Trace Id is missing
Salt la conținutul principal
Microsoft Security

Ce sunt indicatorii de compromitere (IOC)?

Aflați cum să monitorizați, să identificați, să utilizați și să răspundeți la indicatorii de compromitere.

Indicatorii de compromitere, explicați

Indicatorii de compromitere (IOC) sunt dovada că este posibil ca cineva să fi pătruns în rețeaua sau în punctul final al unei organizații. Aceste date judiciare nu indică doar o amenințare potențială, ci semnalează că a avut loc deja un atac, cum ar fi malware, acreditări compromise sau furt de date. Specialiștii în securitate caută indicatori de compromitere în jurnalele de evenimente, soluții de detectare și răspuns extinse Microsoft Defender (XDR) și soluții de management al evenimentelor și informațiilor de securitate (SIEM). În timpul unui atac, echipa utilizează indicatori de compromitere pentru a elimina amenințarea și a atenua daunele. După recuperare, indicatorii de compromitere ajută o organizație să înțeleagă mai bine ce s-a întâmplat, astfel încât echipa de securitate a organizației să poată consolida securitatea și să reducă riscul unui alt incident similar. 

Exemple de indicatori de compromitere

În securitatea indicatorilor de compromitere, IT-ul monitorizează mediul pentru următoarele indicii că un atac este în curs:

Anomalii ale traficului de rețea

În majoritatea organizațiilor, există modele consistente pentru traficul de rețea care intră și iese din mediul digital. Atunci când se modifică acest lucru, de exemplu, dacă o cantitate considerabilă de date părăsește organizația sau dacă există activitate care provine dintr-o locație neobișnuită din rețea, poate fi un indiciu de atac.

Încercări de conectare neobișnuite

La fel ca traficul de rețea, obiceiurile de lucru ale utilizatorilor sunt previzibile. Aceștia se conectează în general din aceleași locații și la aproximativ aceleași ore în timpul săptămânii. Specialiștii în securitate pot detecta un cont compromis, acordând atenție conectărilor la ore ciudate în timpul zilei sau din zone geografice neobișnuite, precum o țară în care o organizație nu are sediu. De asemenea, este important să se ia act de conectări nereușite multiple din același cont. Deși utilizatorii își uită periodic parolele sau întâmpină probleme la conectare, de obicei pot rezolva acest lucru după câteva încercări. Încercările repetate de conectare nereușite pot indica faptul că cineva încearcă să acceseze organizația utilizând un cont furat. 

Nereguli ale conturilor privilegiate

Mulți atacatori, indiferent dacă sunt utilizatori interni sau externi, sunt interesați să acceseze conturi administrative și să obțină date confidențiale. Comportamentul atipic asociat cu aceste conturi, cum ar fi o persoană care încearcă să își mărească privilegiile, poate fi semnul unei încălcări.

Modificări ale configurațiilor sistemelor

Malware-ul este programat adeseori să efectueze modificări la configurațiile sistemelor, cum ar fi activarea accesului de la distanță sau dezactivarea software-ului de securitate. Prin monitorizarea acestor modificări neașteptate de configurație, specialiștii în securitate pot identifica o breșă înainte să se producă prea multe pagube.

Instalări sau actualizări de software neașteptate

Multe atacuri încep cu instalarea de software, cum ar fi malware sau ransomware, care este proiectat să facă fișierele inaccesibile sau să le ofere atacatorilor acces la rețea. Prin monitorizarea instalărilor și actualizărilor de software neplanificate, organizațiile pot captura rapid acești indicatori de compromitere. 

Numeroase solicitări ale aceluiași fișier

Mai multe solicitări pentru un singur fișier pot indica faptul că un actor rău intenționat încearcă să-l fure și a încercat mai multe metode de accesare a acestuia.

Solicitări neobișnuite de sisteme de nume de domeniu

Unii actori rău intenționați utilizează o metodă de atac numită comandă și control. Aceștia instalează malware pe serverul unei organizații, care creează o conexiune la un server pe care îl dețin. Apoi trimit comenzi de pe server către computerul infectat, pentru a încerca să fure date sau să perturbe funcționarea. Solicitările neobișnuite de sisteme de nume de domeniu (DNS) ajută echipa de IT-ul să detecteze aceste atacuri.

Cum se identifică identificatorii de compromitere

Indiciile unui atac digital sunt înregistrate în fișierele jurnal. Ca parte a securității cibernetice IOC, echipele monitorizează periodic sistemele digitale, pentru a descoperi activități suspecte. Soluțiile moderne SIEM și XDR simplifică acest proces cu inteligența artificială și algoritmi de învățare programată, care stabilesc baza pentru ceea ce este normal în organizație, apoi alertează echipa în legătură cu anomaliile. De asemenea, este important să implicați angajați din afara echipei de securitate, care pot primi mesaje de e-mail suspecte sau pot descărca accidental un fișier infectat. Programele bune de instruire în domeniul securității ajută lucrătorii să devină mai buni la detectarea mesajelor de e-mail compromise și le oferă modalități de a raporta orice lucru care nu pare în regulă.

De ce sunt importanții indicatorii de compromitere

Monitorizarea indicatorilor de compromitere este esențială pentru a reduce riscul de securitate al unei organizații. Detectarea timpurie a indicatorilor de compromitere permite echipelor de securitate să răspundă și să rezolve rapid atacurile, reducând timpul de nefuncționare și perturbările. Monitorizarea periodică oferă echipelor, de asemenea, o perspectivă mai clară asupra vulnerabilităților organizaționale, care pot fi apoi atenuate.

Abordarea indicatorilor de compromitere

După ce identifică un indicator de compromitere, echipele de securitate trebuie să răspundă eficient pentru a asigura că organizația suferă cât mai puține daune posibil. Următorii pași ajută organizațiile să rămână concentrate și să oprească amenințările cât mai rapid posibil:

Stabilirea unui plan de răspuns la incidente

Răspunsul la un incident este stresant și urgent, deoarece cu cât mai mult timp rămân nedetectați atacatorii, cu cât mai mult cresc șansele ca aceștia să își atingă obiectivele. Multe organizații dezvoltă un plan de răspuns la incidente, pentru a ghida echipele în timpul fazelor critice ale unui răspuns. Planul prezintă modul în care organizația definește un incident, rolurile și responsabilitățile, pașii necesari pentru a rezolva un incident și modul în care echipa ar trebui să comunice angajaților și participanților direct interesați externi. 

Izolarea sistemelor și a dispozitivelor compromise

După ce o organizație a identificat o amenințare, echipa de securitate izolează rapid aplicațiile sau sistemele atacate de celelalte rețele. Acest lucru îi împiedică pe atacatori să acceseze alte părți ale firmei.

Efectuarea analizei judiciare

Analiza judiciară ajută organizațiile să descopere toate aspectele unei breșe, inclusiv sursa, tipul atacului și obiectivele atacatorului. Analiza se realizează în timpul atacului, pentru a înțelege gradul de compromitere. După ce organizația și-a revenit după atac, analiza suplimentară ajută echipa să înțeleagă vulnerabilitățile posibile și alte detalii.

Eliminarea amenințărilor

Echipa elimină atacatorul și orice malware din sistemele și resursele afectate, ceea ce poate implica punerea sistemelor offline.

Implementarea de îmbunătățiri ale securității și proceselor

După ce organizația și-a revenit după incident, este important să evaluați de ce s-a produs atacul și dacă există ceva ce ar fi putut face organizația pentru a împiedica acest lucru. Pot exista îmbunătățiri simple ale proceselor și politicilor care vor reduce riscul unui atac similar în viitor sau echipa poate identifica soluții cu rază mai mare de acțiune de adăugat la o foaie de parcurs în domeniul securității.

Soluții pentru indicatorii de compromitere

Majoritatea breșelor de securitate lasă o urmă judiciară în fișierele jurnal și în sisteme. Învățarea identificării și monitorizării acestor indicatori de compromitere ajută organizațiile să izoleze și să elimine rapid atacatorii. Multe echipe apelează la soluții SIEM, precum Microsoft Sentinel și Microsoft Defender XDR, care utilizează inteligența artificială și automatizarea pentru a scoate la iveală indicatorii de compromitere și a-i corela cu alte evenimente. Un plan de răspuns la incidente permite echipelor să avanseze atacurile și să le oprească rapid. Când vine vorba de securitatea cibernetică, cu cât companiile înțeleg mai rapid ce se întâmplă, cu cât este mai probabil să oprească un atac înainte să le coste bani sau să le prejudicieze imaginea. Securitatea IOC este esențială pentru a ajuta organizațiile să își reducă riscul de breșe costisitoare.

Aflați mai multe despre Microsoft Security

Protecția Microsoft împotriva amenințărilor

Identificați și răspundeți la incidentele din întreaga organizație cu cea mai recentă protecție împotriva amenințărilor.

Microsoft Sentinel

Descoperiți amenințări sofisticate și reacționați decisiv cu o soluție SIEM puternică, bazată pe cloud.

Microsoft Defender XDR

Opriți atacurile asupra punctelor finale, a e-mailului, a identităților, a aplicațiilor și a datelor, cu soluțiile XDR.

Comunitatea de inteligență contra amenințărilor

Aflați mai multe despre ediția Comunitatea pentru Inteligența contra amenințărilor Microsoft Defender.

Întrebări frecvente

  • Există mai multe tipuri de indicatori de compromitere. Printre cei ai frecvenți se numără:

    • Anomalii ale traficului de rețea
    • Încercări de conectare neobișnuite
    • Nereguli ale conturilor privilegiate
    • Modificări ale configurațiilor sistemelor
    • Instalări sau actualizări de software neașteptate
    • Numeroase solicitări ale aceluiași fișier
    • Solicitări neobișnuite de sisteme de nume de domeniu
  • Un indicator de compromitere este dovada digitală că a avut loc deja un atac. Un indicator al unui atac este o dovadă că este posibil să se producă un atac. De exemplu, o campanie de phishing este un indicator de atac, deoarece nu există nicio dovadă că atacatorul a provocat o breșă în companie. Totuși, dacă cineva face clic pe un link de phishing și descarcă malware, instalarea malware-ului este un indicator de compromitere.

  • Indicatorii de compromitere din e-mail includ un val brusc de spam, atașări sau linkuri ciudate sau un e-mail neașteptat de la o persoană cunoscută. De exemplu, dacă un angajat trimite unui coleg un e-mail cu o atașare ciudată, acesta poate indica faptul că i-a fost compromis contul.

  • Există mai multe modalități de a identifica un sistem compromis. O modificare a traficului de rețea de la un anumit computer poate fi un indicator că aceasta a fost compromisă. Dacă o persoană care în mod normal nu are nevoie de un sistem, începe să îl acceseze periodic, acesta este un semnal de alarmă. Modificările configurațiilor din sistem sau o instalare neașteptată de software pot indica, de asemenea, că acesta a fost compromis. 

  • Iată trei exemple de indicatori de compromitere:

    • Un cont de utilizator bazat în America de Nord începe să se conecteze la resursele firmei din Europa.
    • Mii de solicitări de acces în mai multe conturi de utilizator, indicând faptul că organizația este victima unui atac prin forță brută.
    • Solicitări noi de sisteme de nume de domeniu provin de la o gazdă nouă sau dintr-o țară în care angajații și clienții nu își au domiciliul.

Urmăriți Microsoft