Versión corta: IOC básicamente es cualquier dato que puede considerarse inusual en un sistema o red que podría servir como huella digital de un ataque o tal vez una infección.
Ejemplo:
Una de las formas en que los creadores de malware establecen la persistencia dentro de un host infectado es a través de cambios en el registro.
Imagina que malware.exe
SIEMPRE cree una carpeta en C:\Tmp\WindowsAdmin666
, entonces, si tiene esa carpeta, esto podría significar que está infectado, esto es un IOC (Registro sospechoso o cambios en el archivo del sistema) .
Versión larga:
Como dice "Digital Guardian", los indicadores de compromiso (IOC) son "piezas de datos forenses, como los datos que se encuentran en las entradas o archivos del registro del sistema, que identifican actividades potencialmente maliciosas en un sistema o red".
Los indicadores de seguridad de la información de ayuda de compromiso y los profesionales de TI en la detección de violaciones de datos, infecciones de malware u otra actividad de amenaza. Al monitorear los indicadores de compromiso, las organizaciones pueden detectar ataques y actuar rápidamente para evitar que ocurran violaciones o limitar los daños al detener los ataques en etapas anteriores.
Los indicadores de compromiso actúan como migajas de pan que llevan a los profesionales de la información y de la informática a detectar actividad maliciosa al principio de la secuencia de ataque. Estas actividades inusuales son las banderas rojas que indican un ataque potencial o en curso que podría llevar a una violación de datos o un compromiso de los sistemas. Pero, los COI no siempre son fáciles de detectar; Pueden ser tan simples como elementos de metadatos o muestras de contenido y código malintencionados increíblemente complejos. Los analistas a menudo identifican varios COI para buscar correlación y los agrupan para analizar una posible amenaza o incidente.
Los ejemplos de IOC incluyen tráfico de red inusual, actividad de cuenta de usuario privilegiada inusual, anomalías de inicio de sesión, aumentos en el volumen de lectura de la base de datos, registro sospechoso o cambios en el archivo del sistema, solicitudes de DNS inusuales y tráfico web que muestra comportamiento no humano. Estas y otras actividades inusuales permiten que los equipos de seguridad que supervisan los sistemas y las redes detecten a los actores maliciosos antes en el proceso de detección de intrusos.
Si la teoría era confusa, entonces un buen ejemplo podría ayudar a entender IOC, este documento es de SANS: Uso de IOC (Indicators of Compromise) en Malware
Espero que esto ayude.