În lumea criminalisticii datelor, înțelegerea mecanicii din spatele unui atac cibernetic nu este mai puțin decât rezolvarea unui mister al criminalității. Indicatorii compromisului (IoC) sunt acele indicii, dovezi care pot ajuta la descoperirea încălcărilor complexe de date din zilele noastre.
IoC-urile sunt cel mai mare atu pentru experții în securitate cibernetică atunci când încearcă să rezolve și să mistifice atacurile de rețea, activitățile rău intenționate sau încălcările malware. Căutând prin IoC-uri, încălcările de date pot fi identificate din timp pentru a ajuta la atenuarea atacurilor.
De ce este important să se monitorizeze indicatorii de compromis?
IoC joacă un rol integral în analiza securității cibernetice. Nu numai că dezvăluie și confirmă faptul că a avut loc un atac de securitate, dar dezvăluie și instrumentele care au fost folosite pentru a efectua atacul.
Ele sunt, de asemenea, utile în determinarea măsurii daunelor cauzate de un compromis și ajută la stabilirea unor repere pentru a preveni compromisuri viitoare.
IoC-urile sunt în general colectate prin soluții normale de securitate, cum ar fi anti-malware și antivirus software, dar anumite instrumente bazate pe AI pot fi, de asemenea, utilizate pentru a colecta acești indicatori în timpul răspunsului la incident eforturi.
Citeste mai mult: Cel mai bun software gratuit de securitate pe internet pentru Windows
Exemple de indicatori de compromis
Prin detectarea tiparelor și activităților neregulate, IoC-urile pot ajuta la evaluarea dacă un atac este pe cale să se întâmple, s-a întâmplat deja și factorii din spatele atacului.
Iată câteva exemple de COI pe care fiecare individ și organizație ar trebui să le păstreze o filă:
Modele ciudate ale traficului de intrare și de ieșire
Scopul final al majorității atacurilor cibernetice este de a obține date sensibile și de a le transfera într-o altă locație. Prin urmare, este imperativ să monitorizați tiparele neobișnuite de trafic, în special cele care părăsesc rețeaua.
În același timp, modificările traficului de intrare ar trebui, de asemenea, observate, deoarece sunt indicatori buni ai unui atac în desfășurare. Cea mai eficientă abordare este de a monitoriza în mod consecvent atât traficul de intrare, cât și cel de ieșire pentru anomalii.
Discrepanțe geografice
Dacă conduceți o afacere sau lucrați pentru o companie limitată la o anumită locație geografică, dar vedeți brusc modele de conectare provenind din locații necunoscute, atunci considerați-o un steag roșu.
Adresele IP sunt exemple excelente de IoC, deoarece oferă dovezi utile pentru urmărirea originilor geografice ale unui atac.
Activități ale utilizatorilor cu privilegii ridicate
Conturile privilegiate au cel mai înalt nivel de acces datorită naturii rolurilor lor. Actorii de amenințare doresc întotdeauna să meargă după aceste conturi pentru a avea acces constant în interiorul unui sistem. Prin urmare, orice modificare neobișnuită a tiparului de utilizare a conturilor de utilizator cu privilegii ridicate ar trebui monitorizată cu un bob de sare.
Dacă un utilizator privilegiat își folosește contul dintr-o locație și o oră anormale, atunci este cu siguranță un indicator de compromis. Este întotdeauna o bună practică de securitate să folosești principiul celui mai mic privilegiu la configurarea conturilor.
Citeste mai mult: Care este principiul celui mai mic privilegiu și cum poate preveni atacurile cibernetice?
Un increment în citirile bazei de date
Bazele de date sunt întotdeauna o țintă principală pentru actorii de amenințare, deoarece majoritatea datelor personale și organizaționale sunt stocate într-un format de bază de date.
Dacă vedeți o creștere a volumului de citire a bazei de date, atunci urmăriți-o, deoarece ar putea fi un atacator care încearcă să vă invadeze rețeaua.
O rată ridicată de încercări de autentificare
Un număr mare de încercări de autentificare, în special cele eșuate, ar trebui să ridice întotdeauna sprânceana. Dacă vedeți un număr mare de încercări de conectare dintr-un cont existent sau încercări nereușite dintr-un cont care nu există, atunci cel mai probabil este un compromis în curs de realizare.
Modificări neobișnuite de configurare
Dacă bănuiți că există un număr mare de modificări ale configurației pe fișierele, serverele sau dispozitivele dvs., este posibil ca cineva să încerce să se infiltreze în rețeaua dvs.
Modificările de configurație nu numai că oferă un al doilea backdoor pentru actorii de amenințare din rețeaua dvs., dar expun și sistemul atacurilor malware.
Semne ale atacurilor DDoS
Un atac negat de serviciu distribuit sau un atac DDoS este efectuat în principal pentru a perturba fluxul normal de trafic al unei rețele bombardându-l cu o inundație de trafic pe internet.
Prin urmare, nu este de mirare că atacurile frecvente DDoS sunt efectuate de către botnets pentru a distrage atenția de la atacurile secundare și ar trebui să fie considerate un IoC.
Citeste mai mult: Noi tipuri de atac DDoS și modul în care acestea vă afectează securitatea
Modele de trafic web cu comportament neuman
Orice trafic web care nu pare a fi un comportament uman normal trebuie întotdeauna monitorizat și investigat.
Descoperirea și monitorizarea IoC-urilor pot fi realizate prin vânarea amenințărilor. Agregatoarele de jurnal pot fi utilizate pentru a vă monitoriza jurnalele pentru discrepanțe și, odată ce avertizează pentru o anomalie, atunci ar trebui să le tratați ca pe un IoC.
După analizarea unui IoC, acesta trebuie adăugat întotdeauna la o listă de blocuri pentru a preveni infecțiile viitoare din factori precum adrese IP, hashuri de securitate sau nume de domenii.
Următoarele cinci instrumente pot ajuta la identificarea și monitorizarea IoC-urilor. Vă rugăm să rețineți că majoritatea acestor instrumente vin cu versiuni ale comunității, precum și cu abonamente cu plată.
- CrowdStrike
CrowdStrike este o companie care previne încălcările de securitate prin furnizarea de opțiuni de securitate pentru punctele finale de bază, bazate pe cloud.
Oferă o platformă Falcon Query API cu o funcție de import care vă permite să preluați, să încărcați, să actualizați, să căutați și să ștergeți indicatori personalizați de compromis (IOC) pe care doriți să-i urmărească CrowdStrike.
2. Sumo Logic
Sumo Logic este o organizație de analiză a datelor bazată pe cloud, care se concentrează pe operațiuni de securitate. Compania oferă servicii de gestionare a jurnalelor care utilizează date mari generate de mașini pentru a furniza analize în timp real.
Prin utilizarea platformei Sumo Logic, companiile și persoanele fizice pot aplica configurații de securitate pentru medii multi-cloud și hibride și pot răspunde rapid la amenințări prin detectarea IoC-urilor.
3. Manager de bot Akamai
Roboții sunt buni pentru automatizarea anumitor sarcini, dar pot fi folosiți și pentru preluarea contului, amenințări la adresa securității și atacuri DDoS.
Akamai Technologies, Inc. este o rețea globală de livrare a conținutului, care oferă, de asemenea, un instrument cunoscut sub numele de Bot Manager, care oferă detecție avansată de bot pentru a găsi și preveni cele mai sofisticate atacuri de bot.
Oferind vizibilitate granulară asupra traficului de bot care intră în rețeaua dvs., administratorul de boturi vă ajută să înțelegeți și să urmăriți mai bine cine intră sau iese din rețea.
4. Punct de probă
Proofpoint este o companie de securitate pentru întreprinderi care oferă protecție împotriva atacurilor țintă, împreună cu un sistem robust de răspuns la amenințări.
Sistemul lor creativ de răspuns la amenințări asigură verificarea automată a IoC prin colectarea criminalisticii punctelor finale de la sistemele vizate, facilitând detectarea și remedierea compromisurilor.
Protejați datele analizând peisajul amenințării dvs.
Cele mai multe încălcări de securitate și furturi de date lasă urme de pesmet în urmă și depinde de noi să jucăm detectivi de securitate și să luăm indicii.
Din fericire, analizând îndeaproape peisajul amenințărilor noastre, putem monitoriza și compila o listă de indicatori de compromis pentru a preveni toate tipurile de amenințări cibernetice actuale și viitoare.
Aveți nevoie să știți când afacerea dvs. este atacată cibernetic? Aveți nevoie de un sistem de detectare și prevenire a intruziunilor.
Citiți în continuare
- Securitate
- Securitate online
- Bresa de securitate
- DDoS
Kinza este un entuziast al tehnologiei, scriitor tehnic și auto-proclamat geek care locuiește în Virginia de Nord împreună cu soțul și cei doi copii. Cu o licență în rețele de calculatoare și numeroase certificări IT, a lucrat în industria telecomunicațiilor înainte de a se aventura în scrierea tehnică. Cu o nișă în securitate cibernetică și subiecte bazate pe cloud, îi place să ajute clienții să își îndeplinească diversele cerințe de scriere tehnică din întreaga lume. În timpul liber, îi place să citească ficțiune, bloguri tehnologice, să creeze povești îndrăznețe pentru copii și să gătească pentru familia ei.
Aboneaza-te la newsletter-ul nostru
Alăturați-vă newsletterului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!
Încă un pas…!
Vă rugăm să confirmați adresa de e-mail în e-mailul pe care tocmai vi l-am trimis.
