Advania logo
    Kontakta oss
    Gå tillbaka

    IOC

    Vad är en IOC?

    IOC (Indicator of Compromise), på svenska ungefär "indikator på kompromettering", är ett tekniskt spår som tyder på att ett system eller nätverk har utsatts för intrång. Det kan vara en skadlig fils kontrollsumma, en IP-adress som angripare använder, en misstänkt domän eller en ovanlig registerändring. IOC:er är cyberförsvarets motsvarighet till fingeravtryck på en brottsplats.

    Betydelsen av IOC:er

    Angripare lämnar nästan alltid spår efter sig – frågan är om försvararen letar efter rätt saker. IOC:er gör kunskap om angrepp delbar och maskinläsbar: när en organisation eller säkerhetsleverantör identifierar ett angrepp kan indikatorerna spridas så att andra snabbt kan söka igenom sina egna miljöer och blockera samma hot.

    Det gör IOC:er till en grundbult i hotunderrättelser (threat intelligence) och i det operativa säkerhetsarbetet. Vid större angreppsvågor, till exempel när en ny sårbarhet utnyttjas brett, publiceras IOC-listor ofta inom timmar – och förmågan att snabbt omsätta dem i sökningar och blockeringar kan avgöra om organisationen drabbas eller inte.

    Så fungerar IOC:er

    IOC:er förekommer i många former och används genom hela detektionskedjan:

    • Vanliga typer: filhashar (MD5, SHA-256), IP-adresser, domännamn, URL:er, e-postavsändare, filnamn, registernycklar och mönster i nätverkstrafik.
    • Insamling: indikatorer hämtas från incidentutredningar, säkerhetsleverantörer, myndigheters varningar och delningsplattformar som MISP.
    • Matchning: IOC:erna matas in i säkerhetsverktyg – SIEM, EDR, brandväggar och e-postskydd – som larmar eller blockerar vid träff.
    • Retroaktiv sökning: historiska loggar genomsöks för att avgöra om hotet redan varit inne i miljön, ett centralt arbetsmoment i threat hunting.

    Viktigt att veta är att IOC:er har olika livslängd. En filhash blir värdelös så fort angriparen kompilerar om sin kod, en IP-adress byts på dagar, medan beteendemönster – hur angriparen arbetar – är betydligt svårare att förändra. Det brukar illustreras med "Pyramid of Pain": ju högre upp i pyramiden en indikator finns, desto mer smärtsamt är det för angriparen när försvararen upptäcker den.

    Användningsområden för IOC:er

    I den dagliga driften används IOC:er för automatisk detektion och blockering: flöden av indikatorer prenumereras in och matchas mot trafik, e-post och endpoints i realtid. Vid incidenter används IOC:er för att fastställa omfattningen – vilka fler system uppvisar samma spår? Inom threat hunting utgår analytiker från färska indikatorer för att aktivt leta efter intrång som inte genererat larm. Och i sektorsamarbeten delar organisationer IOC:er med varandra för att höja det kollektiva försvaret.

    IOC:er som del av en aktiv detektionsförmåga

    Indikatorer gör bara nytta om någon faktiskt matchar dem mot miljön – kontinuerligt och med rätt verktyg. Advania hjälper organisationer att bygga och drifta detektionsförmåga där hotunderrättelser, IOC-hantering och övervakning i SOC samverkar, så att nya hot snabbt omsätts i konkret skydd.

    Vanliga frågor och svar om IOC

    Vad är skillnaden mellan IOC och IOA?

    En IOC är ett spår av något som redan hänt – ett intrång som lämnat avtryck. IOA (Indicator of Attack) beskriver i stället beteenden som pågår, till exempel att ett Office-program plötsligt startar PowerShell. Förenklat: IOC tittar bakåt, IOA tittar på pågående beteende. Moderna skydd använder båda.

    Var hittar man aktuella IOC:er?

    Från säkerhetsleverantörernas hotflöden, nationella cybersäkerhetsmyndigheters varningar, öppna källor och delningsplattformar som MISP. Vid uppmärksammade angrepp publicerar utredande säkerhetsföretag ofta IOC-listor i sina rapporter.

    Hur länge är en IOC användbar?

    Det varierar kraftigt. Filhashar och IP-adresser kan vara inaktuella inom dagar eftersom de är billiga för angriparen att byta, medan domäner, verktyg och beteendemönster lever längre. Därför behöver IOC-flöden uppdateras kontinuerligt och gamla indikatorer gallras för att undvika falska larm.

    Räcker IOC-baserad detektion som skydd?

    Nej. IOC:er fångar bara kända hot – angrepp som någon redan sett och dokumenterat. De behöver kompletteras med beteendebaserad detektion, som upptäcker misstänkta mönster även när indikatorerna är helt nya, samt med proaktiv threat hunting.

    Viktiga punkter att ta med sig om IOC
    • Digitala fingeravtryck: IOC:er är tekniska spår som avslöjar att ett intrång skett.
    • Många former: filhashar, IP-adresser, domäner, registernycklar och trafikmönster.
    • Delbar kunskap: indikatorer sprids via hotflöden och plattformar som MISP.
    • Olika livslängd: enkla indikatorer åldras snabbt, beteendemönster håller längre.
    • Inte hela skyddet: IOC:er fångar kända hot och måste kompletteras med beteendedetektion.
    UPPTÄCK OCH FÖRHINDRA HOT

    Hur snabbt upptäcker ni ett pågående angrepp?

    Upptäck och förhindra hot

    Andra relevanta ord i samma kategori