Что означают индикаторы компрометации? Лучшие инструменты для их мониторинга
Безопасность

Что означают индикаторы компрометации? Лучшие инструменты для их мониторинга

Индикаторы компрометации дают подсказки и доказательства в отношении утечки данных. Узнайте о важности их мониторинга и о четырех инструментах, которые могут помочь в этом

В мире криминалистики данных понимание механики кибератаки не менее важно, чем разгадка тайны преступления. Индикаторы компрометации (IoCs) – это те подсказки, частицы улик, которые могут помочь раскрыть сложные утечки данных сегодняшнего дня

IoCs – это самый большой актив для экспертов по кибербезопасности, когда они пытаются раскрыть и демистифицировать сетевые атаки, вредоносные действия или утечки вредоносного ПО. Поиск в IoC позволяет выявлять нарушения данных на ранних стадиях, что помогает смягчить последствия атак

Почему важно отслеживать индикаторы компрометации?

IoC играют важную роль в анализе кибербезопасности. Они не только выявляют и подтверждают факт атаки безопасности, но и раскрывают инструменты, которые были использованы для осуществления атаки

Они также помогают определить степень ущерба, нанесенного компрометацией, и установить ориентиры для предотвращения будущих компрометаций

IoC обычно собираются с помощью обычных решений безопасности, таких как антивирусное и антиретровирусное ПО, но некоторые инструменты на основе искусственного интеллекта также могут быть использованы для сбора этих индикаторов в ходе реагирования на инциденты

Читать далее: Лучшие бесплатные программы интернет-безопасности для Windows

Примеры индикаторов компрометации

Обнаруживая нерегулярные модели и действия, IoC могут помочь определить, произойдет ли атака в ближайшее время, уже произошла, а также факторы, стоящие за атакой

Вот некоторые примеры МОК, за которыми должны следить все люди и организации:

Странные схемы входящего и исходящего трафика

Конечная цель большинства кибер-атак – завладеть конфиденциальными данными и перенести их в другое место. Поэтому необходимо следить за необычными схемами трафика, особенно за тем, что выходит из вашей сети

В то же время необходимо следить за изменениями во входящем трафике, поскольку они являются хорошими индикаторами готовящейся атаки. Наиболее эффективным подходом является постоянный мониторинг входящего и исходящего трафика на предмет аномалий

Географические несоответствия

Если вы занимаетесь бизнесом или работаете в компании, деятельность которой ограничена определенным географическим положением, но вдруг видите, что вход в систему происходит из неизвестных мест, считайте это тревожным сигналом

IP-адреса являются отличным примером IoCs, поскольку они предоставляют полезные доказательства для отслеживания географического происхождения атаки

Действия пользователя с высокими привилегиями

Привилегированные учетные записи имеют самый высокий уровень доступа в силу характера своей роли. Субъекты угроз всегда стремятся использовать эти учетные записи для получения постоянного доступа к системе. Поэтому любые необычные изменения в структуре использования учетных записей пользователей с высокими привилегиями следует отслеживать с осторожностью

Если привилегированный пользователь использует свою учетную запись в аномальном месте и в аномальное время, то это, безусловно, является признаком компрометации. Хорошей практикой безопасности всегда является применение принципа наименьшей привилегии при настройке учетных записей

Читать далее: Что такое принцип наименьших привилегий и как он может предотвратить кибератаки?

Увеличение количества чтений баз данных

Базы данных всегда являются главной мишенью для субъектов угроз, поскольку большинство персональных и организационных данных хранятся в формате баз данных

Если вы видите увеличение объема чтения базы данных, следите за этим, так как это может быть попытка злоумышленника проникнуть в вашу сеть

Высокий уровень попыток аутентификации

Большое количество попыток аутентификации, особенно неудачных, всегда должно настораживать. Если вы видите большое количество попыток входа в систему с существующей учетной записи или неудачных попыток с несуществующей учетной записи, то, скорее всего, речь идет о готовящемся компромиссе

Необычные изменения конфигурации

Если вы подозреваете большое количество изменений конфигурации ваших файлов, серверов или устройств, есть шанс, что кто-то пытается проникнуть в вашу сеть

Изменения конфигурации не только обеспечивают второй черный ход в вашу сеть для субъектов угроз, но и подвергают систему атакам вредоносного ПО

Признаки DDoS-атак

Распределенный отказ в обслуживании или DDoS-атака проводится в основном для того, чтобы нарушить нормальный поток трафика в сети, бомбардируя ее потоком интернет-трафика

Поэтому неудивительно, что частые DDoS-атаки осуществляются ботнетами для отвлечения внимания от вторичных атак и должны рассматриваться как IoC

Читать далее: Новые типы DDoS-атак и их влияние на вашу безопасность

Паттерны веб-трафика с нечеловеческим поведением

Любой веб-трафик, который не похож на нормальное поведение человека, всегда должен отслеживаться и изучаться

Инструменты, помогающие отслеживать индикаторы компрометации

Обнаружение и мониторинг IoC может быть достигнуто с помощью охоты за угрозами. Агрегаторы журналов могут использоваться для мониторинга журналов на предмет несоответствий, и если они предупреждают об аномалии, то вы должны рассматривать ее как IoC

После анализа IoC его всегда следует добавить в блок-лист, чтобы предотвратить будущие заражения от таких факторов, как IP-адреса, хэши безопасности или доменные имена

Следующие пять инструментов могут помочь в выявлении и мониторинге IoCs. Обратите внимание, что большинство из этих инструментов поставляются как в версиях для сообщества, так и в виде платных подписок

  1. CrowdStrike.

CrowdStrike – это компания, которая предотвращает нарушения безопасности, предоставляя первоклассные облачные варианты защиты конечных точек

Компания предлагает платформу Falcon Query API с функцией импорта, которая позволяет получать, загружать, обновлять, искать и удалять пользовательские индикаторы компрометации (IOCs), которые вы хотите, чтобы CrowdStrike отслеживал

2. Sumo Logic

Sumo Logic – это организация, занимающаяся анализом данных на основе облачных технологий и специализирующаяся на операциях безопасности. Компания предлагает услуги по управлению журналами, которые используют генерируемые машиной большие данные для анализа в режиме реального времени

Используя платформу Sumo Logic, компании и частные лица могут применять конфигурации безопасности для многооблачных и гибридных сред и быстро реагировать на угрозы путем обнаружения IoCs

3. Akamai Bot Manager

Боты хороши для автоматизации определенных задач, но они также могут использоваться для захвата аккаунтов, угроз безопасности и DDoS-атак

Akamai Technologies, Inc.это глобальная сеть доставки контента, которая также предлагает инструмент, известный как Bot Manager, который обеспечивает расширенное обнаружение ботов для поиска и предотвращения самых сложных атак ботов

Обеспечивая детальную видимость бот-трафика, входящего в вашу сеть, Bot Manager помогает вам лучше понять и отследить, кто входит или выходит из вашей сети

4. Proofpoint

Proofpoint – компания, занимающаяся корпоративной безопасностью, которая обеспечивает защиту от целевых атак наряду с надежной системой реагирования на угрозы

Их креативная система реагирования на угрозы обеспечивает автоматическую проверку IoC путем сбора криминалистических данных конечных точек из целевых систем, что упрощает обнаружение и устранение компрометации

Защита данных путем анализа ландшафта угроз

Большинство нарушений безопасности и краж данных оставляют за собой следы в виде хлебных крошек, и именно мы должны играть в детективов безопасности и находить подсказки

К счастью, внимательно анализируя наш ландшафт угроз, мы можем отслеживать и составлять список индикаторов компрометации для предотвращения всех типов текущих и будущих киберугроз

Об авторе

Алексей Белоусов

Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

Комментировать

Оставить комментарий