Last updated on 14 nov. 2024

Quelles sont certaines des meilleures pratiques pour créer et partager des indicateurs de sécurité de compromission

Généré par l’IA et la communauté LinkedIn

Indicateurs de sécurité de compromission (CIO) sont des éléments d’information qui peuvent aider à identifier et à répondre aux activités malveillantes sur un réseau ou un système. Ils peuvent inclure des adresses IP, des noms de domaine, des hachages de fichiers, des adresses e-mail et d’autres artefacts pouvant être liés à un acteur ou à une campagne de menace. La création et le partage de COI peuvent aider les équipes de sécurité à améliorer leurs capacités de détection et de prévention, ainsi qu’à collaborer avec d’autres organisations et communautés pour améliorer leur posture de sécurité. Cependant, tous les CIO ne sont pas créés égaux, et il existe certaines pratiques exemplaires qui peuvent aider à assurer leur qualité, leur pertinence et leur utilité. Dans cet article, nous aborderons certaines de ces meilleures pratiques et comment elles peuvent bénéficier à vos opérations de sécurité.

Des experts chevronnés contribuent à cet article

Sélectionnés par la communauté pour 23 contributions. En savoir plus

1 Définissez vos objectifs

Avant de créer et de partager des CIO, vous devez avoir une idée claire de ce que vous voulez réaliser avec eux. Quelles sont les menaces ou les scénarios spécifiques que vous essayez de traiter? Quelles sont les sources et les méthodes que vous utilisez pour collecter et analyser les COI ? Quels sont les critères et les normes que vous appliquez pour valider et hiérarchiser les CIO ? Quels sont les formats et les plateformes que vous utilisez pour stocker et distribuer les CIO ? Avoir un objectif bien défini peut vous aider à concentrer vos efforts et vos ressources, ainsi qu’à aligner vos attentes et vos résultats avec vos parties prenantes et partenaires.

Ajoutez votre point de vue

Anirudh Khanna

Backup and Recovery | Disaster Recovery | Cyber Recovery | AWS Cloud | Vmware | IEEE Senior Member
Signaler la contribution
Best practices for creating and sharing security Indicators of Compromise (IOCs) include standardizing the format using common frameworks like STIX to ensure compatibility across different security tools. It's essential to regularly update and verify IOCs to keep them relevant against evolving threats. Sharing IOCs should be done through trusted channels, ensuring that sensitive information is encrypted and access is controlled. Collaboration with industry partners and participation in threat intelligence sharing communities can enhance the effectiveness of IOCs by leveraging collective knowledge and resources.

Texte traduit

J’aime
Ganesh Kesarkar

Security Professional | Security Governance, Risk, Compliance (GRC), Security Operations, and Network Security | Information Security | Cyber Security | CISM | Data Privacy
Signaler la contribution
Gather IOCs from a variety of sources, including internal logs, threat intelligence feeds, industry reports, and security communities. Use specific and detailed information in IOC, such as exact file hashes, IP addresses, URLs, and domain names, rather than generic indicators. Use standardized formats for IOCs, such as STIX (Structured Threat Information eXpression) Enable automated ingestion of IOCs into security tools like SIEM, IDS/IPS, and firewalls.

Texte traduit

J’aime
Umang Mehta

Award-Winning Cybersecurity & GRC Expert | Contributor to Global Cyber Resilience | Cybersecurity Thought Leader | Speaker & Blogger | Researcher
Signaler la contribution
Defining objectives is crucial before creating and sharing IOCs. Determine the specific threats or scenarios to address, sources and methods for IOC collection and analysis, validation and prioritization criteria, and storage and distribution formats. Clear objectives focus efforts, align expectations with stakeholders, and optimize resource allocation.

Texte traduit

J’aime
Ambrish Kumar

CISO, Bank of Baroda, UAE | Infosec Compliance EMEA & APAC
Signaler la contribution
IOCs being received through various sources such as from regulator or private entities.Many of the times there are false positive or not much effective inputs. There is a need to have some kind of common platform which can correlate IOCs observed through various sources and provide more effective threat intell to organizations.

Texte traduit

J’aime
Craig McDonald

We stop email threats others miss 🛡️ mailguard365.com | Enhance your Microsoft 365 security | Trusted by startups and industry leaders like Porsche | Endorsed by Satya Nadella | Non-techie CEO
Signaler la contribution
Streamlining IOC management processes involves defining clear procedures for collection, analysis, and dissemination. By establishing standardized protocols for source validation, threat prioritization, and data formatting, organizations can ensure the efficiency and effectiveness of their IOC workflows.

Texte traduit

J’aime
Yusuf Purna

Chief Cyber Risk Officer at MTI | Advancing Cybersecurity and AI Through Constant Learning
Signaler la contribution
When creating IOCs, it's crucial to define clear objectives for their use. Based on my experience, having specific goals, such as detecting a particular threat actor or protecting a critical asset, guides the collection and analysis of IOCs, ensuring they are relevant and actionable. This focus allows security teams to prioritize which IOCs to deploy and monitor actively, reducing noise and improving response times. A call-to-action here is to involve stakeholders in defining these objectives, ensuring alignment with the organization's overall risk management strategy.

Texte traduit

J’aime
Brunno Freitas

Gerente de Tecnologia | Estratégia de TI | Cloud & DevOps | FinOps | Infraestrutura de TIC | Governança de TI | Segurança da Informação | Gerenciamento de Projetos | Metodologias Ágeis | IA | AWS, Azure & OCI
Signaler la contribution
Antes de criar e compartilhar IOCs, é essencial ter objetivos bem definidos sobre o que se pretende alcançar. Esclarecer as ameaças ou cenários específicos a serem abordados, as fontes e métodos para coleta e análise dos IOCs, os critérios de validação e priorização, além dos formatos e plataformas de armazenamento e distribuição, permite concentrar os esforços e recursos. Isso alinha as expectativas e resultados com as partes interessadas e parceiros.

Texte traduit

J’aime

2 Suivez le modèle du diamant

Le modèle du diamant est un cadre qui peut vous aider à structurer et contextualiser vos CIO. Il se compose de quatre éléments principaux : adversaire, capacité, infrastructure et victime. Chaque élément représente un aspect différent d’une activité malveillante, et chaque COI peut être mappé à un ou plusieurs d’entre eux. En suivant le modèle du diamant, vous pouvez enrichir vos IOC avec des informations et des métadonnées supplémentaires, telles que l’attribution, la motivation, les tactiques, les techniques, les procédures, les objectifs et l’impact. Cela peut vous aider à comprendre la situation dans son ensemble et les relations entre les différents CIO, ainsi qu’à améliorer vos stratégies d’analyse et de réponse.

Ajoutez votre point de vue

Umang Mehta

Award-Winning Cybersecurity & GRC Expert | Contributor to Global Cyber Resilience | Cybersecurity Thought Leader | Speaker & Blogger | Researcher
Signaler la contribution
Following the diamond model can enhance your IOCs by structuring them into four key elements: adversary, capability, infrastructure, and victim. This framework allows you to add valuable context, such as attribution, motivation, tactics, targets, and impact, improving your analysis and response strategies.

Texte traduit

J’aime
Yusuf Purna

Chief Cyber Risk Officer at MTI | Advancing Cybersecurity and AI Through Constant Learning
Signaler la contribution
The Diamond Model offers a comprehensive approach to analyzing threats by considering four key components: adversary, infrastructure, capability, and victim. I have found this model particularly useful for creating high-fidelity IOCs by emphasizing the context around an attack. By leveraging this model, security teams can uncover patterns and relationships, enhancing threat detection capabilities. It's advisable to use this model as a framework for not just creating IOCs but also for correlating them with other intelligence sources to provide a holistic view of threats.

Texte traduit

J’aime
Dumitru Hantig

Cybersecurity Analyst | Associate of ISC2 | Sec+ | AZ 500 | AI 102 | FortiGate | THM SOC Level1
Signaler la contribution
Sharpening your IOCs like diamonds, the "Diamond Model" illuminates four facets crucial for maximum impact. First, identify the adversary: understanding their motives and tactics tailors mitigation strategies. Next, expose the infrastructure: IP addresses, domains, servers, tools – sharing these blueprints allows others to block malicious connections. Then, define the capability: pinpoint the malware, exploits, or techniques used, empowering broader detection and analysis. Finally, unmask the victim: industry, software, vulnerabilities – this helps others assess their own risk and prioritize patching. Remember, each facet polishes your IOC, making it a more valuable weapon in the collective cyber defense arsenal.

Texte traduit

J’aime
Craig McDonald

We stop email threats others miss 🛡️ mailguard365.com | Enhance your Microsoft 365 security | Trusted by startups and industry leaders like Porsche | Endorsed by Satya Nadella | Non-techie CEO
Signaler la contribution
By leveraging external sources for threat data enrichment, organizations can enhance the depth and breadth of their IOC analysis, uncovering hidden relationships, patterns, and trends to inform proactive defense measures.

Texte traduit

J’aime
Brunno Freitas

Gerente de Tecnologia | Estratégia de TI | Cloud & DevOps | FinOps | Infraestrutura de TIC | Governança de TI | Segurança da Informação | Gerenciamento de Projetos | Metodologias Ágeis | IA | AWS, Azure & OCI
Signaler la contribution
O modelo diamante é uma estrutura que organiza e contextualiza os IOCs em quatro elementos principais: adversário, capacidade, infraestrutura e vítima. Cada elemento representa um aspecto da atividade maliciosa, e os IOCs podem ser mapeados para um ou mais desses pontos. Esse modelo enriquece os IOCs com metadados adicionais, como atribuição, motivação, táticas, técnicas e procedimentos, facilitando uma visão completa do cenário e das relações entre diferentes IOCs.

Texte traduit

J’aime

3 Utiliser des formats et des taxonomies standard

L’utilisation de formats et de taxonomies standard peut vous aider à assurer la cohérence et la compatibilité de vos COI. Formats standard, tels que STIX (Expression structurée d’informations sur les menaces) et MISP (Plateforme de partage d’informations sur les logiciels malveillants), peut vous aider à structurer et à encoder vos COI d’une manière qui peut être facilement analysée et traitée par différents outils et systèmes. Les taxonomies standard, telles que MITRE ATT&CK et VERIS, peuvent vous aider à classer et à étiqueter vos COI selon des catégories et des termes courants, tels que les phases d’attaque, les techniques, les acteurs, les industries et les types d’incidents. En utilisant des formats et des taxonomies standard, vous pouvez réduire l’ambiguïté et la complexité de vos COI, ainsi que faciliter leur intégration et leur interopérabilité avec d’autres sources et plateformes.

Ajoutez votre point de vue

Brunno Freitas

Gerente de Tecnologia | Estratégia de TI | Cloud & DevOps | FinOps | Infraestrutura de TIC | Governança de TI | Segurança da Informação | Gerenciamento de Projetos | Metodologias Ágeis | IA | AWS, Azure & OCI
Signaler la contribution
A adoção de formatos e taxonomias padrão, como STIX (Structured Threat Information Expression) e MISP (Malware Information Sharing Platform), garante consistência e compatibilidade dos IOCs. O uso de taxonomias como MITRE ATT&CK e VERIS permite classificar os IOCs com categorias comuns e reduzir ambiguidade e complexidade, facilitando a integração e interoperabilidade com outras fontes e plataformas.

Texte traduit

J’aime
Craig McDonald

We stop email threats others miss 🛡️ mailguard365.com | Enhance your Microsoft 365 security | Trusted by startups and industry leaders like Porsche | Endorsed by Satya Nadella | Non-techie CEO
Signaler la contribution
Fostering cross-industry collaboration on IOC standardization promotes collective defense against cyber threats. By participating in collaborative efforts to refine and evolve standard formats and taxonomies, organizations can contribute to the development of more robust and comprehensive frameworks.

Texte traduit

J’aime
Yusuf Purna

Chief Cyber Risk Officer at MTI | Advancing Cybersecurity and AI Through Constant Learning
Signaler la contribution
Using standard formats like STIX/TAXII and taxonomies such as MITRE ATT&CK ensures consistency and facilitates easier sharing and automation. In my experience, standardization enables seamless integration with SIEMs and other security tools, enhancing automated detection and response. Furthermore, adopting these standards helps to ensure that shared IOCs can be understood and utilized by other organizations, fostering effective collaboration. A practical step is to regularly train your team on these formats to ensure they can create and interpret IOCs effectively.

Texte traduit

J’aime

4 Partagez avec des partenaires et des communautés de confiance

Partager vos COI avec des partenaires et des communautés de confiance peut vous aider à tirer parti de leurs connaissances et de leur expérience collectives, ainsi qu’à améliorer votre connaissance de la situation et vos renseignements sur les menaces. Cependant, le partage comporte également certains risques et défis, tels que la confidentialité, l’intégrité et la disponibilité des données. Par conséquent, vous devez être prudent et sélectif quant aux personnes avec lesquelles vous partagez, à ce que vous partagez et à la façon dont vous partagez. Vous devez établir des règles et des accords clairs avec vos partenaires et communautés, tels que la propriété des données, le contrôle d’accès, les politiques de divulgation, les mécanismes de rétroaction et l’assurance qualité. Vous devez également utiliser des canaux et des protocoles sécurisés et fiables pour partager vos IOC, tels que HTTPS, TLS, clés API et cryptage.

Ajoutez votre point de vue

Yusuf Purna

Chief Cyber Risk Officer at MTI | Advancing Cybersecurity and AI Through Constant Learning
Signaler la contribution
Sharing IOCs with trusted partners and threat intelligence communities can significantly enhance collective defense. However, it's essential to implement proper sharing protocols and agreements to maintain confidentiality and integrity. From my perspective, leveraging trusted sharing platforms like ISACs or Threat Intelligence Platforms (TIPs) can streamline this process while ensuring compliance with data privacy regulations. Encourage your team to participate actively in these communities, as they can be both contributors and beneficiaries of shared intelligence.

Texte traduit

J’aime
Umer Khan

Cyber Security Analyst: TH|IR| A+|Net+|Sec+|Linux+|Project+|AZ-900|AWS CCP| ITIL|ISC2|MBA
Signaler la contribution
First of all, time is of the essence when it comes to not only detection and response but also sharing of IOCs. So, it’s crucial IOCs are not only identified and mitigated quickly, but also shared asap, especially in cases of ongoing threats. This could enable others to do a proactive detection and mitigation of similar attacks. Secondly, ensure you have a proper identification/vetting/testing/validation mechanism or process in place to eliminate any false positives and focus on relevant IOCs, which allows for optimum utilization of time and resources. Lastly, the whole idea to not only share pertinent information but also reach out where needed. There are reputable organizations that we could collaborate with, such as: CISA, ISACs, CERT

Texte traduit

J’aime
Brunno Freitas

Gerente de Tecnologia | Estratégia de TI | Cloud & DevOps | FinOps | Infraestrutura de TIC | Governança de TI | Segurança da Informação | Gerenciamento de Projetos | Metodologias Ágeis | IA | AWS, Azure & OCI
Signaler la contribution
Compartilhar IOCs com parceiros e comunidades confiáveis potencializa o conhecimento coletivo e aprimora a inteligência sobre ameaças. Para mitigar riscos de privacidade e confidencialidade, é essencial estabelecer regras claras com parceiros sobre propriedade de dados, controle de acesso, políticas de divulgação e garantir a qualidade. O uso de canais seguros e protocolos confiáveis, como HTTPS, TLS, e criptografia, aumenta a segurança e a integridade no compartilhamento.

Texte traduit

J’aime

5 Passez régulièrement en revue et mettez à jour vos CIO

L’examen et la mise à jour réguliers de vos COI peuvent vous aider à maintenir leur précision et leur pertinence, ainsi qu’à vous adapter à l’évolution du paysage et de l’environnement des menaces. Vous devez surveiller et évaluer les performances et l’impact de vos CIO, tels que leur taux de détection, leur taux de faux positifs, leur couverture et leur rapidité. Vous devez identifier et corriger les erreurs, les lacunes ou les incohérences dans vos CIO, telles que des données obsolètes, dupliquées ou non pertinentes. Vous devez également intégrer toute information ou perspective nouvelle ou émergente dans vos CIO, telle que de nouveaux indicateurs, attributs ou relations. En révisant et en mettant à jour régulièrement vos COI, vous pouvez vous assurer de leur qualité et de leur utilité, ainsi qu’améliorer vos opérations de sécurité.

Ajoutez votre point de vue

Yusuf Purna

Chief Cyber Risk Officer at MTI | Advancing Cybersecurity and AI Through Constant Learning
Signaler la contribution
The threat landscape is constantly evolving, making it imperative to review and update IOCs regularly. I have observed that outdated or stale IOCs can lead to false positives or, worse, missed detections. Implementing a regular review cycle, including automated tools to validate the relevance of IOCs, can help maintain their efficacy. Additionally, ensure your security team is equipped to rapidly incorporate new IOCs as part of incident response efforts, keeping your defense mechanisms agile and up-to-date.

Texte traduit

J’aime
Harvinder Singh

✨🏅265 X Linkedin Top Voice 🏅✨|| Generative AI || Influencing others Voice || Business Transformation || Helping Client's to Grow their Business 📈 || DM For Promotion 💌 ||
Signaler la contribution
1. Define clear objectives - Align IOCs with specific threats to optimize detection and response. 2. Enrich IOCs using the diamond model - Provide context on adversaries, capabilities, infrastructure, and victims. 3. Validate IOCs to eliminate false positives - Rigorous testing prevents wasted resources on irrelevant alerts. 4. Share IOCs proactively - Timely sharing enables others to detect and mitigate ongoing threats. 5. Continuously review and update IOCs - Adapt to evolving threats and correct any inaccuracies.

Texte traduit

J’aime
Brunno Freitas

Gerente de Tecnologia | Estratégia de TI | Cloud & DevOps | FinOps | Infraestrutura de TIC | Governança de TI | Segurança da Informação | Gerenciamento de Projetos | Metodologias Ágeis | IA | AWS, Azure & OCI
Signaler la contribution
A revisão e atualização contínua dos IOCs garantem precisão e relevância, adaptando-se ao cenário de ameaças em constante evolução. Monitorar o desempenho dos IOCs, como taxas de detecção e falsos positivos, e incorporar novos indicadores e insights reforça sua qualidade. Essa prática permite a correção de inconsistências e a inclusão de informações emergentes, aprimorando a utilidade dos IOCs nas operações de segurança.

Texte traduit

J’aime

6 Voici ce qu’il faut prendre en compte

Il s’agit d’un espace pour partager des exemples, des histoires ou des idées qui ne correspondent à aucune des sections précédentes. Que voudriez-vous ajouter d’autre?

Ajoutez votre point de vue

Shawn Riley

Cybersecurity Scientist | US Navy Cryptology Community Veteran | VFW Member | Autistic | LGBTQ | INTJ-Mastermind
Signaler la contribution
The temporal nature of Indicators of Compromise (IOCs) is essential to understand in cybersecurity. IOCs, such as IP addresses, domain names, and file hashes, often have a short lifespan as attackers rapidly change them to avoid detection. The Pyramid of Pain highlights that while simple IOCs can quickly become obsolete, higher-level indicators require more effort for attackers to alter. Recognizing the fleeting nature of IOCs ensures timely sharing and updating, keeping defenses relevant and effective against evolving threats. Regularly refreshing IOCs helps maintain robust security postures.

Texte traduit

J’aime
Francisco Ruiz

Sr. Security Engineer | DevSecOps | Offensive Security | Application Pentester (AppSec) | Smart Contract / Blockchain Security enthusiast | Red Team
Signaler la contribution
Creating and sharing IOCs effectively involves several best practices. First, define clear objectives to align IOCs with specific threats. Use the diamond model to add context, such as adversary, capability, infrastructure, and victim. Standardize formats with STIX or MISP for consistency and interoperability. Share IOCs with trusted partners using secure channels, and establish clear rules for data sharing. Regularly review and update IOCs to maintain accuracy and relevance. This comprehensive approach enhances situational awareness and strengthens collective defense against cyber threats.

Texte traduit

J’aime

Opérations de sécurité informatique

+ Suivre

Notez cet article

Nous avons créé cet article à l’aide de l’intelligence artificielle. Qu’en pensez-vous ?

Il est très bien Ça pourrait être mieux

Signaler cet article

Tout voir

Quelles sont certaines des meilleures pratiques pour créer et partager des indicateurs de sécurité de compromission

1

2

3

4

5

6

1 Définissez vos objectifs

2 Suivez le modèle du diamant

3 Utiliser des formats et des taxonomies standard

4 Partagez avec des partenaires et des communautés de confiance

5 Passez régulièrement en revue et mettez à jour vos CIO

6 Voici ce qu’il faut prendre en compte

Opérations de sécurité informatique

Notez cet article

Nous vous remercions de votre feedback

Plus d’articles sur Opérations de sécurité informatique

Lecture plus pertinente