入侵指标说明
入侵指标 (IOC) 是证明有人可能已入侵组织网络或终结点的证据。此取证数据不仅表明存在潜在威胁,还预示着已发生恶意软件、凭据被盗或数据外泄等攻击。安全专业人员在事件日志、扩展检测和响应 (XDR) 解决方案以及安全信息和事件管理 (SIEM) 解决方案上搜索 IOC。在攻击期间,团队使用 IOC 消除威胁并减轻损害。恢复后,IOC 可帮助组织更好地了解发生的情况,以便组织的安全团队可以加强安全性并降低出现另一个类似事件的风险。
IOC 示例
在 IOC 安全性中,IT 会监视环境,以获取以下有关攻击正在进行的线索:
网络流量异常
在大多数组织中,传入和传出数字环境的网络流量具有一致的模式。发生变动时,例如,如果离开组织的数据明显更多,或者存在来自网络异常位置的活动,则可能预示着攻击。
异常登录尝试
与网络流量非常相似,人们的工作习惯是可预测的。他们通常从相同的位置登录,并在一周内大致相同的时间登录。安全专业人员可以通过留意在一天中的反常时间或从异常地区(例如组织没有办事处的国家/地区)登录来检测被盗用的帐户。另请务必记下同一帐户的多次失败登录。尽管用户会定期忘记密码或登录时遇到问题,但他们通常可以在几次尝试后解决此问题。重复进行失败的登录尝试可能表明有人正在尝试使用被盗帐户访问组织。
特权帐户异常
许多攻击者(无论是内部人员还是外部人员)都对访问管理账户和获取敏感数据感兴趣。与这些帐户关联的异常行为(例如有人试图提升其权限)可能表示存在入侵。
更改系统配置
恶意软件通常编程为对系统配置进行更改,例如启用远程访问或禁用安全软件。通过监视这些异常的配置更改,安全专业人员可以在发生过多损害之前找到漏洞。
异常的软件安装或更新
许多攻击从安装软件(如恶意软件或勒索软件)开始,这些软件用于使文件不可访问或使攻击者能够访问网络。通过监视计划外软件安装和更新,组织可以快速捕获这些 IOC。
对同一文件发出大量请求
对单个文件发出多次请求可能表明恶意参与者正在试图窃取该文件,并已尝试使用多种方法来访问它。
域名系统请求异常
一些恶意参与者使用一种称为命令与控制的攻击方法。他们在组织的服务器上安装恶意软件,以与他们拥有的服务器建立连接。然后,他们将命令从服务器发送到受感染的计算机,以尝试窃取数据或中断操作。异常的域名系统 (DNS) 请求可帮助 IT 检测这些攻击。
为什么 IOC 很重要
监视 IOC 对于降低组织的安全风险至关重要。及早检测 IOC 使安全团队能够快速响应和解决攻击,从而减少停机时间和中断。通过定期监视,团队还可以更深入地了解组织漏洞,然后可以缓解这些漏洞。
响应入侵指标
安全团队确定 IOC 后,需要做出有效响应,以确保尽可能少地对组织造成损害。以下步骤可帮助组织保持专注并尽快停止威胁:
制定事件响应计划
响应事件是有压力且时间敏感的,因为未检测到攻击者的时间越长,他们实现目标的可能性就越大。许多组织制定了事件响应计划,在响应的关键阶段帮助指导团队。计划概述了组织如何定义事件、角色和职责、解决事件所需的步骤,以及团队应如何与员工和外部利益干系人沟通。
隔离遭到入侵的系统和设备
组织发现威胁后,安全团队会快速将受攻击的应用程序或系统与网络的其余部分隔离。这有助于防止攻击者访问企业的其他部分。
执行取证分析
取证分析可帮助组织发现入侵的所有方面,包括来源、攻击类型和攻击者目标。在攻击期间进行分析,以了解入侵的程度。组织从攻击中恢复后,其他分析可帮助团队了解可能的漏洞和其他见解。
消除威胁
该团队从受影响的系统和资源中清除攻击者和任何恶意软件,这可能涉及使系统脱机。
实现安全和过程改进
组织从事件中恢复后,请务必评估攻击发生的原因,以及组织是否可以采取任何措施来防止攻击。可能存在简单的流程和策略改进,可降低将来遭受类似攻击的风险,或者团队可能会确定要添加到安全路线图中的更长范围的解决方案。
SOC 解决方案
大多数安全入侵会在日志文件和系统中留下取证线索。学习识别和监视这些 IOC 有助于组织快速隔离和清除攻击者。许多团队都转向 SIEM 解决方案,如 Microsoft Sentinel 和 Microsoft Defender XDR,它们使用 AI 和自动化来显示 IOC 并将其与其他事件相关联。通过事件响应计划,团队可以提前应对攻击并快速阻止攻击。在网络安全方面,公司了解情况的速度越快,就越有可能在损失资金或损害其信誉之前阻止攻击。IOC 安全是帮助组织降低代价巨大的入侵风险的关键。
常见问题解答
-
有多种类型的 IOC。一些最常见的包括:
- 网络流量异常
- 异常登录尝试
- 特权帐户异常
- 更改系统配置
- 异常的软件安装或更新
- 对同一文件发出大量请求
- 域名系统请求异常
-
入侵指标是指证明已发生攻击的数字证据。攻击指标是指证明可能发生攻击的证据。例如,网络钓鱼活动是攻击指标,因为没有证据证明攻击者入侵了公司。但是,如果有人单击网络钓鱼链接并下载恶意软件,则安装恶意软件便是入侵指标。
-
电子邮件中入侵指标包括垃圾邮件的突然激增、奇怪的附件或链接,或来自已知人员的异常电子邮件。例如,如果员工向同事发送带有奇怪附件的电子邮件,则可能表明其帐户已被盗。
-
可通过多种方式识别遭到入侵的系统。来自特定计算机的网络流量的更改可能指示已遭到入侵。如果通常不需要系统的人开始定期访问系统,则这是一个危险信号。更改系统配置或异常软件安装也可能表明已遭到入侵。
-
三个 IOC 示例包括:
- 在北美的用户帐户开始从欧洲登录公司资源。
- 在多个用户帐户中出现数千次访问请求,表明组织遭到了暴力攻击。
- 新的域名系统请求来自新主机或员工和客户不驻留的国家/地区。
关注 Microsoft 安全