IOC

Wat is een IOC (Indicator of Compromise)?

Een IOC, oftewel Indicator of Compromise, is een technisch spoor of bewijsstuk dat wijst op een mogelijk beveiligingsincident, zoals een Malware-infectie, datalek of cyberaanval.

IOC’s helpen beveiligingsteams, zoals een CSIRT of CERT, om:

• Aanvallen te detecteren
• Verspreiding te stoppen
• Oorzaken te achterhalen
• Betrokken systemen op te schonen

---

🧱 Voorbeelden van IOC’s

Type IOC	Voorbeeld
IP-adres	Verkeersstroom naar verdachte IP (bijv. 198.51.100.42)
Domeinnaam / URL	Verbinding met malicious-update[.]net
Hash-waarde	SHA-256 van kwaadaardige bestanden of scripts
Bestandspad	C:\Users\Public\svchost.exe (malware)
Registervermeldingen	Verdachte wijzigingen in Windows Registry
E-mailkenmerken	Phishing via verdachte afzender of onderwerp
Gebruikersgedrag	Inloggen buiten werkuren vanaf onbekende locatie
SCADA/OT-specifiek	Onverwachte wijziging van Setpoint, communicatie met onbekende PLC

---

🔍 IOC’s in OT-omgevingen

IOC’s zijn niet alleen relevant voor IT, maar ook voor industriële netwerken zoals:

• Verkeer tussen SCADA en onbekende externe IP-adressen
• Verandering van Setpoint buiten een geautoriseerde sessie
• Inactieve PLC die plotseling actief wordt
• Firmware-updates zonder planning of documentatie
• Nieuw aangemaakte gebruikers op HMI-systemen

🔧 In combinatie met SIEM, IDS of assetmonitoringtools kunnen IOC’s automatisch worden gedetecteerd en onderzocht.

---

🧠 IOC vs IOA

IOC (Indicator of Compromise)	IOA (Indicator of Attack)
Achteraf – sporen van een aanval	Gedrag – wat de aanvaller probeert te doen
Bijvoorbeeld malwarebestand	Bijvoorbeeld poging tot privilege escalation
Gericht op detectie	Gericht op preventie of vroegtijdige signalering

---

📌 Samengevat

Een IOC is een technisch kenmerk dat duidt op een mogelijke cyberaanval of inbraak. Het vormt de basis voor detectie, analyse en respons in zowel IT- als OT-omgevingen, en wordt actief gebruikt binnen Defense in Depth en incidentdetectiesystemen zoals SIEM.