Национальная кибернетическая группа (CMF) Киберкомандования США (CYBERCOM), утвержденная в 2012 году, первоначально состояла из 133 подразделений, насчитывающих, в общей сложности, около 6200 военных и гражданских сотрудников. 

подразделения CMF бывают нескольких типов:

• Подразделения сил национальной миссии защищают страну, наблюдая за действиями противника, блокируя атаки и маневрируя для их поражения;
• Подразделения сил боевых операций проводят военные кибер-операции в поддержку командования боевых действий;
• Подразделения киберзащиты защищают информационную сеть Министерства обороны, защищают приоритетные миссии и готовят кибервойска к боевым действиям.

Индикатор компрометации (англ. Indicator of Compromise, IoC; рус. МОК) — в сфере компьютерной безопасности – наблюдаемый в сети или на конкретном устройстве объект (или активность), который с большой долей вероятности указывает на несанкционированный доступ к системе (то есть ее компрометацию).

Такие индикаторы используются для обнаружения вредоносной активности на ранней стадии, а также для предотвращения известных угроз.

Если говорить об их использовании, то это не просто список индикаторов, а первичная информация об инциденте для анализа, исследования и/или реакции, что позволяет получить ответы на вопросы об инциденте: что, кто, почему, как, где и когда? Такой первичной информацией могут быть:

Что может служить индикатором компрометации

В качестве индикатора компрометации могут выступать:

• Необычные DNS-запросы.
• Подозрительные файлы, приложения и процессы.
• IP-адреса и домены, принадлежащие ботнетам или командным серверам вредоносного ПО.
• Значительное количество обращений к одному файлу.
• Подозрительная активность в учетных записях администраторов или привилегированных пользователей.
• Неожиданное обновление программных продуктов.
• Передача данных через редко используемые порты.
• Нетипичное для человека поведение на веб-сайте.Сигнатура или хеш-сумма вредоносной программы.
• Необычный размер HTML-ответов.
• Несанкционированное изменение конфигурационных файлов, реестров или настроек устройства.
• Большое количество неудачных попыток входа в систему.

Выявление и применение индикаторов компрометации (МОК)

Индикаторы компрометации, связанные с конкретной угрозой, выделяются при анализе этой угрозы. Например, если киберразведка обнаружила новое вредоносное ПО, в отчете о нем будут приведены такие IoC, как хеши файлов, адреса командных серверов и так далее.

В дальнейшем индикаторы компрометации используются для активного поиска угроз в инфраструктуре организации. Обнаружение IoC в системе указывает на то, что, вероятно, на нее уже ведется кибератака и необходимо принять меры реагирования.

Индикаторы компрометации также добавляют в базы данных пассивных средств мониторинга и антивирусного ПО, чтобы своевременно выявлять и блокировать попытки проникновения. Например, с помощью сигнатур вредоносной программы защитное решение распознает ее и запрещает ей запускаться на устройстве.