ตัวบ่งชี้ช่องโหว่ (IOC) คืออะไร
เรียนรู้วิธีการตรวจสอบ ระบุ ใช้ และตอบสนองต่อตัวบ่งชี้ช่องโหว่
คำอธิบายเกี่ยวกับตัวบ่งชี้ช่องโหว่
ตัวบ่งชี้ช่องโหว่ (IOC) เป็นหลักฐานว่าอาจมีคนละเมิดเครือข่ายหรือปลายทางขององค์กร ข้อมูลทางนิติวิทยาศาสตร์นี้ไม่เพียงระบุถึงภัยคุกคามที่อาจเกิดขึ้น แต่ยังส่งสัญญาณว่ามีการโจมตี เช่น มัลแวร์ ข้อมูลประจำตัวที่มีช่องโหว่ หรือการลักลอบถ่ายโอนข้อมูลเกิดขึ้นแล้ว ผู้เชี่ยวชาญด้านความปลอดภัยค้นหา IOC บนบันทึกเหตุการณ์ โซลูชันการตรวจหาและการตอบสนองแบบขยาย (XDR) และโซลูชัน Security Information and Event Management (SIEM) ระหว่างการโจมตี ทีมจะใช้ IOC เพื่อกำจัดภัยคุกคามและบรรเทาความเสียหาย หลังจากการกู้คืน IOC จะช่วยให้องค์กรเข้าใจสิ่งที่เกิดขึ้นได้ดียิ่งขึ้น ดังนั้นทีมรักษาความปลอดภัยขององค์กรจึงสามารถเสริมสร้างความปลอดภัยและลดความเสี่ยงของเหตุการณ์อื่นที่คล้ายคลึงกัน
ตัวอย่างของ IOC
ในการรักษาความปลอดภัยของ IOC ฝ่ายไอทีจะตรวจสอบสภาพแวดล้อมเพื่อหาเบาะแสต่อไปนี้ว่ากำลังมีการโจมตี:
สิ่งผิดปกติสำหรับปริมาณการใช้งาน
ในองค์กรส่วนใหญ่ มีรูปแบบที่สอดคล้องกันสำหรับปริมาณการใช้งานที่เข้าและออกจากสภาพแวดล้อมดิจิทัล เมื่อมีการเปลี่ยนแปลง เช่น หากมีข้อมูลจำนวนมากออกจากองค์กร หรือมีกิจกรรมที่มาจากตำแหน่งที่ผิดปกติในเครือข่าย อาจเป็นสัญญาณของการโจมตี
การพยายามลงชื่อเข้าใช้ที่ผิดปกติ
นิสัยการทำงานของผู้คนสามารถคาดเดาได้เช่นเดียวกับปริมาณการใช้งาน โดยทั่วไปแล้ว พวกเขาจะลงชื่อเข้าใช้จากตำแหน่งที่ตั้งเดียวกันและในเวลาเดียวกันระหว่างสัปดาห์ ผู้เชี่ยวชาญด้านความปลอดภัยสามารถตรวจหาบัญชีที่มีช่องโหว่โดยให้ความสนใจกับการลงชื่อเข้าใช้ในเวลาแปลกๆ ของวันหรือจากตำแหน่งทางภูมิศาสตร์ที่ผิดปกติ เช่น ประเทศที่องค์กรไม่มีสำนักงาน สิ่งสำคัญคือต้องจดบันทึกการลงชื่อเข้าใช้ที่ล้มเหลวหลายครั้งจากบัญชีเดียวกัน แม้ว่าผู้คนจะลืมรหัสผ่านเป็นระยะๆ หรือประสบปัญหาในการลงชื่อเข้าใช้ แต่พวกเขาก็มักจะสามารถแก้ไขได้หลังจากพยายามไม่กี่ครั้ง การพยายามลงชื่อเข้าใช้ที่ล้มเหลวซ้ำๆ อาจบ่งชี้ว่ามีบางคนพยายามเข้าถึงองค์กรโดยใช้บัญชีที่ถูกขโมย
ความผิดปกติของบัญชีสิทธิ์
ผู้โจมตีจำนวนมาก ไม่ว่าจะเป็นบุคคลภายในหรือบุคคลภายนอก สนใจที่จะเข้าถึงบัญชีผู้ดูแลระบบและรับข้อมูลที่ละเอียดอ่อน พฤติกรรมที่ผิดปกติที่เกี่ยวข้องกับบัญชีเหล่านี้ เช่น มีคนพยายามเลื่อนระดับสิทธิ์ อาจเป็นสัญญาณของการละเมิด
การเปลี่ยนแปลงการกำหนดค่าระบบ
มัลแวร์มักจะถูกตั้งโปรแกรมให้ทำการเปลี่ยนแปลงการกำหนดค่าระบบ เช่น การเปิดใช้งานการเข้าถึงระยะไกลหรือการปิดใช้งานซอฟต์แวร์รักษาความปลอดภัย ด้วยการตรวจสอบการเปลี่ยนแปลงการกำหนดค่าที่ไม่คาดคิดเหล่านี้ ผู้เชี่ยวชาญด้านความปลอดภัยสามารถระบุการละเมิดก่อนที่จะเกิดความเสียหายมากเกินไป
การติดตั้งหรือการอัปเดตซอฟต์แวร์ที่ไม่คาดคิด
การโจมตีจำนวนมากเริ่มต้นด้วยการติดตั้งซอฟต์แวร์ เช่น มัลแวร์หรือแรนซัมแวร์ ซึ่งออกแบบมาเพื่อทำให้ไม่สามารถเข้าถึงไฟล์ได้ หรือเพื่อให้ผู้โจมตีสามารถเข้าถึงเครือข่ายได้ ด้วยการตรวจสอบการติดตั้งและการอัปเดตซอฟต์แวร์ที่ไม่ได้วางแผนไว้ องค์กรต่างๆ จึงสามารถตรวจจับ IOC เหล่านี้ได้อย่างรวดเร็ว
คำขอจำนวนมากสำหรับไฟล์เดียวกัน
คำขอหลายรายการสำหรับไฟล์เดียวอาจบ่งชี้ว่ามีผู้ไม่หวังดีพยายามขโมยไฟล์นั้น และได้ลองใช้วิธีต่างๆ ในการเข้าถึงไฟล์นั้น
คำขอ Domain Name System ที่ผิดปกติ
ผู้ไม่หวังดีบางรายใช้วิธีการโจมตีที่เรียกว่าคำสั่งและการควบคุม พวกเขาจะติดตั้งมัลแวร์บนเซิร์ฟเวอร์ขององค์กรที่สร้างการเชื่อมต่อกับเซิร์ฟเวอร์ที่พวกเขาเป็นเจ้าของ จากนั้น พวกเขาจะส่งคำสั่งจากเซิร์ฟเวอร์ของตนไปยังเครื่องที่ติดมัลแวร์เพื่อพยายามขโมยข้อมูลหรือรบกวนการดำเนินการ คำขอ Domain Name System (DNS) ที่ผิดปกติช่วยให้ฝ่ายไอทีตรวจพบการโจมตีเหล่านี้
เหตุใด IOC จึงมีความสำคัญ
การตรวจสอบ IOC เป็นสิ่งสำคัญในการลดความเสี่ยงด้านความปลอดภัยขององค์กร การตรวจพบ IOC ล่วงหน้าช่วยให้ทีมรักษาความปลอดภัยสามารถตอบสนองและแก้ไขปัญหาการโจมตีได้อย่างรวดเร็ว ซึ่งช่วยลดระยะเวลาหยุดทำงานและการหยุดชะงัก การตรวจสอบเป็นประจำยังช่วยให้ทีมมีข้อมูลเชิงลึกมากขึ้นเกี่ยวกับช่องโหว่ขององค์กร ซึ่งสามารถบรรเทาลงได้
การตอบสนองต่อตัวบ่งชี้ช่องโหว่
เมื่อทีมรักษาความปลอดภัยระบุ IOC แล้ว พวกเขาจะต้องตอบสนองอย่างมีประสิทธิภาพเพื่อให้แน่ใจว่าองค์กรจะได้รับความเสียหายน้อยที่สุดเท่าที่เป็นไปได้ ขั้นตอนต่อไปนี้ช่วยให้องค์กรสามารถโฟกัสและยับยั้งภัยคุกคามได้โดยเร็วที่สุดเท่าที่เป็นไปได้:
สร้างแผนการตอบสนองต่อเหตุการณ์
การตอบสนองต่อเหตุการณ์นั้นเป็นเรื่องที่ตึงเครียดและเร่งด่วน เนื่องจากยิ่งตรวจหาผู้โจมตีนานเท่าไร พวกเขาก็จะมีโอกาสบรรลุเป้าหมายมากขึ้นเท่านั้น หลายองค์กรพัฒนาแผนการตอบสนองต่อเหตุการณ์เพื่อช่วยแนะนำทีมในช่วงสำคัญของการตอบสนอง แผนสรุปวิธีที่องค์กรกำหนดเหตุการณ์ บทบาทและความรับผิดชอบ ขั้นตอนที่จำเป็นในการแก้ไขเหตุการณ์ และวิธีที่ทีมควรสื่อสารกับพนักงานและผู้เกี่ยวข้องภายนอก
แยกระบบและอุปกรณ์ที่มีช่องโหว่
เมื่อองค์กรตรวจพบภัยคุกคาม ทีมรักษาความปลอดภัยจะแยกแอปพลิเคชันหรือระบบที่ถูกโจมตีออกจากเครือข่ายส่วนที่เหลืออย่างรวดเร็ว ซึ่งช่วยป้องกันไม่ให้ผู้โจมตีเข้าถึงส่วนอื่นๆ ของธุรกิจได้
ดำเนินการวิเคราะห์ทางนิติวิทยาศาสตร์
การวิเคราะห์ทางนิติวิทยาศาสตร์ช่วยให้องค์กรเปิดเผยทุกแง่มุมของการละเมิด รวมถึงแหล่งที่มา ชนิดการโจมตี และเป้าหมายของผู้โจมตี การวิเคราะห์จะดำเนินการระหว่างการโจมตีเพื่อทำความเข้าใจขอบเขตของช่องโหว่ เมื่อองค์กรกู้คืนจากการโจมตีแล้ว การวิเคราะห์เพิ่มเติมจะช่วยให้ทีมเข้าใจช่องโหว่ที่เป็นไปได้และข้อมูลเชิงลึกอื่นๆ
กำจัดภัยคุกคาม
ทีมจะกำจัดผู้โจมตีและมัลแวร์ออกจากระบบและทรัพยากรที่ได้รับผลกระทบ ซึ่งอาจเกี่ยวข้องกับการทำให้ระบบออฟไลน์
ใช้การปรับปรุงความปลอดภัยและกระบวนการ
เมื่อองค์กรกู้คืนจากเหตุการณ์ดังกล่าวแล้ว สิ่งสำคัญคือต้องประเมินว่าเหตุใดการโจมตีจึงเกิดขึ้น และมีอะไรที่องค์กรสามารถทำได้เพื่อป้องกันการโจมตีดังกล่าวหรือไม่ อาจมีการปรับปรุงกระบวนการและนโยบายง่ายๆ ที่จะลดความเสี่ยงของการโจมตีที่คล้ายกันในอนาคต หรือทีมงานอาจระบุโซลูชันระยะยาวเพื่อเพิ่มในแผนการทำงานด้านความปลอดภัย
โซลูชัน IOC
การละเมิดความปลอดภัยส่วนใหญ่จะทิ้งร่องรอยทางนิติวิทยาศาสตร์ไว้ในไฟล์บันทึกและระบบ การเรียนรู้เพื่อระบุและตรวจสอบ IOC เหล่านี้จะช่วยให้องค์กรแยกและกำจัดผู้โจมตีได้อย่างรวดเร็ว หลายทีมเปลี่ยนไปใช้โซลูชัน SIEM เช่น Microsoft Sentinel และ Microsoft Defender XDR ซึ่งใช้ AI และระบบอัตโนมัติเพื่อแสดง IOC และเชื่อมโยงกับเหตุการณ์อื่นๆ แผนการตอบสนองต่อเหตุการณ์ช่วยให้ทีมสามารถนำหน้าการโจมตีและยับยั้งได้อย่างรวดเร็ว เมื่อพูดถึงการรักษาความปลอดภัยทางไซเบอร์ ยิ่งบริษัทเข้าใจสิ่งที่เกิดขึ้นได้เร็วเท่าไร พวกเขาก็จะมีโอกาสหยุดการโจมตีก่อนที่จะต้องเสียเงินหรือทำลายชื่อเสียงมากขึ้นเท่านั้น ความปลอดภัยของ IOC เป็นกุญแจสำคัญที่ช่วยให้องค์กรลดความเสี่ยงของการละเมิดที่มีค่าใช้จ่ายสูงได้
เรียนรู้เพิ่มเติมเกี่ยวกับ Microsoft Security
Microsoft Threat Protection
ระบุและตอบสนองต่อเหตุการณ์ทั่วทั้งองค์กรของคุณด้วยการป้องกันภัยคุกคามที่อัปเดตล่าสุด
Microsoft Sentinel
ค้นพบภัยคุกคามที่ซับซ้อนและตอบสนองอย่างเด็ดขาดด้วยโซลูชัน SIEM ที่มีประสิทธิภาพบนระบบ Cloud
Microsoft Defender XDR
หยุดการโจมตีปลายทาง อีเมล ข้อมูลประจำตัว แอปพลิเคชัน และข้อมูลด้วยโซลูชัน XDR
ชุมชนข่าวกรองเกี่ยวกับภัยคุกคาม
รับการอัปเดตล่าสุดจาก Microsoft Defender Threat Intelligence รุ่นชุมชน
คำถามที่ถามบ่อย
-
IOC มีอยู่หลายชนิด ชนิดที่พบบ่อยที่สุดคือ:
- สิ่งผิดปกติสำหรับปริมาณการใช้งาน
- การพยายามลงชื่อเข้าใช้ที่ผิดปกติ
- ความผิดปกติของบัญชีสิทธิ์
- การเปลี่ยนแปลงการกำหนดค่าระบบ
- การติดตั้งหรือการอัปเดตซอฟต์แวร์ที่ไม่คาดคิด
- คำขอจำนวนมากสำหรับไฟล์เดียวกัน
- คำขอ Domain Name System ที่ผิดปกติ
-
ตัวบ่งชี้ช่องโหว่คือหลักฐานดิจิทัลที่แสดงว่ามีการโจมตีเกิดขึ้นแล้ว ตัวบ่งชี้การโจมตีคือหลักฐานที่แสดงว่ามีแนวโน้มที่จะเกิดการโจมตีขึ้น ตัวอย่างเช่น แคมเปญฟิชชิ่งเป็นตัวบ่งชี้การโจมตีเนื่องจากไม่มีหลักฐานว่าผู้โจมตีได้ละเมิดบริษัท อย่างไรก็ตาม หากมีคนคลิกลิงก์ฟิชชิ่งและดาวน์โหลดมัลแวร์ การติดตั้งมัลแวร์ดังกล่าวถือเป็นตัวบ่งชี้ช่องโหว่
-
ตัวบ่งชี้ช่องโหว่ในอีเมล ได้แก่ การได้รับสแปมจำนวนมากอย่างกะทันหัน ไฟล์แนบหรือลิงก์น่าสงสัย หรืออีเมลที่ไม่คาดคิดจากบุคคลที่รู้จัก ตัวอย่างเช่น หากพนักงานส่งอีเมลถึงเพื่อนร่วมงานพร้อมไฟล์แนบน่าสงสัย ก็อาจบ่งบอกว่าบัญชีของพวกเขามีช่องโหว่
-
มีหลายวิธีในการระบุระบบที่มีช่องโหว่ การเปลี่ยนแปลงปริมาณการใช้งานจากคอมพิวเตอร์เครื่องใดเครื่องหนึ่งอาจเป็นตัวบ่งชี้ว่ามีช่องโหว่ หากบุคคลที่โดยทั่วไปแล้วไม่จำเป็นต้องใช้ระบบเริ่มเข้าถึงระบบเป็นประจำ นั่นถือเป็นสัญญาณอันตราย การเปลี่ยนแปลงการกำหนดค่าบนระบบหรือการติดตั้งซอฟต์แวร์ที่ไม่คาดคิดอาจบ่งชี้ว่ามีช่องโหว่
-
ตัวอย่าง IOC สามตัวอย่างคือ:
- บัญชีผู้ใช้ที่อยู่ในอเมริกาเหนือเริ่มลงชื่อเข้าใช้ทรัพยากรของบริษัทจากยุโรป
- คำขอเข้าถึงหลายพันคำขอจากบัญชีผู้ใช้หลายบัญชี บ่งชี้ว่าองค์กรตกเป็นเหยื่อของการโจมตีแบบ Brute-Force
- คำขอ Domain Name System ใหม่มาจากโฮสต์ใหม่หรือประเทศที่ไม่มีพนักงานหรือลูกค้าอาศัยอยู่
ติดตาม Microsoft Security