Wat is een IOC (Indicator of Compromise)?
Een IOC, oftewel Indicator of Compromise, is een technisch spoor of bewijsstuk dat wijst op een mogelijk beveiligingsincident, zoals een Malware-infectie, datalek of cyberaanval.
IOC’s helpen beveiligingsteams, zoals een CSIRT of CERT, om:
- Aanvallen te detecteren
- Verspreiding te stoppen
- Oorzaken te achterhalen
- Betrokken systemen op te schonen
🧱 Voorbeelden van IOC’s
| Type IOC | Voorbeeld |
|---|---|
| IP-adres | Verkeersstroom naar verdachte IP (bijv. 198.51.100.42) |
| Domeinnaam / URL | Verbinding met malicious-update[.]net |
| Hash-waarde | SHA-256 van kwaadaardige bestanden of scripts |
| Bestandspad | C:\Users\Public\svchost.exe (malware) |
| Registervermeldingen | Verdachte wijzigingen in Windows Registry |
| E-mailkenmerken | Phishing via verdachte afzender of onderwerp |
| Gebruikersgedrag | Inloggen buiten werkuren vanaf onbekende locatie |
| SCADA/OT-specifiek | Onverwachte wijziging van Setpoint, communicatie met onbekende PLC |
🔍 IOC’s in OT-omgevingen
IOC’s zijn niet alleen relevant voor IT, maar ook voor industriële netwerken zoals:
- Verkeer tussen SCADA en onbekende externe IP-adressen
- Verandering van Setpoint buiten een geautoriseerde sessie
- Inactieve PLC die plotseling actief wordt
- Firmware-updates zonder planning of documentatie
- Nieuw aangemaakte gebruikers op HMI-systemen
🔧 In combinatie met SIEM, IDS of assetmonitoringtools kunnen IOC’s automatisch worden gedetecteerd en onderzocht.
🧠 IOC vs IOA
| IOC (Indicator of Compromise) | IOA (Indicator of Attack) |
|---|---|
| Achteraf – sporen van een aanval | Gedrag – wat de aanvaller probeert te doen |
| Bijvoorbeeld malwarebestand | Bijvoorbeeld poging tot privilege escalation |
| Gericht op detectie | Gericht op preventie of vroegtijdige signalering |
📌 Samengevat
Een IOC is een technisch kenmerk dat duidt op een mogelijke cyberaanval of inbraak. Het vormt de basis voor detectie, analyse en respons in zowel IT- als OT-omgevingen, en wordt actief gebruikt binnen Defense in Depth en incidentdetectiesystemen zoals SIEM.