Ve světě datové forenzní techniky není pochopení mechaniky kybernetického útoku nic jiného než řešení záhady zločinu. Indikátory kompromisu (IoC) jsou ty stopy, důkazy, které mohou pomoci odhalit složitá narušení dat současnosti.

IoC jsou největším přínosem pro odborníky na kybernetickou bezpečnost, když se snaží řešit a odmystifikovat síťové útoky, škodlivé aktivity nebo narušení malwaru. Prohledáváním IoC lze včas identifikovat narušení dat, což pomůže zmírnit útoky.

Proč je důležité sledovat ukazatele kompromisu?

IoC hrají nedílnou roli v analýze kybernetické bezpečnosti. Nejen, že odhalí a potvrdí, že došlo k bezpečnostnímu útoku, ale také odhalí nástroje, které byly použity k provedení útoku.

Pomáhají také při určování rozsahu škod, které kompromis způsobil, a pomáhají při stanovení referenčních hodnot, aby se zabránilo budoucím kompromisům.

IoC se obvykle shromažďují prostřednictvím běžných bezpečnostních řešení, jako jsou anti-malware a anti-virus software, ale ke shromažďování těchto indikátorů během reakce na incident lze také použít určité nástroje založené na AI úsilí.

instagram viewer

Přečtěte si více: Nejlepší bezplatný internetový bezpečnostní software pro Windows

Příklady ukazatelů kompromisu

Detekcí nepravidelných vzorců a aktivit mohou IoC pomoci měřit, zda k útoku brzy dojde, zda již došlo a jaké jsou faktory, které za útokem stojí.

Zde je několik příkladů MOV, které by si měl každý jednotlivec a organizace udržovat na paměti:

Zvláštní vzorce příchozího a odchozího provozu

Konečným cílem většiny kybernetických útoků je sehnat citlivá data a přenést je na jiné místo. Proto je bezpodmínečně nutné sledovat neobvyklé vzorce provozu, zejména ty, které opouštějí vaši síť.

Zároveň je třeba sledovat změny v příchozím provozu, protože jsou dobrým indikátorem probíhajícího útoku. Nejúčinnějším přístupem je důsledné monitorování příchozích i odchozích přenosů z hlediska anomálií.

Zeměpisné nesrovnalosti

Pokud podnikáte nebo pracujete pro společnost omezenou na určité geografické umístění, ale najednou vidíte přihlašovací vzory pocházející z neznámých míst, považujte to za červenou vlajku.

IP adresy jsou skvělými příklady IoC, protože poskytují užitečné důkazy pro sledování geografického původu útoku.

Činnosti uživatelů s vysokými oprávněními

Privilegované účty mají nejvyšší úroveň přístupu vzhledem k povaze jejich rolí. Herci s hrozbami vždy rádi sledují tyto účty, aby získali stálý přístup uvnitř systému. Proto by všechny neobvyklé změny ve způsobu používání uživatelských účtů s vysokými oprávněními měly být sledovány s rezervou.

Pokud privilegovaný uživatel používá svůj účet z neobvyklého místa a času, pak je to určitě indikátor kompromisu. Při zřizování účtů je vždy dobrým bezpečnostním postupem použít zásadu nejméně privilegovaných osob.

Přečtěte si více: Jaký je princip nejméně privilegovaných osob a jak může zabránit kybernetickým útokům?

Přírůstek čtení databáze

Databáze jsou vždy hlavním cílem aktérů ohrožení, protože většina osobních a organizačních údajů je uložena ve formátu databáze.

Pokud uvidíte nárůst objemu čtení databáze, sledujte to, protože by to mohl být útočník, který se pokouší napadnout vaši síť.

Vysoká rychlost pokusů o ověření

Vysoký počet pokusů o ověření, zejména neúspěšných, by měl vždy zvednout obočí. Pokud vidíte velký počet pokusů o přihlášení z existujícího účtu nebo neúspěšných pokusů z účtu, který neexistuje, pak je to pravděpodobně kompromis při vytváření.

Neobvyklé změny konfigurace

Pokud máte podezření na vysoký počet změn konfigurace na vašich souborech, serverech nebo zařízeních, je pravděpodobné, že se někdo pokouší proniknout do vaší sítě.

Změny konfigurace poskytují nejen druhou backdoor pro aktéry hrozeb do vaší sítě, ale také vystavují systém útokům malwaru.

Známky útoků DDoS

Distribuovaný útok typu Denial of Service nebo DDoS se provádí hlavně za účelem narušení běžného provozu v síti bombardováním sítí s přílivem internetového provozu.

Není proto divu, že časté útoky DDoS jsou prováděny botnety, aby odváděly pozornost od sekundárních útoků, a měly by být považovány za IoC.

Přečtěte si více: Nové typy útoků DDoS a jejich vliv na vaši bezpečnost

Vzory webového provozu s nelidským chováním

Jakýkoli webový provoz, který nevypadá jako normální lidské chování, by měl být vždy sledován a vyšetřován.

Objevování a monitorování IoC lze dosáhnout lovem hrozeb. Pomocí agregátorů protokolů můžete sledovat nesrovnalosti ve svých protokolech a jakmile vás upozorní na anomálii, měli byste s nimi zacházet jako s IoC.

Po analýze IoC by měl být vždy přidán do seznamu bloků, aby se zabránilo budoucím infekcím z faktorů, jako jsou IP adresy, hash zabezpečení nebo názvy domén.

Následující pět nástrojů může pomoci při identifikaci a monitorování IoC. Pamatujte, že většina z těchto nástrojů je dodávána s komunitními verzemi a placenými předplatnými.

  1. Davový úder

CrowdStrike je společnost, která brání narušení zabezpečení poskytováním špičkových cloudových možností zabezpečení koncových bodů.

Nabízí platformu Falcon Query API s funkcí importu, která vám umožňuje načítat, nahrávat, aktualizovat, hledat a mazat vlastní indikátory kompromisu (IOC), které chcete CrowdStrike sledovat.

2. Sumo Logic

Sumo Logic je cloudová organizace pro analýzu dat, která se zaměřuje na bezpečnostní operace. Společnost nabízí služby správy protokolů, které využívají strojově generovaná velká data k provádění analýzy v reálném čase.

Pomocí platformy Sumo Logic mohou podniky a jednotlivci vynutit konfigurace zabezpečení pro prostředí multi-cloud a hybridní prostředí a rychle reagovat na hrozby detekcí IoC.

3. Manažer Akamai Bot

Boti jsou dobří pro automatizaci určitých úkolů, ale lze je také použít pro převzetí účtu, bezpečnostní hrozby a útoky DDoS.

Akamai Technologies, Inc. je globální síť pro doručování obsahu, která také nabízí nástroj známý jako Bot Manager, který poskytuje pokročilou detekci robotů k nalezení a prevenci nejsofistikovanějších útoků botů.

Poskytnutím granulárního viditelnosti do provozu robotů vstupujících do vaší sítě vám správce bot pomáhá lépe pochopit a sledovat, kdo do vaší sítě vstupuje nebo ji opouští.

4. Proofpoint

Proofpoint je společnost zabývající se podnikovým zabezpečením, která poskytuje ochranu proti cílovým útokům spolu s robustním systémem reakce na hrozby.

Jejich kreativní systém reakce na hrozby poskytuje automatické ověření IoC shromažďováním forenzních informací o koncových bodech z cílených systémů, což usnadňuje detekci a opravu kompromisů.

Chraňte data analýzou svého prostředí hrozeb

Většina narušení bezpečnosti a krádeží dat po sobě zanechává stopy strouhanky a je jen na nás, abychom si zahráli bezpečnostní detektivy a zachytili stopy.

Naštěstí díky důkladné analýze našeho prostředí hrozeb můžeme sledovat a sestavovat seznam indikátorů kompromisu, abychom zabránili všem typům současných i budoucích kybernetických hrozeb.

E-mailem
9 nejlepších systémů detekce a prevence narušení, které zvýší vaši kybernetickou bezpečnost

Potřebujete vědět, kdy je vaše firma pod kybernetickým útokem? Potřebujete systém detekce a prevence narušení.

Přečtěte si další

Související témata
  • Bezpečnostní
  • Zabezpečení online
  • Porušení bezpečnosti
  • DDoS
O autorovi
Kinza Yasar (15 článků publikováno)

Kinza je technologický nadšenec, technický spisovatel a samozvaný geek, který žije v severní Virginii se svým manželem a dvěma dětmi. S BS v počítačových sítích a četnými IT certifikacemi měla za sebou práci v telekomunikačním průmyslu, než se pustila do technického psaní. Se zaměřením na kybernetickou bezpečnost a cloudová témata ráda pomáhá klientům plnit jejich rozmanité technické požadavky na psaní po celém světě. Ve svém volném čase ráda čte beletrii, blogy o technologiích, vytváří vtipné příběhy pro děti a vaří pro svou rodinu.

Více od Kinza Yasara

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!

Ještě jeden krok…!

V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.

.