Vo svete dátovej forenznej analýzy nie je pochopenie mechaniky kybernetického útoku nič iné ako vyriešenie záhady zločinu. Indikátormi kompromisu (IoC) sú indície, dôkazy, ktoré môžu pomôcť odhaliť komplexné porušenia údajov súčasnosti.
IoC sú najväčším prínosom pre odborníkov v oblasti kybernetickej bezpečnosti, keď sa snažia vyriešiť a demystifikovať sieťové útoky, škodlivé aktivity alebo narušenie malvéru. Prehľadávaním IoC možno včas rozpoznať porušenia údajov, ktoré pomôžu zmierniť útoky.
Prečo je dôležité sledovať ukazovatele kompromisu?
IoC hrajú neoddeliteľnú úlohu v analýze kybernetickej bezpečnosti. Nielen, že odhalia a potvrdia, že došlo k bezpečnostnému útoku, ale tiež zverejnia nástroje, ktoré sa na jeho vykonanie použili.
Sú tiež užitočné pri určovaní rozsahu škôd, ktoré kompromis spôsobil, a pomáhajú pri stanovovaní referenčných hodnôt, aby sa zabránilo budúcim kompromisom.
IoC sa zvyčajne zhromažďujú prostredníctvom bežných bezpečnostných riešení, ako sú anti-malware a anti-virus softvér, ale na zber týchto indikátorov počas reakcie na incident sa dajú použiť aj určité nástroje založené na umelej inteligencii úsilie.
Čítaj viac: Najlepší bezplatný softvér na zabezpečenie internetu pre Windows
Príklady ukazovateľov kompromisu
Detekciou nepravidelných vzorcov a aktivít môžu IoC pomôcť odhadnúť, či už dôjde k útoku, či už došlo alebo či čo je v pozadí útoku.
Tu je niekoľko príkladov MOV, ktoré by si mal každý jednotlivec a organizácia strážiť:
Zvláštne vzorce prichádzajúcej a odchádzajúcej prevádzky
Konečným cieľom väčšiny kybernetických útokov je zmocniť sa citlivých údajov a preniesť ich na iné miesto. Preto je nevyhnutné sledovať neobvyklé vzorce prenosu, najmä tie, ktoré opúšťajú vašu sieť.
Zároveň by sa mali sledovať aj zmeny v prichádzajúcej doprave, pretože sú dobrým indikátorom prebiehajúceho útoku. Najefektívnejším prístupom je dôsledné sledovanie anomálií v prichádzajúcej aj odchádzajúcej prevádzke.
Geografické nezrovnalosti
Ak podnikáte alebo pracujete pre spoločnosť obmedzenú na určité geografické miesto, ale náhle sa vám zobrazujú prihlasovacie vzory pochádzajúce z neznámych miest, potom to považujte za červený príznak.
IP adresy sú skvelým príkladom IoC, pretože poskytujú užitočné dôkazy na vysledovanie geografického pôvodu útoku.
Vysoké užívateľské aktivity
Privilegované účty majú najvyššiu úroveň prístupu vzhľadom na povahu ich rolí. Aktéri hrozieb vždy radi idú po týchto účtoch, aby získali stabilný prístup do systému. Preto by akékoľvek neobvyklé zmeny vo vzorci používania používateľských účtov s vysokými oprávneniami mali byť sledované s rezervou.
Ak privilegovaný používateľ používa svoj účet z anomálneho miesta a času, potom je to určite indikátor kompromisu. Pri vytváraní účtov je vždy dobrým bezpečnostným postupom uplatniť zásadu najmenšieho oprávnenia.
Čítaj viac: Aký je princíp najmenej privilegovaných osôb a ako môže zabrániť kybernetickým útokom?
Prírastok v čítaní databázy
Databázy sú vždy hlavným cieľom aktérov ohrozenia, pretože väčšina osobných a organizačných údajov je uložená vo formáte databázy.
Ak uvidíte nárast objemu čítania z databázy, sledujte to, pretože by to mohol byť útočník, ktorý sa pokúša napadnúť vašu sieť.
Vysoká miera pokusov o autentifikáciu
Vysoký počet pokusov o autentifikáciu, najmä neúspešných, by mal vždy zdvihnúť obočie. Ak vidíte veľké množstvo pokusov o prihlásenie z existujúceho účtu alebo neúspešných pokusov z účtu, ktorý neexistuje, je to pravdepodobne kompromis.
Nezvyčajné zmeny konfigurácie
Ak máte podozrenie na vysoký počet zmien konfigurácie vašich súborov, serverov alebo zariadení, je pravdepodobné, že sa niekto snaží preniknúť do vašej siete.
Zmeny konfigurácie poskytujú nielen druhý backdoor aktérom hrozieb vo vašej sieti, ale tiež vystavujú systém útokom škodlivého softvéru.
Známky útokov DDoS
Útok typu Distribuované odmietnutie služby alebo DDoS sa vykonáva hlavne s cieľom narušiť bežný prevádzkový tok siete bombardovaním záplavou internetovej prevádzky.
Preto sa niet čomu čudovať, že časté útoky DDoS sú vykonávané botnetmi, aby odvrátili pozornosť od sekundárnych útokov, a mali by sa považovať za IoC.
Čítaj viac: Nové typy útokov DDoS a ako ovplyvňujú vašu bezpečnosť
Vzory webového prenosu s neľudským správaním
Akákoľvek webová prevádzka, ktorá sa nejaví ako bežné ľudské správanie, by mala byť vždy sledovaná a vyšetrovaná.
Objavovanie a monitorovanie IoC možno dosiahnuť lovom na hrozby. Pomocou agregátorov protokolov môžete monitorovať nezrovnalosti v protokoloch a akonáhle upozornia na anomáliu, mali by ste s nimi zaobchádzať ako s IoC.
Po analýze IoC by sa malo vždy pridať do zoznamu blokovaných položiek, aby sa zabránilo budúcim infekciám pred faktormi, ako sú adresy IP, hodnoty hash alebo názvy domén.
Nasledujúcich päť nástrojov môže pomôcť pri identifikácii a monitorovaní IoC. Upozorňujeme, že väčšina z týchto nástrojov má komunitné verzie a platené predplatné.
- CrowdStrike
CrowdStrike je spoločnosť, ktorá predchádza narušeniu bezpečnosti poskytovaním špičkových cloudových riešení zabezpečenia koncových bodov.
Ponúka platformu Falcon Query API s funkciou importu, ktorá vám umožňuje načítať, nahrávať, aktualizovať, vyhľadávať a mazať vlastné indikátory kompromisu (IOC), ktoré chcete sledovať pomocou aplikácie CrowdStrike.
2. Sumo Logic
Sumo Logic je cloudová organizácia pre analýzu údajov, ktorá sa zameriava na bezpečnostné operácie. Spoločnosť ponúka služby správy protokolov, ktoré využívajú strojovo generované veľké dáta na vykonávanie analýz v reálnom čase.
Pomocou platformy Sumo Logic môžu podniky a jednotlivci vynucovať konfigurácie zabezpečenia pre multi-cloudové a hybridné prostredia a rýchlo reagovať na hrozby detekciou IoC.
3. Manažér Akamai Bot
Roboty sú dobré na automatizáciu určitých úloh, ale dajú sa použiť aj na prevzatie účtu, bezpečnostné hrozby a útoky DDoS.
Akamai Technologies, Inc. je globálna sieť na doručovanie obsahu, ktorá ponúka aj nástroj známy ako Bot Manager, ktorý poskytuje pokročilú detekciu robotov s cieľom nájsť a zabrániť najsofistikovanejším útokom robotov.
Poskytnutím podrobného prehľadu o prevádzke robotov vstupujúcich do vašej siete vám Bot Manager pomáha lepšie pochopiť a sledovať, kto vstupuje do vašej siete alebo z nej odchádza.
4. Dôkaz
Proofpoint je podniková bezpečnostná spoločnosť, ktorá poskytuje ochranu proti cieľovým útokom spolu s robustným systémom reakcie na hrozby.
Ich kreatívny systém reakcie na hrozby poskytuje automatické overenie IoC zhromažďovaním forenzných údajov koncových bodov z cieľových systémov, čo umožňuje ľahkú detekciu a opravu kompromisov.
Chráňte údaje analýzou svojej hrozby
Väčšina narušení bezpečnosti a krádeží dát zanecháva po sebe stopy po strúhanke a je len na nás, či sa zahráme na bezpečnostných detektívov a zachytíme stopy.
Našťastie pri podrobnej analýze nášho prostredia hrozieb môžeme sledovať a zostavovať zoznam ukazovateľov kompromisu, aby sme zabránili všetkým typom súčasných aj budúcich kybernetických hrozieb.
Potrebujete vedieť, kedy je vaša firma pod kybernetickým útokom? Potrebujete systém detekcie a prevencie narušenia.
Prečítajte si Ďalej
- Bezpečnosť
- Online bezpečnosť
- Porušenie bezpečnosti
- DDoS
Kinza je technologická nadšenkyňa, technická spisovateľka a samozvaná geekka, ktorá žije v severnej Virgínii so svojím manželom a dvoma deťmi. S titulom BS v počítačových sieťach a početnými certifikáciami IT pracovala v telekomunikačnom priemysle predtým, ako sa pustila do technického písania. Vďaka medzerám v oblasti kybernetickej bezpečnosti a cloudových témach rada pomáha klientom plniť ich rôzne technické požiadavky na písanie po celom svete. Vo svojom voľnom čase rada číta beletriu, technologické blogy, venuje sa tvorbe vtipných detských príbehov a vareniu pre svoju rodinu.
Prihlásiť sa ku odberu noviniek
Pripojte sa k nášmu bulletinu s technickými tipmi, recenziami, bezplatnými elektronickými knihami a exkluzívnymi ponukami!
Ešte jeden krok…!
V e-maile, ktorý sme vám práve poslali, potvrďte svoju e-mailovú adresu.
