Индикаторы компрометации дают подсказки и доказательства в отношении утечки данных. Узнайте о важности их мониторинга и о четырех инструментах, которые могут помочь в этом
В мире криминалистики данных понимание механики кибератаки не менее важно, чем разгадка тайны преступления. Индикаторы компрометации (IoCs) – это те подсказки, частицы улик, которые могут помочь раскрыть сложные утечки данных сегодняшнего дня
IoCs – это самый большой актив для экспертов по кибербезопасности, когда они пытаются раскрыть и демистифицировать сетевые атаки, вредоносные действия или утечки вредоносного ПО. Поиск в IoC позволяет выявлять нарушения данных на ранних стадиях, что помогает смягчить последствия атак
Почему важно отслеживать индикаторы компрометации?
IoC играют важную роль в анализе кибербезопасности. Они не только выявляют и подтверждают факт атаки безопасности, но и раскрывают инструменты, которые были использованы для осуществления атаки
Они также помогают определить степень ущерба, нанесенного компрометацией, и установить ориентиры для предотвращения будущих компрометаций
IoC обычно собираются с помощью обычных решений безопасности, таких как антивирусное и антиретровирусное ПО, но некоторые инструменты на основе искусственного интеллекта также могут быть использованы для сбора этих индикаторов в ходе реагирования на инциденты
Читать далее: Лучшие бесплатные программы интернет-безопасности для Windows
Примеры индикаторов компрометации
Обнаруживая нерегулярные модели и действия, IoC могут помочь определить, произойдет ли атака в ближайшее время, уже произошла, а также факторы, стоящие за атакой
Вот некоторые примеры МОК, за которыми должны следить все люди и организации:
Странные схемы входящего и исходящего трафика
Конечная цель большинства кибер-атак – завладеть конфиденциальными данными и перенести их в другое место. Поэтому необходимо следить за необычными схемами трафика, особенно за тем, что выходит из вашей сети
В то же время необходимо следить за изменениями во входящем трафике, поскольку они являются хорошими индикаторами готовящейся атаки. Наиболее эффективным подходом является постоянный мониторинг входящего и исходящего трафика на предмет аномалий
Географические несоответствия
Если вы занимаетесь бизнесом или работаете в компании, деятельность которой ограничена определенным географическим положением, но вдруг видите, что вход в систему происходит из неизвестных мест, считайте это тревожным сигналом
IP-адреса являются отличным примером IoCs, поскольку они предоставляют полезные доказательства для отслеживания географического происхождения атаки
Действия пользователя с высокими привилегиями
Привилегированные учетные записи имеют самый высокий уровень доступа в силу характера своей роли. Субъекты угроз всегда стремятся использовать эти учетные записи для получения постоянного доступа к системе. Поэтому любые необычные изменения в структуре использования учетных записей пользователей с высокими привилегиями следует отслеживать с осторожностью
Если привилегированный пользователь использует свою учетную запись в аномальном месте и в аномальное время, то это, безусловно, является признаком компрометации. Хорошей практикой безопасности всегда является применение принципа наименьшей привилегии при настройке учетных записей
Читать далее: Что такое принцип наименьших привилегий и как он может предотвратить кибератаки?
Увеличение количества чтений баз данных
Базы данных всегда являются главной мишенью для субъектов угроз, поскольку большинство персональных и организационных данных хранятся в формате баз данных
Если вы видите увеличение объема чтения базы данных, следите за этим, так как это может быть попытка злоумышленника проникнуть в вашу сеть
Высокий уровень попыток аутентификации
Большое количество попыток аутентификации, особенно неудачных, всегда должно настораживать. Если вы видите большое количество попыток входа в систему с существующей учетной записи или неудачных попыток с несуществующей учетной записи, то, скорее всего, речь идет о готовящемся компромиссе
Необычные изменения конфигурации
Если вы подозреваете большое количество изменений конфигурации ваших файлов, серверов или устройств, есть шанс, что кто-то пытается проникнуть в вашу сеть
Изменения конфигурации не только обеспечивают второй черный ход в вашу сеть для субъектов угроз, но и подвергают систему атакам вредоносного ПО
Признаки DDoS-атак
Распределенный отказ в обслуживании или DDoS-атака проводится в основном для того, чтобы нарушить нормальный поток трафика в сети, бомбардируя ее потоком интернет-трафика
Поэтому неудивительно, что частые DDoS-атаки осуществляются ботнетами для отвлечения внимания от вторичных атак и должны рассматриваться как IoC
Читать далее: Новые типы DDoS-атак и их влияние на вашу безопасность
Паттерны веб-трафика с нечеловеческим поведением
Любой веб-трафик, который не похож на нормальное поведение человека, всегда должен отслеживаться и изучаться
Инструменты, помогающие отслеживать индикаторы компрометации
Обнаружение и мониторинг IoC может быть достигнуто с помощью охоты за угрозами. Агрегаторы журналов могут использоваться для мониторинга журналов на предмет несоответствий, и если они предупреждают об аномалии, то вы должны рассматривать ее как IoC
После анализа IoC его всегда следует добавить в блок-лист, чтобы предотвратить будущие заражения от таких факторов, как IP-адреса, хэши безопасности или доменные имена
Следующие пять инструментов могут помочь в выявлении и мониторинге IoCs. Обратите внимание, что большинство из этих инструментов поставляются как в версиях для сообщества, так и в виде платных подписок
- CrowdStrike.
CrowdStrike – это компания, которая предотвращает нарушения безопасности, предоставляя первоклассные облачные варианты защиты конечных точек
Компания предлагает платформу Falcon Query API с функцией импорта, которая позволяет получать, загружать, обновлять, искать и удалять пользовательские индикаторы компрометации (IOCs), которые вы хотите, чтобы CrowdStrike отслеживал
2. Sumo Logic
Sumo Logic – это организация, занимающаяся анализом данных на основе облачных технологий и специализирующаяся на операциях безопасности. Компания предлагает услуги по управлению журналами, которые используют генерируемые машиной большие данные для анализа в режиме реального времени
Используя платформу Sumo Logic, компании и частные лица могут применять конфигурации безопасности для многооблачных и гибридных сред и быстро реагировать на угрозы путем обнаружения IoCs
3. Akamai Bot Manager
Боты хороши для автоматизации определенных задач, но они также могут использоваться для захвата аккаунтов, угроз безопасности и DDoS-атак
Akamai Technologies, Inc.это глобальная сеть доставки контента, которая также предлагает инструмент, известный как Bot Manager, который обеспечивает расширенное обнаружение ботов для поиска и предотвращения самых сложных атак ботов
Обеспечивая детальную видимость бот-трафика, входящего в вашу сеть, Bot Manager помогает вам лучше понять и отследить, кто входит или выходит из вашей сети
4. Proofpoint
Proofpoint – компания, занимающаяся корпоративной безопасностью, которая обеспечивает защиту от целевых атак наряду с надежной системой реагирования на угрозы
Их креативная система реагирования на угрозы обеспечивает автоматическую проверку IoC путем сбора криминалистических данных конечных точек из целевых систем, что упрощает обнаружение и устранение компрометации
Защита данных путем анализа ландшафта угроз
Большинство нарушений безопасности и краж данных оставляют за собой следы в виде хлебных крошек, и именно мы должны играть в детективов безопасности и находить подсказки
К счастью, внимательно анализируя наш ландшафт угроз, мы можем отслеживать и составлять список индикаторов компрометации для предотвращения всех типов текущих и будущих киберугроз
Комментировать