Kas ir apdraudējuma rādītāji (IOC)?
Uzziniet, kā pārraudzīt, identificēt, izmantot apdraudējuma rādītājus un kā reaģēt uz šiem rādītājiem.
Apdraudējuma rādītāju skaidrojums
Apdraudējuma rādītājs (indicator of compromise — IOC) indikators ir pierādījums, ka kāds, iespējams, ir veicis pārkāpumu organizācijas tīklā vai galapunktā. Šie izmeklēšanas dati ne tikai norāda potenciālo apdraudējumu, bet arī norāda, ka uzbrukums, piemēram, ļaunprogrammatūras darbība, akreditācijas datu apdraudējums vai datu eksfiltrācija, jau ir noticis. Drošības speciālisti meklē apdraudējuma rādītājus notikumu žurnālos, paplašinātās atklāšanas un reaģēšanas (XDR) risinājumos, kā arī drošības informācijas un notikumu pārvaldības (SIEM) risinājumos. Uzbrukuma laikā komanda izmanto apdraudējuma rādītājus, lai novērstu apdraudējumu un mazinātu bojājumus. Pēc atkopšanas apdraudējuma rādītāji palīdz organizācijai labāk saprast, kas notika, lai organizācijas drošības komanda varētu stiprināt drošību un mazināt cita līdzīga incidenta risku.
Apdraudējuma rādītāju piemēri
Apdraudējuma rādītāju drošībā IT pārrauga vidi, lai noteiktu šādas norādes par to, ka notiek uzbrukums:
Tīkla trafika anomālijas
Lielākajā daļā organizāciju pastāv konsekventi tā tīkla trafika modeļi, kas ienāk ciparu vidē un iziet no tās. Ja ir šīs izmaiņas, piemēram, ja no organizācijas tiek nosūtīts ievērojami vairāk datu, vai ja tiek veiktas darbības no neparastas atrašanās vietas tīklā, tas var liecināt par uzbrukumu.
Neparasti pierakstīšanās mēģinājumi
Līdzīgi tīkla trafikam arī lietotāju darba paradumi ir paredzami. Nedēļas ietvaros parasti viņi pierakstās no tām pašām atrašanās vietām un aptuveni tajā pašā laikā. Drošības speciālisti var noteikt apdraudētu kontu, pievēršot uzmanību pierakstīšanās reizēm neparastā laikā vai no neparastas ģeogrāfiskās atrašanās vietas, piemēram, valsts, kur organizācijai nav biroja. Ir svarīgi arī ievērot vairākus neizdevušos pierakstīšanās mēģinājumus vienā kontā. Lai gan lietotāji periodiski aizmirst savas paroles vai tiem rodas problēmas ar pierakstīšanos, parasti tiem izdodas visu atrisināt pēc dažiem mēģinājumiem. Atkārtoti neveiksmīgas pierakstīšanās mēģinājumi var norādīt, ka kāds mēģina piekļūt organizācijai, izmantojot nozagtu kontu.
Privilēģiju konta neatbilstības
Daudzi uzbrucēji neatkarīgi no tā, vai viņi ir iekšējas vai ārējas personas, ir ieinteresēti piekļūt administratīvajiem kontiem un iegūt sensitīvus datus. Netipiska darbība, kas saistīta ar šiem kontiem, piemēram, kāds mēģina eskalēt savas privilēģijas, var būt pārkāpuma pazīme.
Izmaiņas sistēmu konfigurācijās
Ļaunprogrammatūra bieži tiek programmēta tā, lai veiktu izmaiņas sistēmu konfigurācijās, piemēram, iespējotu attālo piekļuvi vai atspējotu drošības programmatūru. Uzraugot šīs neparedzētās konfigurācijas izmaiņas, drošības speciālisti var identificēt pārkāpumu, pirms ir nodarīts pārāk daudz ļaunuma.
Neparedzētas programmatūras instalēšanas vai atjaunināšanas
Daudzi uzbrukumi sākas ar tādas programmatūras instalēšanu kā ļaunprogrammatūra vai izspiedējprogrammatūra, kas ir izstrādāta, lai padarītu failus nepieejamus vai nodrošinātu uzbrucējiem piekļuvi tīklam. Pārraugot, vai nav neplānotu programmatūras instalēšanas un atjaunināšanas gadījumu, organizācijas var ātri atrast šos apdraudējuma rādītājus.
Vairāki viena faila pieprasījumi
Vairāki viena faila pieprasījumi var norādīt, ka ļaunprātīgs aktors mēģina to nozagt un ir izmēģinājis vairākas metodes, lai tam piekļūtu.
Neparasti domēnu nosaukumu sistēmu pieprasījumi
Daži ļaunprātīgi aktori izmanto uzbrukuma metodi, ko sauc par komandēšanu un kontroli. Tie instalē ļaunprogrammatūru organizācijas serverī, kas veido savienojumu ar serveri, kas tiem pieder. Pēc tam tie sūta komandas no sava servera uz inficēto datoru, lai mēģinātu nozagt datus vai traucēt darbības. Neparasti domēnu nosaukumu sistēmu (DNS) pieprasījumi palīdz IT darbiniekiem noteikt šos uzbrukumus.
Kāpēc apdraudējuma rādītāji ir svarīgi
Apdraudējuma rādītāju pārraudzība ir kritiski svarīga, lai samazinātu organizācijas drošības risku. Agrīno apdraudējuma rādītāju noteikšana ļauj drošības komandām ātri reaģēt uz uzbrukumiem un novērst tos, samazinot nedarbošanās un traucējumu apjomu. Regulāra pārraudzība arī sniedz komandām lielāku ieskatu par organizācijas ievainojamībām, kuras pēc tam var mazināt.
Reaģēšana uz apdraudējuma indikatoriem
Kad drošības komandas identificē apdraudējuma rādītāju, tām ir efektīvi jāreaģē, lai panāktu pēc iespējas mazāk bojājumu organizācijai. Tālāk norādītās darbības palīdz organizācijām koncentrēties un apturēt apdraudējumus, cik ātri vien iespējams:
Atbildes uz incidentu plāna izveide
Reaģēšana uz incidentu ir stresaina un ir jāveic ātri — jo ilgāk uzbrucēji paliek neatklāti, jo lielāka ir iespējamība, ka viņi sasniegs savus mērķus. Daudzas organizācijas izstrādā atbildes uz incidentu plānu, lai palīdzētu komandām ar norādījumiem atbildes kritisko fāžu laikā. Plānā ir aprakstīts, kā organizācija definē incidentu, lomas un pienākumus, darbības, kas nepieciešamas, lai atrisinātu incidentu, un tas, kā komandai ir jāsazinās ar darbiniekiem un ārējām ieinteresētajām pusēm.
Apdraudēto sistēmu un ierīču izolēšana
Kad organizācija ir identificējusi apdraudējumu, drošības komanda no pārējām tīklu daļām ātri izolē programmas vai sistēmas, kurām notiek uzbrukums. Tas palīdz neļaut uzbrucējiem piekļūt citām uzņēmuma daļām.
Izmeklēšanas datu analīzes veikšana
Izmeklēšanas datu analīze palīdz organizācijām atklāt visus pārkāpuma aspektus, tostarp avotu, uzbrukuma veidu un uzbrucēja mērķus. Uzbrukuma laikā tiek veikta analīze, lai izprastu apdraudējuma pakāpi. Kad organizācija ir atguvusies no uzbrukuma, papildu analīze palīdz komandai izprast iespējamās ievainojamības un citus ieskatus.
Apdraudējuma novēršana
Komanda no ietekmētajām sistēmām un resursiem noņem uzbrucēju un visu ļaunprogrammatūru, un tas var ietvert sistēmu pārslēgšanu bezsaistē.
Drošības un procesu uzlabojumu ieviešana
Kad organizācija ir atguvusies no incidenta, ir svarīgi novērtēt, kāpēc notika uzbrukums un vai organizācija varēja kaut ko izdarīt, lai to nepieļautu. Šeit var būt vienkārši procesu un politikas uzlabojumi, kas samazinās līdzīgu uzbrukumu risku nākotnē, vai arī komanda var identificēt plašākus risinājumus, ko pievienot drošības rīcības plānam.
IOC risinājumi
Vairākums drošības pārkāpumu atstāj izmeklēšanai pieejamas pēdas žurnālfailos un sistēmās. Mācīšanās identificēt un pārraudzīt šos apdraudējuma rādītājus palīdz organizācijām ātri izolēt un likvidēt uzbrucējus. Daudzas komandas pāriet uz SIEM risinājumiem, piemēram, Microsoft Sentinel un Microsoft Defender XDR, kas izmanto mākslīgo intelektu un automatizāciju, lai atklātu apdraudējuma rādītājus un korelētu tos ar citiem notikumiem. Atbildes uz incidentu plāns ļauj komandām būt soli priekšā uzbrukumiem un ātri tos izbeigt. Runājot par kiberdrošību, jo ātrāk uzņēmumi saprot, kas notiek, jo lielāka ir iespējamība, ka tie apturēs uzbrukumu, pirms tas radīs finanšu zaudējumus vai sabojās reputāciju. Apdraudējuma rādītāju drošība ir atslēga, lai palīdzētu organizācijām samazināt dārgi izmaksājoša pārkāpuma risku.
Papildinformācija par Microsoft drošību
Microsoft pretdraudu aizsardzība
Identificējiet incidentus un reaģējiet uz tiem visā organizācijā, izmantojot jaunākās pretdraudu aizsardzības iespējas.
Microsoft Sentinel
Atklājiet sarežģītus apdraudējumus un izlēmīgi reaģējiet, izmantojot jaudīgu, mākonī izvietotu SIEM risinājumu.
Microsoft Defender XDR
Apturiet uzbrukumus galapunktos, e-pastā, identitātēs, programmās un datos, izmantojot XDR risinājumus.
Draudu informācijas kopiena
Iegūstiet jaunākos atjauninājumus no Microsoft Defender draudu informācijas kopienas izdevuma.
Bieži uzdotie jautājumi
-
Pastāv vairāki apdraudējuma rādītāju veidi. Daži no visbiežāk sastopamajiem ir:
- Tīkla trafika anomālijas
- Neparasti pierakstīšanās mēģinājumi
- Privilēģiju konta neatbilstības
- Izmaiņas sistēmas konfigurācijās
- Neparedzētas programmatūras instalēšanas vai atjaunināšanas
- Vairāki viena faila pieprasījumi
- Neparasti domēnu nosaukumu sistēmu pieprasījumi
-
Apdraudējuma rādītājs ir digitāls pierādījums tam, ka uzbrukums jau ir noticis. Uzbrukuma rādītājs ir pierādījums tam, ka varētu notikt uzbrukums. Piemēram, pikšķerēšanas kampaņa ir uzbrukuma rādītājs, jo nav pierādījumu, ka uzbrucējs ir uzņēmumā ir veicis pārkāpumu. Tomēr, ja kāds noklikšķina uz pikšķerēšanas saites un lejupielādē ļaunprogrammatūru, tad ļaunprogrammatūras instalēšana ir apdraudējuma rādītājs.
-
E-pasta apdraudējuma indikatori ietver pēkšņu surogātpasta, dīvainu pielikumu vai saišu pieplūdi vai neparedzētu e-pasta ziņojumu no kādas zināmas personas. Piemēram, ja darbinieks nosūta kolēģim e-pasta ziņojumu ar dīvainu pielikumu, tas var norādīt, ka viņa konts ir apdraudēts.
-
Pastāv vairāki veidi, kā identificēt apdraudētu sistēmu. Konkrēta datora tīkla trafika izmaiņas var būt rādītājs, ka tas ir apdraudēts. Ja persona, kurai parasti nav nepieciešama kāda sistēma, tai sāk regulāri piekļūt, tas ir sarkans karodziņš. Izmaiņas sistēmas konfigurācijās vai neparedzēta programmatūras instalēšana arī var norādīt uz to, ka šī sistēma ir apdraudēta.
-
Trīs apdraudējuma rādītāja piemēri:
- Lietotāja, kas atrodas Ziemeļamerikā, konts sāk pierakstīties uzņēmuma resursiem no Eiropas.
- Tūkstošiem piekļuves pieprasījumu vairākos lietotāju kontos, kas norāda, ka organizācija ir pārlases uzbrukuma upuris.
- Jauni domēnu nosaukumu sistēmu pieprasījumi, kas nāk no jauna resursdatora vai valsts, kurā nav darbinieku un klientu.
Sekot Microsoft drošībai