Ve světě datové forenzní techniky není pochopení mechaniky kybernetického útoku nic jiného než řešení záhady zločinu. Indikátory kompromisu (IoC) jsou ty stopy, důkazy, které mohou pomoci odhalit složitá narušení dat současnosti.
IoC jsou největším přínosem pro odborníky na kybernetickou bezpečnost, když se snaží řešit a odmystifikovat síťové útoky, škodlivé aktivity nebo narušení malwaru. Prohledáváním IoC lze včas identifikovat narušení dat, což pomůže zmírnit útoky.
Proč je důležité sledovat ukazatele kompromisu?
IoC hrají nedílnou roli v analýze kybernetické bezpečnosti. Nejen, že odhalí a potvrdí, že došlo k bezpečnostnímu útoku, ale také odhalí nástroje, které byly použity k provedení útoku.
Pomáhají také při určování rozsahu škod, které kompromis způsobil, a pomáhají při stanovení referenčních hodnot, aby se zabránilo budoucím kompromisům.
IoC se obvykle shromažďují prostřednictvím běžných bezpečnostních řešení, jako jsou anti-malware a anti-virus software, ale ke shromažďování těchto indikátorů během reakce na incident lze také použít určité nástroje založené na AI úsilí.
Přečtěte si více: Nejlepší bezplatný internetový bezpečnostní software pro Windows
Příklady ukazatelů kompromisu
Detekcí nepravidelných vzorců a aktivit mohou IoC pomoci měřit, zda k útoku brzy dojde, zda již došlo a jaké jsou faktory, které za útokem stojí.
Zde je několik příkladů MOV, které by si měl každý jednotlivec a organizace udržovat na paměti:
Zvláštní vzorce příchozího a odchozího provozu
Konečným cílem většiny kybernetických útoků je sehnat citlivá data a přenést je na jiné místo. Proto je bezpodmínečně nutné sledovat neobvyklé vzorce provozu, zejména ty, které opouštějí vaši síť.
Zároveň je třeba sledovat změny v příchozím provozu, protože jsou dobrým indikátorem probíhajícího útoku. Nejúčinnějším přístupem je důsledné monitorování příchozích i odchozích přenosů z hlediska anomálií.
Zeměpisné nesrovnalosti
Pokud podnikáte nebo pracujete pro společnost omezenou na určité geografické umístění, ale najednou vidíte přihlašovací vzory pocházející z neznámých míst, považujte to za červenou vlajku.
IP adresy jsou skvělými příklady IoC, protože poskytují užitečné důkazy pro sledování geografického původu útoku.
Činnosti uživatelů s vysokými oprávněními
Privilegované účty mají nejvyšší úroveň přístupu vzhledem k povaze jejich rolí. Herci s hrozbami vždy rádi sledují tyto účty, aby získali stálý přístup uvnitř systému. Proto by všechny neobvyklé změny ve způsobu používání uživatelských účtů s vysokými oprávněními měly být sledovány s rezervou.
Pokud privilegovaný uživatel používá svůj účet z neobvyklého místa a času, pak je to určitě indikátor kompromisu. Při zřizování účtů je vždy dobrým bezpečnostním postupem použít zásadu nejméně privilegovaných osob.
Přečtěte si více: Jaký je princip nejméně privilegovaných osob a jak může zabránit kybernetickým útokům?
Přírůstek čtení databáze
Databáze jsou vždy hlavním cílem aktérů ohrožení, protože většina osobních a organizačních údajů je uložena ve formátu databáze.
Pokud uvidíte nárůst objemu čtení databáze, sledujte to, protože by to mohl být útočník, který se pokouší napadnout vaši síť.
Vysoká rychlost pokusů o ověření
Vysoký počet pokusů o ověření, zejména neúspěšných, by měl vždy zvednout obočí. Pokud vidíte velký počet pokusů o přihlášení z existujícího účtu nebo neúspěšných pokusů z účtu, který neexistuje, pak je to pravděpodobně kompromis při vytváření.
Neobvyklé změny konfigurace
Pokud máte podezření na vysoký počet změn konfigurace na vašich souborech, serverech nebo zařízeních, je pravděpodobné, že se někdo pokouší proniknout do vaší sítě.
Změny konfigurace poskytují nejen druhou backdoor pro aktéry hrozeb do vaší sítě, ale také vystavují systém útokům malwaru.
Známky útoků DDoS
Distribuovaný útok typu Denial of Service nebo DDoS se provádí hlavně za účelem narušení běžného provozu v síti bombardováním sítí s přílivem internetového provozu.
Není proto divu, že časté útoky DDoS jsou prováděny botnety, aby odváděly pozornost od sekundárních útoků, a měly by být považovány za IoC.
Přečtěte si více: Nové typy útoků DDoS a jejich vliv na vaši bezpečnost
Vzory webového provozu s nelidským chováním
Jakýkoli webový provoz, který nevypadá jako normální lidské chování, by měl být vždy sledován a vyšetřován.
Objevování a monitorování IoC lze dosáhnout lovem hrozeb. Pomocí agregátorů protokolů můžete sledovat nesrovnalosti ve svých protokolech a jakmile vás upozorní na anomálii, měli byste s nimi zacházet jako s IoC.
Po analýze IoC by měl být vždy přidán do seznamu bloků, aby se zabránilo budoucím infekcím z faktorů, jako jsou IP adresy, hash zabezpečení nebo názvy domén.
Následující pět nástrojů může pomoci při identifikaci a monitorování IoC. Pamatujte, že většina z těchto nástrojů je dodávána s komunitními verzemi a placenými předplatnými.
- Davový úder
CrowdStrike je společnost, která brání narušení zabezpečení poskytováním špičkových cloudových možností zabezpečení koncových bodů.
Nabízí platformu Falcon Query API s funkcí importu, která vám umožňuje načítat, nahrávat, aktualizovat, hledat a mazat vlastní indikátory kompromisu (IOC), které chcete CrowdStrike sledovat.
2. Sumo Logic
Sumo Logic je cloudová organizace pro analýzu dat, která se zaměřuje na bezpečnostní operace. Společnost nabízí služby správy protokolů, které využívají strojově generovaná velká data k provádění analýzy v reálném čase.
Pomocí platformy Sumo Logic mohou podniky a jednotlivci vynutit konfigurace zabezpečení pro prostředí multi-cloud a hybridní prostředí a rychle reagovat na hrozby detekcí IoC.
3. Manažer Akamai Bot
Boti jsou dobří pro automatizaci určitých úkolů, ale lze je také použít pro převzetí účtu, bezpečnostní hrozby a útoky DDoS.
Akamai Technologies, Inc. je globální síť pro doručování obsahu, která také nabízí nástroj známý jako Bot Manager, který poskytuje pokročilou detekci robotů k nalezení a prevenci nejsofistikovanějších útoků botů.
Poskytnutím granulárního viditelnosti do provozu robotů vstupujících do vaší sítě vám správce bot pomáhá lépe pochopit a sledovat, kdo do vaší sítě vstupuje nebo ji opouští.
4. Proofpoint
Proofpoint je společnost zabývající se podnikovým zabezpečením, která poskytuje ochranu proti cílovým útokům spolu s robustním systémem reakce na hrozby.
Jejich kreativní systém reakce na hrozby poskytuje automatické ověření IoC shromažďováním forenzních informací o koncových bodech z cílených systémů, což usnadňuje detekci a opravu kompromisů.
Chraňte data analýzou svého prostředí hrozeb
Většina narušení bezpečnosti a krádeží dat po sobě zanechává stopy strouhanky a je jen na nás, abychom si zahráli bezpečnostní detektivy a zachytili stopy.
Naštěstí díky důkladné analýze našeho prostředí hrozeb můžeme sledovat a sestavovat seznam indikátorů kompromisu, abychom zabránili všem typům současných i budoucích kybernetických hrozeb.
Potřebujete vědět, kdy je vaše firma pod kybernetickým útokem? Potřebujete systém detekce a prevence narušení.
Přečtěte si další
- Bezpečnostní
- Zabezpečení online
- Porušení bezpečnosti
- DDoS
Kinza je technologický nadšenec, technický spisovatel a samozvaný geek, který žije v severní Virginii se svým manželem a dvěma dětmi. S BS v počítačových sítích a četnými IT certifikacemi měla za sebou práci v telekomunikačním průmyslu, než se pustila do technického psaní. Se zaměřením na kybernetickou bezpečnost a cloudová témata ráda pomáhá klientům plnit jejich rozmanité technické požadavky na psaní po celém světě. Ve svém volném čase ráda čte beletrii, blogy o technologiích, vytváří vtipné příběhy pro děti a vaří pro svou rodinu.
Přihlaste se k odběru našeho zpravodaje
Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!
Ještě jeden krok…!
V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.