Čo sú indikátory ohrozenia (IOC)?
Zistite, ako monitorovať, identifikovať, používať a reagovať na indikátory ohrozenia.
Vysvetlenie indikátorov ohrozenia
Indikátor ohrozenia (IOC) je dôkazom toho, že niekto mohol narušiť sieť alebo koncový bod organizácie. Tieto forenzné údaje nielen naznačujú potenciálnu hrozbu, ale aj signalizujú, že útok, napríklad škodlivý softvér, ohrozenie prihlasovacích údajov alebo exfiltrácia údajov, už nastal. Odborníci v oblasti zabezpečenia vyhľadávajú IOC v denníkoch udalostí, riešeniach rozšírená detekcia a reakcia (XDR) rozšírenej detekcie a reakcie (XDR) a riešeniach Security Information and Event Management (SIEM). Počas útoku tím používa IOC na odstránenie hrozby a zmiernenie poškodenia. Po obnovení môžu IOC pomôcť organizácii lepšie pochopiť, čo sa stalo, aby tím zabezpečenia organizácie mohol zvýšiť zabezpečenie a znížiť riziko ďalšieho podobného incidentu.
Príklady IOC
V zabezpečení IOC oddelenie IT monitoruje v prostredí nasledujúce znaky toho, že prebieha útok:
Anomálie sieťového prenosu
Vo väčšine organizácií existujú konzistentné vzory sieťových prenosov do a z digitálneho prostredia. Keď sa to zmení, napríklad ak organizáciu opúšťa podstatne viac údajov alebo ak aktivita pochádza z nezvyčajného miesta v sieti, môže to byť znakom útoku.
Nezvyčajné pokusy o prihlásenie
Pracovné návyky ľudí sú predvídateľné veľmi podobne ako sieťový prenos. Zvyčajne sa prihlasujú z rovnakých miest a približne v rovnakom čase počas týždňa. Odborníci na zabezpečenie môžu rozpoznať zneužité konto tak, že venujú pozornosť prihláseniam v nezvyčajných časoch dňa alebo z nezvyčajných geografických oblastí, napríklad z krajiny, v ktorej organizácia nemá kanceláriu. Dôležité je aj všimnúť si viacero neúspešných prihlásení z toho istého konta. Hoci ľudia pravidelne zabúdajú heslá alebo majú problémy s prihlásením, zvyčajne ich dokážu vyriešiť po niekoľkých pokusoch. Opakované neúspešné pokusy o prihlásenie môžu naznačovať, že niekto sa pokúša získať prístup k organizácii pomocou ukradnutého konta.
Nezrovnalosti konta s oprávneniami
Mnohí útočníci, či už sú zvnútra alebo zvonku, sa zaujímajú o prístup k správcovským kontám a získanie citlivých údajov. Netypické správanie spojené s týmito kontami, ak sa niekto napríklad pokúsi o eskalovanie oprávnení, môže byť znakom narušenia.
Zmeny v systémových konfiguráciách
Škodlivý softvér je často naprogramovaný tak, aby vykonával zmeny v systémových konfiguráciách, ako je napríklad povolenie vzdialeného prístupu alebo zakázanie softvéru zabezpečenia. Monitorovaním týchto neočakávaných zmien konfigurácie môžu odborníci na zabezpečenia identifikovať narušenie ešte pred vznikom príliš veľkých škôd.
Neočakávané inštalácie alebo aktualizácie softvéru
Mnohé útoky sa začínajú inštaláciou softvéru, napríklad škodlivého softvéru alebo ransomwaru, ktorý je navrhnutý tak, aby súbory boli nedostupné alebo útočníci mali prístup k sieti. Monitorovaním neplánovaných inštalácií a aktualizácií softvéru môžu organizácie tieto IOC rýchlo zachytiť.
Množstvo žiadostí o ten istý súbor
Viaceré žiadosti o jeden súbor môžu naznačovať, že útočník sa ho pokúša ukradnúť a vyskúšal k nemu získať prístup niekoľkými spôsobmi.
Nezvyčajné požiadavky DNS
Niektorí útočníci používajú metódu útoku, ktorá sa označuje ako riadenie a kontrola. Nainštalujú na server organizácie škodlivý softvér, ktorý vytvorí pripojenie k serveru, ktorý vlastnia. Potom zo svojho servera odosielajú do infikovaného počítača príkazy a pokúšajú sa ukradnúť údaje alebo narušiť operácie. Nezvyčajné požiadavky DNS (Domain Name Systems) pomáhajú IT zistiť tieto útoky.
Prečo sú IOC dôležité
Monitorovanie IOC je kriticky dôležité na zníženie rizika pre zabezpečenie organizácie. Včasná detekcia IOC umožňuje tímom zabezpečenia rýchlo reagovať na útoky a riešiť ich, čím sa znižuje množstvo výpadkov a prerušení. Pravidelné monitorovanie poskytuje tímom aj lepší prehľad o rizikách organizácie, ktoré potom možno zmierniť.
Reakcie na indikátory ohrozenia
Keď tímy zabezpečenia identifikujú IOC, musia efektívne reagovať, aby sa zabezpečilo čo najmenšie poškodenie organizácie. Nasledujúce kroky pomáhajú organizáciám sústrediť sa a zastaviť hrozby čo najrýchlejšie:
Vytvorenie plánu odozvy na incidenty
Reagovanie na incident je stresujúce a citlivé na čas, pretože čím dlhšie zostanú útočníci neodhalení, tým pravdepodobnejšie dosiahnu svoje ciele. Mnohé organizácie vyvíjajú plán odozvy na incidenty, ktorý pomôže pri usmerňovaní tímov počas kritických fáz odozvy. Plán načrtáva, ako organizácia definuje incident, úlohy a zodpovednosti, kroky potrebné na vyriešenie incidentu a spôsob, akým by mal tím komunikovať so zamestnancami a externými zainteresovanými stranami.
Izolovanie ohrozených systémov a zariadení
Keď organizácia identifikuje hrozbu, tím zabezpečenia rýchlo izoluje napadnuté aplikácie alebo systémy od zvyšných sietí. To pomáha zabrániť útočníkom v prístupe k iným častiam podniku.
Vykonanie forenznej analýzy
Forenzná analýza pomáha organizáciám odhaliť všetky aspekty narušenia vrátane zdroja, typu útoku a cieľov útočníka. Analýza sa vykonáva počas útoku na pochopenie rozsahu ohrozenia. Po obnovení organizácie po útoku ďalšia analýza pomôže tímu pochopiť možné riziká a ďalšie prehľady.
Eliminácia hrozby
Tím odstráni útočníka a všetok škodlivý softvér z ovplyvnených systémov a zdrojov, čo môže zahŕňať prepnutie systémov do režimu offline.
Implementácia vylepšení zabezpečenia a procesov
Po obnovení organizácie po incidente je dôležité vyhodnotiť, prečo k útoku došlo a či organizácia mohla urobiť niečo, aby mu zabránila. Môžu existovať jednoduché vylepšenia procesov a politík, ktoré v budúcnosti znížia riziko podobného útoku, alebo tím môže identifikovať riešenia s dlhším rozsahom na pridanie do plánu zabezpečenia.
Riešenia IOC
Väčšina narušení zabezpečenia zanechá v súboroch denníkov a systémoch forenznú stopu. Učenie sa identifikovať a monitorovať tieto IOC pomáha organizáciám rýchlo izolovať a eliminovať útočníkov. Mnohé tímy sa obracajú na riešenia SIEM, ako sú Microsoft Sentinel a Microsoft Defender XDR, ktoré využívajú umelú inteligenciu a automatizáciu na vynesenie IOC na povrch a ich koreláciu s inými udalosťami. Plán odozvy na incidenty umožňuje tímom predbehnúť útoky a rýchlo ich odstaviť. Pokiaľ ide o kybernetickú bezpečnosť, čím rýchlejšie spoločnosti porozumejú tomu, čo sa deje, tým pravdepodobnejšie zastavia útok ešte predtým, ako by ich niečo stál alebo poškodí ich dobré meno. Zabezpečenie IOC je kľúčom k pomoci organizáciám pri znižovaní rizika drahého narušenia.
Ďalšie informácie o zabezpečení od spoločnosti Microsoft
Microsoft Ochrana pred bezpečnostnými hrozbami
Identifikujte incidenty vo vašej organizácii a reagujte na ne pomocou najnovšej ochrany pred bezpečnostnými hrozbami.
Microsoft Sentinel
Odhaľte sofistikované hrozby a rázne na ne reagujte s výkonným cloudovým riešením SIEM.
Microsoft Defender XDR
Zastavte útoky v koncových bodoch, e-mailoch, identitách, aplikáciách a údajoch pomocou riešení XDR.
Komunita analýzy hrozieb
Získajte najnovšie aktualizácie z komunitného vydania služby Microsoft Defender Analýza hrozieb.
Najčastejšie otázky
-
Existuje niekoľko typov IOC. Medzi najbežnejšie patria tieto:
- Anomálie sieťového prenosu
- Nezvyčajné pokusy o prihlásenie
- Nezrovnalosti konta s oprávneniami
- Zmeny v systémových konfiguráciách
- Neočakávané inštalácie alebo aktualizácie softvéru
- Množstvo žiadostí o ten istý súbor
- Nezvyčajné požiadavky DNS
-
Indikátor ohrozenia je digitálny dôkaz toho, že už došlo k útoku. Indikátor útoku je dôkazom pravdepodobného výskytu útoku. Napríklad kampaň na neoprávnené získavanie údajov je indikátorom útoku, pretože neexistuje žiadny dôkaz o tom, že útočník narušil zabezpečenie spoločnosti. Ak však niekto klikne na prepojenie na neoprávnené získavanie údajov a stiahne škodlivý softvér, inštalácia škodlivého softvéru je indikátorom ohrozenia.
-
Indikátory ohrozenia v e-mailoch zahŕňajú náhlu záplavu nevyžiadanej pošty, nezvyčajné prílohy alebo prepojenia, alebo neočakávaný e-mail od známej osoby. Ak napríklad zamestnanec odošle spolupracovníkom e-mail s nezvyčajnou prílohou, môže to znamenať, že jeho konto bolo zneužité.
-
Existuje viacero spôsobov identifikácie zneužitého systému. Zmena v sieťovom prenose z konkrétneho počítača môže byť indikátorom, že je zneužitý. Ak osoba, ktorá zvyčajne nepotrebuje systém, začne k nemu pravidelne získavať prístup, je to výstražný príznak. Zmeny v konfiguráciách v systéme alebo neočakávaná inštalácia softvéru môžu tiež znamenať, že je zneužitý.
-
Tri príklady IOC:
- Používateľské konto so sídlom v Severnej Amerike sa začne prihlasovať do podnikových zdrojov z Európy.
- Tisíce žiadostí o prístup v rámci viacerých používateľských kont, čo naznačuje, že organizácia sa stala obeťou útoku hrubou silou.
- Nové požiadavky DNS prichádzajúce od nového hostiteľa alebo z krajiny, v ktorej nesídlia zamestnanci ani zákazníci.
Sledujte zabezpečenie od spoločnosti Microsoft