Що таке індикатори порушення (ІП)?
Дізнайтеся, як відстежувати, виявляти та використовувати індикатори порушення й реагувати на них.
Пояснення індикаторів порушення
Індикатор порушення (ІП) є доказом, що хтось міг порушити безпеку мережі або кінцевої точки організації. Ці дані експертизи не просто вказують на потенційну загрозу. Вони сигналізують, що вже відбулась атака, наприклад проникнення зловмисної програми, ураження облікових даних або ексфільтрація даних. Фахівці з безпеки шукають індикатори порушення в журналах подій, рішеннях розширеного виявлення й реагування (XDR) і керування захистом інформації (SIEM). Під час атаки команда безпеки використовує індикатори порушення, щоб усунути загрозу та зменшити наслідки. Після відновлення індикатори порушення допомагають організації краще зрозуміти, що сталося. Це дає команді безпеки організації змогу посилити захист і знизити ризик схожого інциденту.
Приклади ІП
У сфері безпеки з використанням індикаторів порушення ІТ-служба відстежує середовище на наявність зазначених нижче ознак активної атаки.
Аномалії трафіку
У більшості організацій існують узгоджені моделі передачі вхідного й вихідного трафіку цифрового середовища. Коли вони змінюються, наприклад якщо організацію залишає набагато більше даних або дії виконуються з незвичного розташування в мережі, це може бути ознакою атаки.
Незвичні спроби входу
Як і трафік, робочі звички людей передбачувані. Зазвичай вони протягом тижня виконують вхід з однакових розташувань приблизно в той самий час. Фахівці з безпеки можуть виявити уражений обліковий запис, приділивши увагу входам у незвичний час доби або з незвичних географічних розташувань, наприклад із країни, де організація не має офісів. Також важливо звертати увагу на неодноразові невдалі спроби входу з одного облікового запису. Хоча люди періодично забувають свої паролі або в них виникають проблеми з входом, вони зазвичай вирішують це за кілька спроб. Повторні невдалі спроби входу можуть означати, що хтось намагається отримати доступ до організації за допомогою вкраденого облікового запису.
Аномалії привілейованого облікового запису
Багато зловмисників (внутрішніх або зовнішніх) хочуть отримати доступ до облікових записів адміністраторів і дістатися до конфіденційних даних. Незвична поведінка, пов’язана з цими обліковими записами, наприклад спроба підвищити свої права, може бути ознакою порушення.
Зміни в конфігураціях систем
Зловмисні програми часто налаштовані на внесення змін у конфігурації систем, наприклад увімкнення віддаленого доступу або вимкнення захисного програмного забезпечення. Відстежуючи ці несподівані зміни конфігурації, фахівці з безпеки можуть виявити порушення до того, як буде завдано занадто великої шкоди.
Неочікувані інсталяції або оновлення програмного забезпечення
Багато атак починаються з інсталяції програмного забезпечення, як-от зловмисної програми чи зловмисної програми з вимогою викупу, яке призначено, щоб зробити файли недоступними або надати зловмисникам доступ до мережі. Відстежуючи незаплановані інсталяції та оновлення програмного забезпечення, організації можуть швидко помітити ці індикатори порушення.
Численні запити того самого файлу
Декілька запитів одного файлу можуть указувати на те, що зловмисник намагається вкрасти його й спробував отримати до нього доступ кількома способами.
Незвичні запити доменної системи іменування
Деякі зловмисники використовують метод атаки, який називається атакою типу "Командування та керування". Вони інсталюють зловмисну програму на сервері організації, яка встановлює підключення до сервера, що належить зловмисникам. Після цього вони надсилають команди зі свого сервера на уражений комп’ютер, щоб спробувати вкрасти дані або порушити роботу. Незвичні запити доменної системи іменування допомагають ІТ-службі виявляти ці атаки.
Важливість індикаторів порушення
Відстеження індикаторів порушення критично важливе для зниження ризику у сфері безпеки організації. Раннє виявлення індикаторів порушення дає командам безпеки змогу швидко реагувати на атаки й усувати їх, зменшуючи тривалість простоїв і кількість порушень роботи. Регулярне відстеження також дозволяє командам краще зрозуміти вразливості організації, які потім можна усунути.
Реагування на індикатори порушення
Коли команди безпеки виявляють ІП, їм потрібно ефективно відреагувати на них, щоб забезпечити мінімальний рівень збитків для організації. Указані нижче дії допомагають організаціям підтримувати пильність і якнайшвидше зупиняти загрози.
Створення плану реагування на інциденти
Реагування на інциденти викликає стрес і вимагає оперативності, оскільки що довше зловмисники залишаються невиявленими, то більша ймовірність, що вони досягнуть своєї мети. Багато організацій розробляють план реагування на інциденти, щоб допомогти командам на критичних етапах реагування. У плані описано, як організація визначає інцидент, роль та обов’язки, дії для усунення інциденту, а також спосіб, яким команда повинна повідомляти працівників і зовнішніх зацікавлених осіб.
Ізолювання уражених систем і пристроїв
Коли організація виявляє загрозу, команда безпеки швидко ізолює програми або системи, які зазнали атаки, від решти мереж. Це допомагає запобігти доступу зловмисників до інших частин бізнесу.
Проведення експертного аналізу
Експертний аналіз допомагає організаціям виявляти всі аспекти порушення, зокрема джерело, тип атаки та цілі зловмисників. Аналіз відбувається під час атаки, щоб усвідомити ступінь ураження. Коли організація відновиться після атаки, додатковий аналіз допоможе команді зрозуміти можливі вразливості та іншу аналітику.
Усунення загрози
Команда видаляє зловмисника та будь-які зловмисні програми з уражених систем і ресурсів, що може призвести до відключення систем від мережі.
Упровадження покращень системи безпеки та процесів
Коли організація відновиться після інциденту, важливо оцінити, чому відбулась атака та які дії могла виконати організація, щоб запобігти їй. Можуть бути доступні прості покращення процесів і політик, які зменшать ризик аналогічних атак у майбутньому, або команда може виявити довгострокові рішення для покращення дорожньої карти безпеки.
Рішення ІП
Більшість порушень безпеки залишають слід у файлах журналів і системах. Вміння виявляти й відстежувати ці індикатори порушення допомагає організаціям швидко ізолювати та усувати зловмисників. Багато команд звертаються до рішень SIEM, наприклад Microsoft Sentinel і Microsoft Defender XDR, які використовують ШІ та автоматизацію, щоб виявляти індикатори порушення й зіставляти їх з іншими подіями. План реагування на інциденти дає командам змогу випереджати атаки та швидко припиняти їх. Коли йдеться про кібербезпеку, що швидше компанії зрозуміють, що відбувається, то вища ймовірність, що вони зупинять атаку, перш ніж це призведе до збитків або нашкодить репутації. Безпека з використанням індикаторів порушення відіграє ключову роль у допомозі організаціям знизити ризик дороговартісних порушень.
Дізнайтеся більше про Захисний комплекс Microsoft
Захист від загроз (Microsoft)
Виявляйте інциденти у вашій організації та реагуйте на них за допомогою новітніх засобів захисту від загроз.
Microsoft Sentinel
Виявляйте складні загрози й оперативно реагуйте на них за допомогою потужного хмарного рішення SIEM.
Microsoft Defender XDR
Зупиняйте атаки на кінцеві точки, електронну пошту, ідентичності, програми й дані за допомогою рішень XDR.
Спільнота аналізу кіберзагроз
Отримуйте найновіші оновлення з випуску Аналізу загроз Microsoft Defender для спільноти.
Запитання й відповіді
-
Існує кілька типів індикаторів порушення. Нижче наведено одні з найпоширеніших.
- Аномалії трафіку
- Незвичні спроби входу
- Аномалії привілейованого облікового запису
- Зміни в конфігураціях систем
- Неочікувані інсталяції або оновлення програмного забезпечення
- Численні запити того самого файлу
- Незвичні запити доменної системи іменування
-
Індикатор порушення є цифровим доказом, що атака вже відбулася. Індикатор атаки є доказом, що атака відбудеться з великою ймовірністю. Наприклад, фішингова кампанія є індикатором атаки, оскільки немає доказів, що зловмисник порушив безпеку компанії. Однак, якщо хтось натисне фішингове посилання й завантажить зловмисну програму, інсталяція зловмисної програми стане індикатором порушення.
-
До індикаторів порушення електронної пошти належать раптовий наплив спаму, незвичні вкладення та посилання або неочікуваний лист від відомої людини. Наприклад, якщо працівник надсилає колезі листа з незвичним вкладенням, це може означати, що його обліковий запис уражений.
-
Є кілька способів визначити уражену систему. Зміна трафіку з конкретного комп’ютера може бути індикатором його ураження. Якщо людина, якій зазвичай не потрібна система, починає регулярно отримувати до неї доступ, це тривожний сигнал. Зміна конфігурацій у системі або неочікувана інсталяція програмного забезпечення може також указувати на ураження.
-
Нижче наведено три приклади індикаторів порушення.
- Обліковий запис користувача, розташований у Північній Америці, починає входити в ресурси компанії з Європи.
- Тисячі запитів на доступ до кількох облікових записів користувачів указують на те, що організація стала жертвою атаки прямим добором.
- Нові запити доменної системи іменування, що надходять із нового хосту чи країни, де немає працівників і клієнтів компанії.
Підпишіться на новини про Захисний комплекс Microsoft