Indicator of Attack (IoA)
Was ist Indicator of Attack (IoA)?
Indicator of Attack (IoA)Verhaltensbasierte Hinweise darauf, dass ein Angreifer aktuell eine Intrusion versucht – fokussiert auf Absicht und Technik statt nachträglicher Artefakte.
Ein Indicator of Attack beschreibt laufendes Angreiferverhalten: Codeausführung, Persistenzversuche, Privilegieneskalation, Credential Dumping, Lateral Movement, Exfiltration. Anders als IoCs, die atomar und leicht austauschbar sind, sind IoAs an Techniken gebunden und schwerer zu umgehen, weil ihre Änderung das gesamte Vorgehen ändern müsste. IoAs lassen sich sauber auf MITRE-ATT&CK-Techniken abbilden und bilden die Grundlage verhaltensbasierter Erkennung in EDR, XDR und modernen SIEMs. Ein wirksamer IoA erfasst das Warum und Wie einer Aktion – etwa ein Office-Prozess, der PowerShell für einen externen Download startet – und ermöglicht Reaktion vor dem Schaden.
● Beispiele
- 01
Ein IoA löst aus, wenn winword.exe powershell.exe mit kodierter Kommandozeile startet.
- 02
IoA für Credential-Diebstahl: Zugriff auf LSASS-Speicher durch einen unsignierten Prozess.
● Häufige Fragen
Was ist Indicator of Attack (IoA)?
Verhaltensbasierte Hinweise darauf, dass ein Angreifer aktuell eine Intrusion versucht – fokussiert auf Absicht und Technik statt nachträglicher Artefakte. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Indicator of Attack (IoA)?
Verhaltensbasierte Hinweise darauf, dass ein Angreifer aktuell eine Intrusion versucht – fokussiert auf Absicht und Technik statt nachträglicher Artefakte.
Wie schützt man sich gegen Indicator of Attack (IoA)?
Schutzmaßnahmen gegen Indicator of Attack (IoA) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Indicator of Attack (IoA)?
Übliche alternative Bezeichnungen: IoA, Verhaltensindikator.