi malware yang diketahui.
IoC Berbasis Jaringan
Ini mencakup alamat IP, nama domain, URL, dan Uniform Resource Identifier (URI) yang terkait dengan aktivitas jahat. IoC berbasis jaringan membantu mendeteksi komunikasi dengan server perintah dan kontrol (C2), domain berbahaya, atau pola lalu lintas jaringan yang mencurigakan.
IoC Registri dan Konfigurasi Sistem
Ini melibatkan kunci registri, nilai registri, perubahan konfigurasi sistem, dan perilaku sistem yang tidak wajar. IoC registry dan konfigurasi sistem dapat menunjukkan perubahan tidak sah pada pengaturan sistem atau adanya mekanisme persistensi malware.
IoC Perilaku
Ini mencakup pola perilaku mencurigakan yang diamati pada sistem atau jaringan, seperti eksekusi proses yang tidak biasa, peningkatan hak istimewa, pergerakan lateral, atau eks filtrasi data. IoC perilaku membantu mengidentifikasi aktivitas jahat yang mungkin menghindari metode deteksi berbasis tanda tangan tradisional.
IoC Aktivitas Pengguna yang Anomali
Ini mencakup indikator yang terkait dengan aktivitas akun pengguna, peristiwa autentikasi, anomali login, dan perilaku pengguna yang tidak biasa. IoC aktivitas pengguna yang tidak wajar membantu mendeteksi akses tidak sah, ancaman orang dalam, dan penyalahgunaan kredensial.
IoC Berbasis Email
Ini terdiri dari alamat email, header email, lampiran email, dan konten email yang terkait dengan upaya phishing, distribusi malware, atau ancaman melalui email lainnya. IoC berbasis email membantu mengidentifikasi email berbahaya dan kampanye phishing.
IoC Berbasis Web
Ini termasuk URL, log server web, pola lalu lintas web, dan muatan aplikasi web yang terkait dengan aktivitas web berbahaya, seperti unduhan drive-by, perangkat eksploitasi, dan serangan berbasis web.
Pola Indikator
Ini melibatkan korelasi atau rangkaian beberapa IoC yang secara kolektif menunjukkan jenis ancaman atau pola serangan tertentu. Pola indikator membantu mengidentifikasi skenario serangan yang kompleks dan ancaman persisten tingkat lanjut (APT) yang mungkin melibatkan berbagai tahapan dan teknik.
Dengan memantau dan menganalisis jenis IoC ini, tim keamanan dapat mendeteksi dan merespons ancaman dunia maya dengan lebih efektif, membantu memitigasi dampak insiden keamanan dan melindungi dari serangan siber di masa depan.
