Какво означават индикаторите за компромис? Най-добрите инструменти за помощ за наблюдението им

В света на криминалистиката на данните разбирането на механиката, която стои зад кибер атаката, е не по-малко от разрешаването на мистерия за престъпления. Индикатори за компромис (IoC) са тези улики, доказателства, които могат да помогнат за разкриването на сложните нарушения на данните днес.

IoC са най-големият актив за експертите по киберсигурност, когато се опитват да решават и демистифицират мрежови атаки, злонамерени дейности или нарушения на злонамерен софтуер. Чрез търсене чрез IoC, нарушенията на данните могат да бъдат идентифицирани в началото, за да се намалят атаките.

Защо е важно да се наблюдават показателите за компромис?

IoC играят важна роля в анализа на киберсигурността. Те не само разкриват и потвърждават, че е настъпила атака на сигурността, но и разкриват инструментите, използвани за извършване на атаката.

Те също така са полезни при определяне на степента на вредата, която е нанесъл компромис, и помагат при определянето на критерии за предотвратяване на бъдещи компромиси.

IoC обикновено се събират чрез нормални решения за сигурност като анти-злонамерен софтуер и антивирус софтуер, но някои инструменти, базирани на AI, също могат да се използват за събиране на тези показатели по време на реакция на инцидента усилия.

Прочетете още: Най-добрият безплатен софтуер за интернет сигурност за Windows

Примери за индикатори на компромис

Чрез откриване на нередовни модели и дейности, IoC могат да помогнат да се прецени дали атаката е на път да се случи, вече се е случило и факторите зад атаката.

Ето няколко примера за МОК, за които всеки човек и организация трябва да следят:

Странни модели на входящ и изходящ трафик

Крайната цел на повечето кибер атаки е да се доберат до чувствителни данни и да ги прехвърлят на друго място. Ето защо е наложително да следите за необичайни модели на трафик, особено тези, които напускат вашата мрежа.

В същото време трябва да се наблюдават и промени във входящия трафик, тъй като те са добри показатели за протичаща атака. Най-ефективният подход е постоянно наблюдение на входящия и изходящия трафик за аномалии.

Географски несъответствия

Ако управлявате бизнес или работите за компания, ограничена до определено географско местоположение, но изведнъж виждате модели за влизане, произхождащи от неизвестни местоположения, тогава го считайте за червен флаг.

IP адресите са чудесни примери за IoC, тъй като те предоставят полезни доказателства за проследяване на географския произход на атака.

Потребителски дейности с висока привилегия

Привилегированите акаунти имат най-високо ниво на достъп поради естеството на техните роли. Заплашените актьори винаги обичат да търсят тези акаунти, за да получат постоянен достъп в системата. Следователно, всички необичайни промени в модела на използване на потребителски акаунти с високи привилегии трябва да бъдат наблюдавани с известна доза сол.

Ако привилегирован потребител използва акаунта си от аномално място и време, това със сигурност е индикатор за компромис. Винаги е добра практика за сигурност да се използва Принципът на най-малката привилегия при създаването на акаунти.

Прочетете още: Какъв е принципът на най-малката привилегия и как може да предотврати кибератаките?

Увеличаване на четенията в базата данни

Базите данни винаги са основна цел за участниците в заплахата, тъй като повечето лични и организационни данни се съхраняват във формат на база данни.

Ако забележите увеличение на обема на четене на базата данни, след това го наблюдавайте, тъй като това може да е нападател, който се опитва да нахлуе във вашата мрежа.

Висока степен на опити за удостоверяване

Голям брой опити за удостоверяване, особено неуспешни, винаги трябва да повдигат вежди. Ако видите голям брой опити за влизане от съществуващ акаунт или неуспешни опити от акаунт, който не съществува, това най-вероятно е компромис в създаването.

Необичайни промени в конфигурацията

Ако подозирате голям брой промени в конфигурацията на вашите файлове, сървъри или устройства, има вероятност някой да се опита да проникне във вашата мрежа.

Промените в конфигурацията не само осигуряват втора задна врата на участниците в заплахата във вашата мрежа, но и излагат системата на атаки на зловреден софтуер.

Признаци на DDoS атаки

Разпределена атака за отказ на услуга или DDoS се извършва главно, за да наруши нормалния трафик на мрежата, като я бомбардира с поток от интернет трафик.

Следователно не е чудно, че честите DDoS атаки се извършват от ботнети, за да отвлекат вниманието от вторичните атаки и трябва да се считат за IoC.

Прочетете още: Нови типове DDoS атаки и как те влияят на вашата сигурност

Модели на уеб трафик с нечовешко поведение

Всеки уеб трафик, който не изглежда като нормално човешко поведение, винаги трябва да бъде наблюдаван и разследван.

Откриването и наблюдението на IoC може да се постигне чрез лов на заплахи. Лог агрегаторите могат да се използват за наблюдение на вашите дневници за несъответствия и след като те предупредят за аномалия, тогава трябва да ги третирате като IoC.

След анализ на IoC, той винаги трябва да се добавя към списък за блокиране, за да се предотвратят бъдещи инфекции от фактори като IP адреси, хешове за сигурност или имена на домейни.

Следните пет инструмента могат да помогнат при идентифицирането и наблюдението на IoC. Моля, обърнете внимание, че повечето от тези инструменти идват с версии на общността, както и с платени абонаменти.

1. CrowdStrike

CrowdStrike е компания, която предотвратява пробивите в сигурността, като предоставя първокласни опции за защита на крайни точки, базирани на облак.

Той предлага платформа на Falcon Query API с функция за импортиране, която ви позволява да извличате, качвате, актуализирате, търсите и изтривате персонализирани индикатори за компромис (IOC), които искате да гледа CrowdStrike.

2. Sumo Logic

Sumo Logic е организация за анализ на данни в облак, която се фокусира върху операциите по сигурността. Компанията предлага услуги за управление на регистрационни файлове, които използват машинно генерирани големи данни за предоставяне на анализ в реално време.

Използвайки платформата Sumo Logic, бизнесът и физическите лица могат да наложат конфигурации за сигурност за многооблачна и хибридна среда и бързо да реагират на заплахите чрез откриване на IoC.

3. Akamai Bot Manager

Ботовете са добри за автоматизиране на определени задачи, но могат да се използват и за поглъщане на акаунти, заплахи за сигурността и DDoS атаки.

Akamai Technologies, Inc. е глобална мрежа за доставка на съдържание, която също предлага инструмент, известен като Bot Manager, който осигурява усъвършенствано откриване на ботове за намиране и предотвратяване на най-сложните бот атаки.

Предоставяйки подробна видимост на бот трафика, влизащ във вашата мрежа, Bot Manager ви помага по-добре да разберете и проследите кой влиза или излиза от вашата мрежа.

4. Proofpoint

Proofpoint е корпоративна компания за сигурност, която осигурява защита срещу целеви атаки заедно със здрава система за реагиране на заплахи.

Тяхната система за творческо реагиране на заплахи осигурява автоматична IoC проверка чрез събиране на криминалистика на крайни точки от целеви системи, което улеснява откриването и коригирането на компромиси.

Защитете данните, като анализирате пейзажа на заплахите си

Повечето нарушения на сигурността и кражбите на данни оставят следи от галета зад нас и от нас зависи да играем детективи за сигурност и да разберем уликите.

За щастие, като анализираме внимателно пейзажа на заплахите си, можем да наблюдаваме и съставяме списък с индикатори за компромис, за да предотвратим всички видове настоящи и бъдещи кибер заплахи.

9-те най-добри системи за откриване и предотвратяване на проникване за повишаване на вашата киберсигурност

Трябва да знаете кога вашият бизнес е под кибератака? Нуждаете се от система за откриване и предотвратяване на проникване.

Прочетете Напред

За автора