Hvad er indikatorer for kompromittering (IOC)?
Få mere at vide om, hvordan du overvåger, identificerer, bruger og reagerer på indikatorer for kompromittering.
Indikatorer for kompromittering er forklaret
En indikator for kompromittering (IOC) er tegn på, at en person måske har brudt ind i en organisations netværk eller slutpunkt. Disse tekniske data indikerer ikke blot en potentiel trussel, den signalerer, at der allerede er opstået et angreb som f.eks. malware, kompromitterede legitimationsoplysninger eller dataudtrækning. Sikkerhedsmedarbejdere søger efter IOC'er på hændelseslogge, løsninger til udvidet registrering og svar (XDR) og SIEM-løsninger (Security Information and Event Management) . Under et angreb bruger teamet IOC'er til at eliminere truslen og afhjælpe skaderne. Efter genoprettelse hjælper IOC'er en organisation med bedre at forstå, hvad der skete, så organisationens sikkerhedsteam kan øge sikkerheden og reducere risikoen for en anden lignende hændelse.
Eksempler på IOC'er
I forbindelse med IOC-sikkerhed overvåger it-teknikere miljøet for følgende tegn på, om et angreb er i gang:
Afvigelser i netværkstrafik
I de fleste organisationer er der ensartede mønstre for netværkstrafik, der passerer ind og ud af det digitale miljø. Når det ændres, f.eks. hvis der er væsentligt flere data, der forlader organisationen, eller hvis der kommer aktivitet fra en usædvanlig placering i netværket, kan det være et tegn på et angreb.
Usædvanlige logonforsøg
Ligesom med netværkstrafik er folks arbejdsvaner forudsigelige. De logger typisk på fra de samme placeringer og stort set de samme tidspunkter i løbet af ugen. Sikkerhedsmedarbejdere kan registrere en kompromitteret konto ved at være opmærksom på logon på ulige tidspunkter af dagen eller fra usædvanlige geografiske områder, f.eks. et land, hvor en organisation ikke har et kontor. Det er også vigtigt at være opmærksom på flere mislykkede logonforsøg fra den samme konto. Selvom folk jævnligt glemmer deres adgangskoder eller har problemer med at logge på, kan de normalt løse det efter nogle få forsøg. Gentagne mislykkede logonforsøg kan indikere, at nogen forsøger at få adgang til organisationen ved hjælp af en stjålen konto.
Uregelmæssigheder i forbindelse med rettighedskonto
Mange personer med ondsindede hensigter, uanset om de er insidere eller outsidere, er interesseret i at få adgang til administrative konti og hente følsomme data. Atypisk adfærd, der er knyttet til disse konti, f.eks. en person, der forsøger at eskalere sine rettigheder, kan være et tegn på et brud.
Ændringer i systemkonfigurationer
Malware er ofte programmeret til at foretage ændringer i systemkonfigurationer, f.eks. aktivering af fjernadgang eller deaktivering af sikkerhedssoftware. Ved at overvåge disse uventede konfigurationsændringer kan sikkerhedsmedarbejdere identificere et sikkerhedsbrud, før der er sket for meget skade.
Uventede softwareinstallationer eller -opdateringer
Mange angreb starter med installationen af software, f.eks. malware eller ransomware, der er designet til at gøre filer utilgængelige eller give hackere adgang til netværket. Ved at overvåge ikke-planlagte softwareinstallationer og -opdateringer kan organisationer hurtigt fange disse IOC'er.
Adskillige anmodninger om den samme fil
Flere anmodninger om en enkelt fil kan være et tegn på, at en ondsindet aktør forsøger at stjæle den og har forsøgt at anvende flere metoder til at få adgang til den.
Usædvanlige anmodninger om Domain Name Systems
Nogle ondsindede aktører bruger en angrebsmetode, der kaldes kommando og kontrol. De installerer malware på en organisations server, der opretter forbindelse til en server, de ejer. De sender derefter kommandoer fra deres server til den inficerede maskine i forsøg på at stjæle data eller afbryde driften. Usædvanlige DNS-anmodninger (Domain Name Systems) hjælper it-teknikere med at registrere disse angreb.
Derfor er IOC'er vigtige
Overvågning af IOC'er er afgørende for at reducere en organisations sikkerhedsrisiko. Tidlig registrering af IOC'er gør det muligt for sikkerhedsteams at reagere på og løse angreb hurtigt, hvilket reducerer mængden af nedetid og afbrydelser. Regelmæssig overvågning giver også teams større indsigt i sikkerhedsrisici i organisationen, som derefter kan afhjælpes.
Reaktion på indikatorer for kompromittering
Når sikkerhedsteams identificerer et IOC, skal de reagere effektivt for at sikre, at der sker så lidt skade som muligt på organisationen. Følgende trin hjælper organisationer med at holde fokus og stoppe trusler så hurtigt som muligt:
Opret en plan for svar på hændelser
Det er stressende og tidsfølsomt at reagere på en hændelse, fordi jo længere tid hackere ikke bliver uopdaget, jo mere sandsynligt er det, at de vil nå deres mål. Mange organisationer udvikler enhændelsessvar plan for at hjælpe teams i de kritiske faser af et svar. Planen beskriver, hvordan organisationen definerer en hændelse, roller og ansvarsområder, de trin, der er nødvendige for at løse en hændelse, og hvordan teamet skal kommunikere til medarbejdere og eksterne interessenter.
Isoler kompromitterede systemer og enheder
Når en organisation har identificeret en trussel, isolerer sikkerhedsteamet hurtigt programmer eller systemer, der er under angreb fra resten af netværkene. Dette hjælper med at forhindre personer med ondsindede hensigter fra at tilgå andre dele af virksomheden.
Udfør teknisk analyse
Teknisk analyse hjælper organisationer med at afdække alle aspekter af et sikkerhedsbrud, herunder kilden, typen af angreb og mål for hackere. Analysen udføres under angrebet for at forstå omfanget af kompromitteringen. Når organisationen er kommet sig efter angrebet, hjælper yderligere analyse teamet med at forstå mulige sårbarheder og anden indsigt.
Fjern truslen
Teamet fjerner personen med ondsindede hensigter og eventuel malware fra berørte systemer og ressourcer, hvilket kan medføre at systemer er offline.
Implementer sikkerheds- og procesforbedringer
Når organisationen er kommet sig efter hændelsen, er det vigtigt at evaluere, hvorfor angrebet skete, og om der er noget, organisationen kunne have gjort for at afværge det. Der er muligvis enkle proces- og politikforbedringer, der vil reducere risikoen for et lignende angreb i fremtiden, eller teamet kan identificere løsninger med længere rækkevidde, der skal føjes til en sikkerhedsoversigt.
IOC-løsninger
De fleste sikkerhedsbrud efterlader et teknisk spor i logfiler og systemer. Hvis man lærer at identificere og overvåge disse IOC'er, hjælper det organisationer med hurtigt at isolere og eliminere hackere. Mange teams bruger SIEM-løsninger, f.eks. Microsoft Sentinel og Microsoft Defender XDR, som bruger kunstig intelligens og automatisering til at vise IOC'er og korrelere dem med andre hændelser. En plan for svar på hændelser gør det muligt for teams at komme angreb i forkøbet og hurtigt lukke dem ned. Når det drejer sig om cybersikkerhed, jo hurtigere virksomheder forstår, hvad der sker, jo mere sandsynligt er det, at de stopper et angreb, før det koster dem penge eller skader deres omdømme. IOC-sikkerhed er nøglen til at hjælpe organisationer med at reducere risikoen for dyre brud.
Få mere at vide om Microsoft Security
Microsoft-trusselsbeskyttelse
Identificer og svar på hændelser på tværs af din organisation med den nyeste trusselsbeskyttelse.
Microsoft Sentinel
Afslør sofistikerede trusler, og reager beslutsomt med en effektiv SIEM-løsning, drevet af skyen og kunstig intelligens.
Microsoft Defender XDR
Stop angreb på tværs af slutpunkter, mail, identiteter, programmer og data med XDR-løsninger.
Trusselsintelligens-community
Få de seneste opdateringer fra communityudgaven af Microsoft Defender Threat Intelligence.
Ofte stillede spørgsmål
-
Der findes flere typer IOC'er. Nogle af de mest almindelige er:
- Afvigelser i netværkstrafik
- Usædvanlige logonforsøg
- Uregelmæssigheder i forbindelse med rettighedskonto
- Ændringer i systemkonfigurationer
- Uventede softwareinstallationer eller -opdateringer
- Adskillige anmodninger om den samme fil
- Usædvanlige anmodninger om Domain Name Systems
-
En indikator for kompromittering er digitalt tegn på, at der allerede er opstået et angreb. En indikator for et angreb er tegn på, at der sandsynligvis vil finde et angreb sted. En phishingkampagne er f.eks. en indikator for angreb, fordi der ikke er nogen tegn på, at personen med ondsindede hensigter har brudt ind i virksomheden. Men hvis nogen klikker på et phishinglink og downloader malware, er installationen af malware en indikator for kompromittering.
-
Indikatorer på kompromitteret mail omfatter en pludselig strøm af spam, underlige vedhæftede filer eller links eller en uventet mail fra en kendt person. Hvis en medarbejder f.eks. sender en kollega en mail med en underlig vedhæftet fil, kan det indikere, at vedkommendes konto er blevet kompromitteret.
-
Der er flere måder at identificere et kompromitteret system på. En ændring i netværkstrafikken fra en bestemt computer kan være en indikator for, at den er blevet kompromitteret. Hvis en person, der typisk ikke har brug for et system, begynder at tilgå det regelmæssigt, er det et rødt flag. Ændringer af konfigurationerne på systemet eller en uventet softwareinstallation kan også indikere, at det er blevet kompromitteret.
-
Tre IOC-eksempler er:
- En brugerkonto, der er baseret i Nordamerika begynder at logge på virksomhedsressourcer fra Europa.
- Tusindvis af adgangsanmodninger på tværs af flere brugerkonti, der angiver, at organisationen er offer for et brute force-angreb.
- Nye Anmodninger om Domain Name Systems kommer fra en ny vært eller et land, hvor medarbejdere og kunder ikke er bosiddende i.
Følg Microsoft