INDICATORI DI COMPROMISSIONE

Gli indicatori di compromissione (IOC, Indicator of Compromise) sono eventi o attività anomale che indicano la presenza di una minaccia informatica all'interno di un sistema o di una rete. Gli IOC possono essere utilizzati per identificare, tracciare e rispondere alle minacce informatiche, al fine di prevenire o mitigare i danni causati.

Gli IOC possono essere divisi in diverse categorie, tra cui:

• Indicatori di attacco: questi indicano una potenziale minaccia informatica o un tentativo di attacco, come ad esempio l'utilizzo di indirizzi IP sospetti, URL malevoli, hash di file noti per essere dannosi, ecc.

• Indicatori di compromissione: questi indicano una violazione del sistema o della rete, come ad esempio l'attività di un malware, un accesso non autorizzato o un tentativo di furto di dati sensibili.

• Indicatori di comportamento: questi indicano comportamenti anomali o sospetti all'interno del sistema o della rete, come ad esempio un aumento del traffico di rete, un elevato utilizzo della CPU o la modifica di file di sistema.

La raccolta e l'analisi degli IOC sono spesso utilizzate come parte di un sistema di rilevamento delle minacce informatiche (TDS, Threat Detection System) o di un sistema di informazione sulla sicurezza (SIEM, Security Information and Event Management). L'identificazione tempestiva degli IOC può consentire alle organizzazioni di mitigare i rischi di sicurezza e di prevenire il verificarsi di attacchi informatici.