Kaj so kazalniki ogroženosti (IOC)?
Naučite se nadzorovati, prepoznati, uporabljati kazalnike ogroženosti in se odzvati nanje.
Več informacij o kazalnikih ogroženosti
Kazalnik ogroženosti je dokaz, da je nekdo vdrl v omrežje organizacije ali končno točko. Ti forenzični podatki ne označujejo le morebitne grožnje, ampak označujejo, da je že prišlo do napada, kot je zlonamerna programska oprema, ogrožene poverilnice ali nepooblaščeno filtriranje podatkov. Varnostni strokovnjaki v dnevnikih dogodkov poiščejo IOC-je, rešitve razširjenega odzivanja in zaznavanja (XDR) ter upravljanja varnostnih informacij in dogodkov (SIEM). Med napadom skupina uporablja IOC-je za odstranitev grožnje in preprečevanje škode. Po obnovitvi IOC-ji pomagajo organizaciji bolje razumeti, kaj se je zgodilo, tako, da lahko varnostna skupina organizacije okrepi varnost in zmanjša tveganje drugega podobnega dogodka.
Primeri IOC-jev
V varnosti IOC IT nadzira okolje za naslednje namige, da se izvaja napad:
Anomalije omrežnega prometa
V večini organizacij obstajajo dosledni vzorci za omrežni promet, ki prehaja v digitalno okolje in iz njega. Če se to spremeni, na primer če je v organizaciji na voljo veliko več podatkov ali če prihaja do dejavnosti z nenavadne lokacije v omrežju, je to lahko znak napada.
Nenavadni poskusi vpisa
Podobno kot omrežni promet so delovne navade ljudi predvidljive. Običajno se vpišete na istih lokacijah in v približno enakih časih v tednu. Strokovnjaki za varnost lahko zaznajo ogrožen račun tako, da podrobneje pregledujejo vpise ob nenavadnih dnevih ali na nenavadnih geografskih območjih, kot je država, v kateri organizacija nima pisarne. Pomembno je tudi, da si zabeležite več neuspelih vpisov iz istega računa. Čeprav ljudje občasno pozabijo svoja gesla ali imajo težave z vpisom, jih običajno lahko razrešijo po nekaj poskusih. Ponavljajoči se neuspešni poskusi vpisa lahko kažejo na to, da nekdo poskuša dostopati do organizacije z ukradenim računom.
Nepravilnosti privilegiranega računa
Številni napadalci, ne glede na to, ali so notranji oz. zunanji uporabniki, želijo dostopati do skrbniških računov in pridobiti občutljive podatke. Nenehen način delovanja, povezan s temi računi, na primer nekdo, ki poskuša posredovati svoje pravice, je lahko znak kršitve.
Spremembe konfiguracij sistemov
Zlonamerna programska oprema je pogosto programirana za spreminjanje konfiguracij sistemov, na primer za omogočanje oddaljenega dostopa ali onemogočanje varnostne programske opreme. Z nadzorom teh nepričakovanih sprememb konfiguracije lahko varnostni strokovnjaki prepoznajo kršitev, preden je prišlo do prevelike škode.
Nepričakovane namestitve ali posodobitve programske opreme
Številni napadi se začnejo z namestitvijo programske opreme, kot je zlonamerna programska oprema ali izsiljevalska programska oprema, ki je zasnovana tako, da onemogoči dostop do datotek ali napadalcem omogoči dostop do omrežja. Z nadzorom nenačrtovanih namestitev in posodobitev programske opreme lahko organizacije te IOC-je hitro zaznajo.
Številne zahteve za isto datoteko
Več zahtev za eno datoteko lahko pomeni, da jo poskuša zlonameren akter ukrasti in je poskusil dostopiti do datoteke na več načinov.
Nenavadne zahteve za sisteme imen datotek
Nekateri zlonamerni akterji uporabijo napad, ki se imenuje zaukaži in nadzoruj. V strežnik organizacije namestijo zlonamerno programsko opremo, ki ustvari povezavo s strežnikom, katerega lastnik je. Nato pošljejo ukaze iz strežnika v okuženi računalnik, da poskušajo ukrasti podatke ali prekiniti operacije. Z nenavadnimi zahtevami za sisteme imen datotek (DNS) osebje za IT lahko zaznajo takšne napade.
Zakaj so IOC-ji pomembni
Nadzor IOC-jev je ključnega pomena za zmanjšanje varnostnega tveganja organizacije. Z zgodnjim zaznavanjem IOC-jev se lahko varnostne skupine hitro odzovejo na napade in jih razrešijo ter tako zmanjšajo čas nedosegljivosti in motnje. Z rednim nadzorom skupine pridobijo celovitejši vpogled v ranljivosti organizacije. Te ranljivosti je nato mogoče ublažiti.
Odzivi na kazalnike ogroženosti
Ko varnostne skupine prepoznajo IOC, se morajo učinkovito odzvati, da zagotovijo čim manj škode organizaciji. Organizacije bodo s temi koraki bolj osredotočene in čim prej zaustavile grožnje:
Vzpostavite načrt za odzivanje na dogodek
Odzivanje na dogodek je stresno in časovno občutljivo, saj dlje, kot ostanejo napadalci neodkriti, bolje verjetno je, da dosežejo svoje cilje. Številne organizacije razvijejo načrt odzivanja na dogodek, s katerim lahko usmerjajo ekipe med kritičnimi obdobji odziva. Načrt določa, kako organizacija opredeljuje dogodek, vloge in odgovornosti, korake, zahtevane za razrešitev dogodka, in način, kako naj skupina komunicira z zaposlenimi in zunanjimi zainteresiranimi skupinami.
Izolirajte ogrožene sisteme in naprave
Ko je organizacija prepoznala grožnjo, mora varnostna ekipa hitro osamiti napadene aplikacije ali sisteme od preostalih omrežij. S tem prepreči napadalcem dostop do drugih delov podjetja.
Izvedite forenzično analizo
Forenzična analiza pomaga organizacijam odkriti vse vidike kršitve, vključno z virom, vrsto napada in cilji napadalca. Analiza se izvaja med napadom, da se seznanite z obsegom grožnje. Ko se organizacija opomore od napada, dodatna analiza pomaga ekipi razumeti morebitne ranljivosti in druge vpoglede.
Odpravite grožnjo
Odstranitev grožnje – ko je faza omejitve dokončana, ekipa odstrani napadalca ter morebitno zlonamerno programsko opremo iz prizadetih sistemov in virov.
Uvedite izboljšave varnosti in postopkov
Ko si organizacija opomore od dogodka, je pomembno, da ocenite, zakaj je prišlo do napada, in ali bi organizacija lahko naredila kar koli za preprečitev napada. Morda bodo na voljo preproste izboljšave postopka in pravilnika, s katerimi boste zmanjšali tveganje za podoben napad v prihodnosti ali pa bo skupina prepoznala dolgotrajne rešitve, ki jih bo dodala v načrt varnosti.
Rešitve IOC
Večina kršitev varnosti pusti forenzično sled v dnevniških datotekah in sistemih. Ko se organizacija nauči prepoznavati in nadzirati te IOC-je, bo lahko hitro izolirala in odstranila napadalce. Številne ekipe uporabljajo rešitve SIEM, kot sta Microsoft Sentinel in Microsoft Defender XDR, ki uporabljata UI in avtomatizacijo za površinske IOC-je, ki jih povežeta z drugimi dogodki. Načrt za odziv na dogodek omogoča skupinam, da so korak pred napadi in jih hitro zaustavijo. Ko je govora o kibernetski varnosti, hitreje ko podjetja razumejo, kaj se dogaja, bolj verjetno je, da bodo zaustavila napad, preden bodo izgubili denar ali si omalovaževali svoj ugled. Varnost IOC je ključna za pomoč organizacijam pri zmanjšanju tveganja, da bi prišlo do drage kršitve.
Več informacij o Microsoftovi varnosti
Zaščita pred grožnjami Microsoft
Prepoznajte dogodke v celotni organizaciji in se odzovite nanje z najnovejšimi funkcijami za zaščito pred grožnjami.
Microsoft Sentinel
Odkrivajte zapletene grožnje ter se odločno odzovite nanje z zmogljivo rešitvijo SIEM v oblaku.
Microsoft Defender XDR
Zaustavite napade na različne končne točke, e-pošto, identitete, aplikacije in podatke z rešitvami XDR.
Skupnost obveščanja o grožnjah
Pridobite najnovejše posodobitve iz skupnosti storitve Obveščanje o grožnjah Microsoft Defender.
Pogosta vprašanja
-
Obstaja več vrst napadov IOC. Nekateri od najpogostejših so:
- Anomalije omrežnega prometa
- Nenavadni poskusi vpisa
- Nepravilnosti privilegiranega računa
- Spremembe konfiguracij sistemov
- Nepričakovane namestitve ali posodobitve programske opreme
- Številne zahteve za isto datoteko
- Nenavadne zahteve za sisteme imen datotek
-
Kazalnik ogroženosti je digitalni dokaz, da je do napada že prišlo. Kazalnik napada je dokaz, da do napada lahko pride. Napad z lažnim predstavljanjem je na primer kazalnik napada, ker ni nobenega dokaza, da je napadalec kršil pravila podjetja. Če pa nekdo klikne povezavo z lažnim predstavljanjem in prenese zlonamerno programsko opremo, je namestitev zlonamerne programske opreme kazalnik ogroženosti.
-
Kazalniki ogroženosti v e-poštnih sporočilih vključujejo nenadno preplavitev neželene pošte, nenavadnih prilog ali povezav ali nepričakovano e-poštno sporočilo znane osebe. Če na primer zaposleni pošlje sodelavki e-poštno sporočilo z nenavadno prilogo, lahko to pomeni, da je bil njen račun ogrožen.
-
Ogrožen sistem lahko prepoznate na več načinov. Sprememba omrežnega prometa iz določenega računalnika je lahko pokazatelj, da je bil računalnik ogrožen. Če oseba, ki običajno ne potrebuje sistema, redno dostopa do sistema, je to rdeča zastavica. Spremembe konfiguracij v sistemu ali nepričakovana namestitev programske opreme lahko tudi kažejo na to, da je bil sistem ogrožen.
-
Trije primeri IOC-jev so:
- Uporabniški račun, ki je v Severni Ameriki, se začne vpisovati v vire podjetja iz Evrope.
- Na tisoče zahtev za dostop v več uporabniških računov, ki označujejo, da je organizacija žrtev napada z ugibanjem ključa.
- Nove zahteve sistemov za imena domen (DNS) prihajajo iz novega gostitelja ali države, v kateri zaposleni in stranke ne bivajo.
Spremljajte Microsoftovo varnost