« When the APT comes through your backdoor. Unless you want some more, I think you better call … APTbusters! » Ray Parker Jr., Ghostbusters (APT remix) Qu'est-ce qu'un IOC ? Comment peut-il nous venir en aide dans nos activités de réponse à incidents et d'investigations inforensiques? Comment le créer et l'utiliser pour endiguer la scissiparité des malwares disséminés, en masse ou avec parcimonie, par les cybermarlous qui peuplent les recoins sombres de l'Internet ? C'est ce que nous vous proposons de découvrir à travers cette introduction.
1. L'IOC, une signature ouverte
Un IOC n'est pas le cri d'un animal de basse-cour ou le nom attribué par des astrophysiciens quelque peu éméchés à une planète située par-delà la Voie lactée. Cet acronyme veut dire « Indicator of Compromise » ou indicateur de compromission. Nous pouvons le prononcer « Aie-Oh-Scie » à l'anglo-saxonne ou, si nous sommes suffisamment enhardis pour affirmer haut et fort notre exception culturelle, « Yoc ».
Dans les faits, un IOC n'est pas un simple indicateur mais un ensemble d'artefacts inforensiques caractérisant une intrusion ou une utilisation du système d'information contraire à la politique de sécurité en vigueur. Ces artefacts, que nous appellerons aussi caractéristiques, peuvent être présents à différents endroits du système d'information tels que les journaux d'un pare-feu ou d'un routeur, le système de stockage d'un ordiphone, la base de registre d'une station de travail Windows ou la mémoire vive d'un...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première