Какво представляват индикаторите за компрометиране (IOC)?
Научете как да следите, идентифицирате, използвате и отговаряте на индикатори за компрометиране.
Обяснение на индикаторите за компрометиране
Индикатор за компрометиране (IOC) е доказателство, че някой може да е нарушил мрежа на организацията или крайна точка. Тези данни от разследване не само показват потенциална заплаха, а сигнализират, че вече е възникнала атака, например злонамерен софтуер, компрометирани идентификационни данни или ексфилтриране на данни. Специалистите по защитата търсят IOC в регистрационни файлове за събития , решения за разширено откриване и отговор (XDR), както и решения за информация за защита и управление на събития (SIEM) решения. По време на атака екипът използва IOC, за да премахне заплахата и да намали щетите. След възстановяването IOC помагат на организацията да разбере по-добре какво се е случило, така че екипът за защита на организацията да може да подобри защитата и да намали риска от друг подобен инцидент.
Примери за IOC
В защитата с IOC, ИТ следи в средата за следните признаци, че е в ход атака:
Аномалии в мрежовия трафик
В повечето организации има устойчиви модели на мрежов трафик, преминаващ във и извън цифровата среда. Когато това се промени, например ако има значително повече данни, които напускат организацията или ако има дейност, идваща от необичайно местоположение в мрежата, това може да е знак за атака.
Необичайни опити за влизане
Подобно на мрежовия трафик, служебните навици на хората са предвидими. Те обикновено влизат от едни и същи местоположения и приблизително по едно и също време през седмицата. Специалистите по защитата могат да открият компрометиран акаунт като обърнат внимание на влизанията в нетипични часове на деня или от необичайни географски местоположения, като например страна, в която организацията няма офис. Също така е важно да се обръща внимание на няколко неуспешни влизания от един и същ акаунт. Въпреки че хората периодично забравят паролите си или имат проблеми с влизането, те обикновено могат да ги разрешат след няколко опита. Повтарящите се неуспешни опити за влизане може да означават, че някой се опитва да получи достъп до организацията чрез откраднат акаунт.
Нарушения на привилегии на акаунт
Много атакуващи, независимо дали са вътрешни или външни лица, се интересуват от достъп до административни акаунти и придобиване на чувствителни данни. Нетипичното поведение, свързано с тези акаунти, например някой, който се опитва да ескалира своите привилегии, може да е знак за пробив.
Промени в конфигурациите на системите
Злонамерен софтуер често е програмиран да прави промени в конфигурациите на системата, например разрешаване на отдалечен достъп или забраняване на софтуер за защита. Чрез наблюдение за тези неочаквани промени в конфигурацията специалистите по защитата могат да идентифицират пробив, преди да възникнат твърде много щети.
Неочаквани инсталации или актуализации на софтуер
Много атаки започват с инсталирането на софтуер, например злонамерен софтуер или рансъмуер, който е предназначен да направи файловете недостъпни или да даде на хакерите достъп до мрежата. Чрез наблюдение за непланирани софтуерни инсталации и актуализации организациите могат бързо да уловят такива IOC.
Множество искания за един и същ файл
Няколко искания за един файл може да означават, че злонамерено действащо лице се опитва да го открадне, опитвайки няколко метода за достъп до него.
Необичайни заявки за име на домейн
Някои злонамерени действащи лица използват метод за атака, наречен „командване и контрол“. Те инсталират злонамерен софтуер на сървър на организацията, който създава връзка със сървър, който организацията притежава. След това изпращат команди от своя сървър към заразената машина, за да се опитат да откраднат данни или да прекъснат операциите. Необичайните заявки за домейнови именни системи (DNS) помагат на ИТ да открива тези атаки.
Защо IOC са важни
Наблюдението на IOCS е от решаващо значение за намаляване на риска за защитата на организацията. Ранното откриване на IOC позволява на екипите по защитата да реагират на и да разрешават атаките бързо, което намалява времето на прекъсване и прекъсванията. Редовното наблюдение също така дава на екипите по-добра представа за уязвимостите в организацията, които след това могат да бъдат намалени.
Реагиране на индикатори за компрометиране
След като екипите за защита идентифицират IOC, те трябва да реагират ефективно, за да гарантират възможно най-малко щети на организацията. Следващите стъпки помагат на организациите да останат фокусирани и да спират заплахите възможно най-бързо:
Създаване на план за отговор на инциденти
Отговарянето на инцидент е стресиращо и чувствително към времето, тъй като колкото по-дълго атакуващите остават неоткрити, толкова по-вероятно е да постигнат целите си. Много организации разработват план за отговор на инциденти, който да напътства екипите по време на критичните фази на отговора. Планът описва как организацията определя даден инцидент, ролите и отговорностите, стъпките, необходими за разрешаване на инцидент, и как екипът трябва да комуникира със служителите и външните заинтересовани лица.
Изолиране на компрометираните системи и устройства
След като дадена организация е идентифицирала заплаха, екипът по защитата бързо изолира приложенията или системите, които са обект на атаката, от останалата част от мрежите. Това помага за предотвратяване на достъпа на атакуващите до други части на фирмата.
Извършване на анализ за разследване
Анализът за разследване помага на организациите да разкрият всички аспекти на пробива в защитата, включително източника, типа на атаката и целите на атакуващия. Анализът се извършва по време на атаката, за да се разбере степента на компрометиране. След като организацията се възстанови от атаката, допълнителният анализ помага на екипа да разбере възможните уязвимости и да получи други прозрения.
Елиминиране на заплахата
Екипът отстранява атакуващия и всеки злонамерен софтуер от засегнатите системи и ресурси, което може да включва преминаване на системи в офлайн режим.
Внедряване на подобрения в защитата и процесите
След като организацията се възстанови от инцидента,е важно да оцените защо атаката се е случила и дали има нещо, което организацията би могла да направи, за да я предотврати. Възможно е да има прости подобрения в процесите и правилата, които да намалят риска от подобна атака в бъдеще, или екипът може да идентифицира решения с по-голям обхват, които да добави към пътната карта за защита.
Решения за IOC
Повечето пробиви в защитата оставят досие на разследването в регистрационни файлове и системи. Обучението за идентифициране и мониториране на тези IOC помага на организациите бързо да изолират и елиминират атакуващите. Много екипи се обръщат към решения със SIEM, например Microsoft Sentinel и XDR на Microsoft Defender, които използват ИИ и автоматизация за разкриването на IOC и ги съпоставят с други събития. Планът за отговор на инциденти позволява на екипите да изпреварят атаките и бързо да ги изключват. Когато става въпрос за киберсигурност, колкото по-бързо фирмите разберат какво се случва, толкова по-вероятно е да спрат атаката, преди да им струва пари или да навреди на репутацията им. Защитата с IOC е от ключово значение, за да се помогне на организациите да намалят риска си от скъпоструващи пробиви в защитата.
Научете повече за Microsoft Security
Microsoft Threat Protection
Идентифицирайте и отговаряйте на инциденти във вашата организация с най-новото в защитата срещу заплахи.
Microsoft Sentinel
Разкривайте сложни заплахи и отговаряйте решително с мощно, базирано на облака решение за SIEM.
Microsoft Defender XDR
Спрете атаките в крайни точки, имейли, самоличности, приложения и данни с решения за XDR.
Общност за разузнаване на заплахи
Получете най-новите актуализации от изданието на общността за „Разузнаване на заплахи на Microsoft Defender“.
Често задавани въпроси
-
Има няколко типа IOCS. Някои от най-често срещаните са:
- Аномалии в мрежовия трафик
- Необичайни опити за влизане
- Нарушения на привилегии на акаунт
- Промени в конфигурациите на системите
- Неочаквани инсталации или актуализации на софтуер
- Множество искания за един и същ файл
- Необичайни заявки за име на домейн
-
Индикатор за компрометиране е цифрово доказателство, че вече е възникнала атака. Индикатор за атака е доказателство, че има вероятност да възникне атака. Например фишинг кампания е индикатор за атака, тъй като няма доказателство, че атакуващият е направил пробив в защитата на фирмата. Ако обаче някой щракне върху фишинг връзка и изтегли злонамерен софтуер, инсталирането на злонамерен софтуер е индикатор за компрометиране.
-
Индикаторите за компрометиране в имейли включват внезапно засипване с нежелана поща, странни прикачени файлове или връзки, или неочакван имейл от познат човек. Например ако служител изпрати на колега имейл със странен прикачен файл, това може да означава, че акаунтът му е бил компрометиран.
-
Има няколко начина за идентифициране на компрометирана система. Промяна в мрежовия трафик от конкретен компютър може да е индикатор, че е бил компрометиран. Ако човек, който обикновено не се нуждае от дадена система, започне да осъществява достъп до нея редовно, това е тревожен сигнал. Промени в конфигурациите на системата или неочаквана инсталация на софтуер може също да означават компрометиране на системата.
-
Три примера за IOC са:
- Потребителски акаунт, базиран в Северна Америка, започва да влиза в ресурсите на фирмата от Европа.
- Хиляди искания за достъп в няколко потребителски акаунта, което показва, че организацията е жертва на атака с груба сила.
- Нови заявки за домейнови именни системи идват от нов хост или държава, където не се намират служители и клиенти.
Следвайте Microsoft Security