Trace Id is missing
Pređi na glavni sadržaj
Microsoft bezbednost

Šta su indikatori ugrožavanja (IOC-ovi)?

Saznajte kako da nadgledate, identifikujete, koristite i odgovorite na indikatore ugrožavanja.

Otkrijte Informacije o pretnjama za Microsoft Defender

Objašnjenje indikatora ugrožavanja

Indikatori ugrožavanja (IOC-ovi) su dokaz da je neko možda provalio u mrežu organizacije ili krajnju tačku. Ovi forenzički podaci ne ukazuju samo na potencijalnu pretnju, već signaliziraju da je već došlo do napada, kao što su malver, ugroženi akreditivi ili eksfiltracija podataka. Stručnjaci za bezbednost traže IOC-ove na evidencijama događaja, rešenjima proširenog otkrivanja i reagovanja (XDR) i rešenjima za upravljanje bezbednosnim informacijama i događajima (SIEM). Tokom napada, tim koristi IOC-ove da eliminiše pretnje i ublaži oštećenja. Nakon oporavka, IOC-ovi pomažu organizaciji da bolje razume šta se desilo, tako da bezbednosni tim organizacije može da ojača bezbednost i smanji rizik od drugog sličnog incidenta. 

Primeri IOC-ova

U IOC bezbednosti, IT nadgleda okruženje za sledeće naznake koje ukazuju na to da je napad u toku:

Anomalije saobraćaja

U većini organizacija postoje dosledni obrasci saobraćaja koji prolazi ulazno i izlazno digitalno okruženje. Kada se to promeni, na primer, ako postoji znatno više podataka koji napuštaju organizaciju ili ako postoji aktivnost koja dolazi sa neuobičajene lokacije u mreži, to može biti znak napada.

Neuobičajeni pokušaji prijavljivanja

Slično saobraćaju i radne navike ljudi su predvidive. Obično se prijavljuje sa istih lokacija i otprilike u isto vreme tokom sedmice. Stručnjaci za bezbednost mogu da otkriju ugroženi nalog tako što će obratiti pažnju na prijavljivanja u neobično vreme ili sa neobičnih geografskih lokacija, kao što su zemlje u kojoj organizacija nema kancelariju. Važno je takođe obratiti pažnju i na višestruke neuspešne prijave sa istog naloga. Iako ljudi povremeno zaborave svoje lozinke ili imaju problema prilikom prijavljivanja, obično uspeju da reše problem nakon nekoliko pokušaja. Ponovni neuspeli pokušaji prijavljivanja mogu da ukažu na to da neko pokušava da pristupi organizaciji pomoću ukradenog naloga. 

Nepravilnosti privilegovanog naloga

Mnogi napadači, bilo da su insajderi ili spoljnje osobe, zainteresovani su da pristupe administrativnim nalozima i pribave osetljive podatke. Neuobičajeno ponašanje povezano sa ovim nalozima, kao kad neko pokušava da eskalira privilegije, može biti znak bezbednosne pukotine.

Promene sistemskih konfiguracija

Malver je često programiran da menja konfiguraciju sistema, kao što je omogućavanje daljinskog pristupa ili onemogućavanje bezbednosnog softvera. Nadgledanjem ovih neočekivanih promena konfiguracije, stručnjaci za bezbednost mogu da identifikuju bezbednosnu pukotinu pre nego što dođe do većeg oštećenja.

Neočekivane instalacije ili ažuriranja softvera

Mnogi napadi počinju sa instalacijom softvera, kao što je malver ili ransomver, koji je dizajniran tako da učini datoteke nepristupačnim ili da napadačima omogući pristupi mreži. Nadgledanjem da li postoje neplanirane instalacije i ispravke softvera, organizacije mogu brzo da primete ove IOC-ove. 

Brojni zahtevi za istu datoteku

Više zahteva za jednu datoteku može da ukazuje na to da pogrešan akter pokušava da je ukrade i isprobao je nekoliko metoda za pristup.

Neuobičajeni sistemski zahtevi za ime domena

Neki pogrešni akteri koriste metod napada koji se zove „Komanda i kontrola“. Instaliraju malver na serveru organizacije koji kreira vezu sa serverom čiji su vlasnici. Zatim šalju komande sa svog servera na zaraženi računar kako bi pokušali da ukradu podatke ili da ometaju operacije. Neobični sistemski zahtevi za imena domena (DNS) pomažu da IT da otkrije ove napade.

Kako identifikovati IOC-ove

Znaci digitalnog napada snimaju se u datotekama evidencije. U sklopu IOC kibernetičke bezbednosti, timovi redovno nadgledaju digitalne sisteme radi sumnjivih aktivnosti. Moderna SIEM i XDR rešenja su pojednostavila ovaj proces pomoću algoritama za veštake inteligencije i mašinskog učenja koji uspostavljaju osnovu za ono što je normalno u organizaciji, a zatim upozoravaju tim o anomalijama. Takođe je važno angažovati zaposlene izvan bezbednosnog sektora, koji mogu da prime sumnjive e-poruke ili da slučajno preuzmu zaraženu datoteku. Dobri programi za obuku o bezbednosti pomažu radnicima da bolje prepoznaju ugrožene e-poruke i obezbede načine da prijave problem ukoliko im bilo šta izgleda čudno.

Zašto su IOC-ovi važni

Nadgledanje IOC-ova je od presudne važnosti za smanjenje bezbednosnog rizika organizacije. Rano otkrivanje IOC-ova omogućava bezbednosnim timovima da brzo odgovore na napade i reše ih, što smanjuje vreme neaktivnosti prekida rada. Redovno nadgledanje takođe timovima pruža veći uvid u ranjivosti organizacije, koje se zatim mogu izbeći.

Odgovor na indikatore ugrožavanja

Kada bezbednosni timovi identifikuju IOC, moraju efikasno da odgovore kako bi obezbedili što manju štetu po organizaciju. Sledeći koraci pomažu organizacijama da ostanu fokusirane i da što pre zaustave pretnje:

Uspostavljanje plana reagovanja na incident

Odgovaranje na incident je stresno i vremenski osetljivo zato što duži napadi ostaju neotkriveni i veća je verovatnoća da će postići svoje ciljeve. Mnoge organizacije razvijaju plan reagovanja na incident za vođenje timova tokom kritičnih faza odgovora. Plan prikazuje kako se organizacija brani od incidenta, uloge i odgovornosti, korake koji su potrebni za rešavanje incidenta i kako tim treba da komunicira sa zaposlenima i spoljnim zainteresovanim stranama. 

Izolujte ugrožene sisteme i uređaje

Kada organizacija identifikuje pretnju, bezbednosni tim brzo izoluje aplikacije ili sisteme koji su pod napadom od ostalih mreža. Ovo pomaže u sprečavanju napadača da pristupe drugim delovima poslovanja.

Sprovođenje forenzičke analize

Forenzička analiza pomaže organizacijama da otkriju sve aspekte provale, uključujući izvor, tip napada i ciljeve napadača. Analiza se obavlja tokom napada da bi se razumelo područje ugrožavanja. Kada se organizacija oporavi od napada, dodatna analiza pomaže timu da razume moguće ranjivosti i da stvori druge uvide.

Eliminišite pretnju

Tim uklanja napadača i malver iz sistema i resursa na koje ovo utiče što može da podrazumeva stavljanje sistema van mreže.

Primena poboljšanja bezbednosti i procesa

Kada se organizacija oporavi od incidenta, važno je da se proceni zašto se napad dogodio i da li je organizacija mogla nešto da učini kako bi ga sprečila. Možda postoje jednostavna poboljšanja procesa i smernica koja će smanjiti rizik od sličnog napada u budućnosti ili tim može da identifikuje dugoročnija rešenja koja treba dodati u bezbednosno planiranje.

IOC rešenja

Većina bezbednosnih provala ostavlja forenzički trag u datotekama evidencije i sistemima. Učenje za identifikovanje i nadgledanje ovih IOC-ova pomaže organizacijama da brzo izoluju i eliminišu napadače. Mnogi timovi se okreću SIEM rešenjima, kao što su Microsoft Sentinel i Microsoft Defender XDR, koji koriste veštačku inteligenciju i automatizaciju da bi prikazali IOC-ove i povezali ih sa drugim događajima. Plan reagovanja na incident omogućava timovima da preduprede napade i da ih brzo eliminišu. Kada je reč o kibernetičkoj bezbednosti, brže kompanije razumeju šta se dešava, veća je verovatnoća da će zaustaviti napad pre nego što ih to novčano košta ili naruši njihovu reputaciju. IOC bezbednost je ključna kao pomoć organizacijama da smanje rizik od provale.

Saznajte više o Microsoft bezbednosti

Microsoft zaštita od pretnji

Identifikujte incidente u organizaciji i odgovorite na njih najnovijim rešenjima za zaštitu od pretnji.

Saznajte više

Microsoft Sentinel

Otkrijte sofisticirane pretnje i odlučno odgovorite na njih pomoću moćnog SIEM rešenja zasnovanog na tehnologiji oblaka.

Saznajte više

Microsoft Defender XDR

Zaustavite napade na krajnje tačke, e-poštu, identitete, aplikacije i podatke uz pomoć rešenja proširenog otkrivanja i reagovanja (XDR).

Saznajte više

Zajednica za informacije o kibernetičkim pretnjama

Preuzmite najnovija ažuriranja iz izdanja zajednice Informacija o pretnjama za Microsoft Defender.

Saznajte više

Najčešća pitanja

  • Postoji nekoliko tipova IOC-ova. Neki od najčešćih su:

    • Anomalije saobraćaja
    • Neuobičajeni pokušaji prijavljivanja
    • Nepravilnosti privilegovanog naloga
    • Promene sistemskih konfiguracija
    • Neočekivane instalacije ili ažuriranja softvera
    • Brojni zahtevi za istu datoteku
    • Neuobičajeni sistemski zahtevi za ime domena

  • Indikator ugrožavanja je digitalni dokaz da je do napada već došlo. Indikator napada je dokaz da će verovatno doći do napada. Na primer, phishing kampanja je indikator napada jer nema dokaza da je napadač provalio u preduzeće. Međutim, ako neko klikne na phishing vezu i preuzme malver, instalacija malvera je indikator ugrožavanja.

  • Indikatori ugrožavanja u e-pošti uključuju: nagli porast bezvredne pošte, neobične priloge ili veze ili neočekivanu e-poštu od poznate osobe. Na primer, ako zaposleni pošalje kolegi e-poruku sa neobičnim prilogom, to može da ukazuje na to da je nalog ugrožen.

  • Postoji više načina za identifikovanje ugroženog sistema. Promena mrežnog saobraćaja sa određenog računara može da bude indikator da je ugrožen. Ako osoba, kojoj obično nije potreban sistem, počne redovno da mu pristupa, to je znak upozorenja. Promene konfiguracija sistema ili neočekivane instalacije softvera takođe mogu da ukazuju na ugroženost. 

  • Tri IOC primera:

    • Korisnički nalog koji se nalazi u Severnoj Americi počinje da se prijavljuje u resurse preduzeća iz Evrope.
    • Hiljade zahteva za pristup preko više korisničkih naloga, što ukazuje na to da je organizacija žrtva napada pogađanjem ključa.
    • Novi sistemski zahtevi za ime domena koji potiču od novog hosta ili iz zemlje u kojoj ne borave zaposleni i klijenti.

Pratite Microsoft bezbednost