I en verden av data rettsmedisin er det ikke mindre å forstå mekanikken bak et cyberangrep enn å løse et kriminelt mysterium. Indikatorer på kompromiss (IoCs) er de ledetrådene, bevis som kan bidra til å avdekke de komplekse datainnbruddene i dag.
IoCs er den største ressursen for cybersikkerhetseksperter når de prøver å løse og de-mystifisere nettverksangrep, ondsinnede aktiviteter eller brudd på skadelig programvare. Ved å søke gjennom IoC kan datainnbrudd identifiseres tidlig for å bidra til å redusere angrep.
Hvorfor er det viktig å overvåke indikatorene for kompromiss?
IoCs spiller en integrert rolle i cybersikkerhetsanalyse. Ikke bare avslører og bekrefter de at et sikkerhetsangrep har skjedd, men de avslører også verktøyene som ble brukt til å utføre angrepet.
De er også nyttige for å bestemme omfanget av skaden som et kompromiss har forårsaket, og hjelpe til med å sette opp referanser for å forhindre fremtidige kompromisser.
IoC-ene samles vanligvis gjennom normale sikkerhetsløsninger som anti-malware og antivirus programvare, men visse AI-baserte verktøy kan også brukes til å samle disse indikatorene under respons på hendelsen anstrengelser.
Les mer: Den beste gratis programvaren for Internett-sikkerhet for Windows
Eksempler på indikatorer for kompromiss
Ved å oppdage uregelmessige mønstre og aktiviteter kan IoCs hjelpe til med å måle om et angrep er i ferd med å skje, allerede har skjedd, og faktorene bak angrepet.
Her er noen eksempler på IOC-er som hver enkelt person og organisasjon bør holde en fane på:
Odd mønstre av innkommende og utgående trafikk
Det endelige målet for de fleste cyberangrep er å få tak i sensitive data og overføre dem til et annet sted. Derfor er det viktig å overvåke uvanlige trafikkmønstre, spesielt de som forlater nettverket ditt.
Samtidig bør endringer i innkommende trafikk også observeres, da de er gode indikatorer på et pågående angrep. Den mest effektive tilnærmingen er å konsekvent overvåke både innkommende og utgående trafikk for avvik.
Geografiske avvik
Hvis du driver en virksomhet eller jobber for et selskap som er begrenset til en bestemt geografisk beliggenhet, men plutselig ser påloggingsmønstre som kommer fra ukjente steder, så betrakt det som et rødt flagg.
IP-adresser er gode eksempler på IoC, da de gir nyttige bevis for å spore den geografiske opprinnelsen til et angrep.
Brukeraktiviteter med høyt privilegium
Privilegerte kontoer har det høyeste tilgangsnivået på grunn av rollenes karakter. Trusselaktører liker alltid å følge disse kontoene for å få jevn tilgang til et system. Derfor bør eventuelle uvanlige endringer i bruksmønsteret til brukerkontoer med høyt privilegium overvåkes med et saltkorn.
Hvis en privilegert bruker bruker kontoen sin fra et unormalt sted og tid, er det absolutt en indikator på kompromiss. Det er alltid en god sikkerhetspraksis å bruke prinsippet om minst privilegium når du oppretter kontoer.
Les mer: Hva er prinsippet om minst privilegium, og hvordan kan det forhindre nettangrep?
En økning i databaselesninger
Databaser er alltid et hovedmål for trusselaktører, da de fleste personlige og organisatoriske data lagres i et databaseformat.
Hvis du ser en økning i databaselesevolumet, så hold øye med det, da det kan være en angriper som prøver å invadere nettverket ditt.
En høy autentiseringsfrekvens
Et høyt antall godkjenningsforsøk, spesielt mislykkede, bør alltid løfte et øyenbryn. Hvis du ser et stort antall påloggingsforsøk fra en eksisterende konto eller mislykkede forsøk fra en konto som ikke eksisterer, er det mest sannsynlig et kompromiss under opprettelsen.
Uvanlige konfigurasjonsendringer
Hvis du mistenker at det er mange konfigurasjonsendringer på filene, serverne eller enhetene dine, er det sjansen for at noen prøver å infiltrere nettverket ditt.
Konfigurasjonsendringer gir ikke bare en annen bakdør til trusselaktørene i nettverket ditt, men de utsetter også systemet for angrep på skadelig programvare.
Tegn på DDoS-angrep
Et Distribuert Denial of Service eller DDoS-angrep utføres hovedsakelig for å forstyrre den normale trafikkflyten til et nettverk ved å bombardere det med en flom av internettrafikk.
Derfor er det ikke rart at hyppige DDoS-angrep utføres av botnett for å distrahere fra sekundære angrep og bør betraktes som en IoC.
Les mer: Nye DDoS-angrepstyper og hvordan de påvirker sikkerheten din
Webtrafikkmønstre med umenneskelig oppførsel
Enhver nettrafikk som ikke virker som normal menneskelig oppførsel, bør alltid overvåkes og undersøkes.
Å oppdage og overvåke IoC kan oppnås ved trusseljakt. Loggaggregatorer kan brukes til å overvåke loggene dine for avvik, og når de varsler om en avvik, bør du behandle dem som en IoC.
Etter å ha analysert en IoC, bør den alltid legges til i en blokkeringsliste for å forhindre fremtidige infeksjoner fra faktorer som IP-adresser, sikkerhetshash eller domenenavn.
Følgende fem verktøy kan hjelpe deg med å identifisere og overvåke IoC-ene. Vær oppmerksom på at de fleste av disse verktøyene kommer med fellesskapsversjoner samt betalte abonnementer.
- CrowdStrike
CrowdStrike er et selskap som forhindrer sikkerhetsbrudd ved å tilby topp skyline-baserte sikkerhetsalternativer for endepunkter.
Den tilbyr en Falcon Query API-plattform med en importfunksjon som lar deg hente, laste opp, oppdatere, søke og slette egendefinerte indikatorer for kompromiss (IOC) som du vil at CrowdStrike skal se på.
2. Sumo Logic
Sumo Logic er en skybasert dataanalyseorganisasjon som fokuserer på sikkerhetsoperasjoner. Selskapet tilbyr loggstyringstjenester som bruker maskingenerert stordata for å levere sanntidsanalyse.
Ved å bruke Sumo Logic-plattformen kan bedrifter og enkeltpersoner håndheve sikkerhetskonfigurasjoner for multi-cloud- og hybridmiljøer og raskt svare på trusler ved å oppdage IoC.
3. Akamai Bot Manager
Bots er bra for automatisering av visse oppgaver, men de kan også brukes til kontoovertakelser, sikkerhetstrusler og DDoS-angrep.
Akamai Technologies, Inc. er et globalt innholdsleveringsnettverk, som også tilbyr et verktøy kjent som Bot Manager som gir avansert botdeteksjon for å finne og forhindre de mest sofistikerte botangrepene.
Ved å gi detaljert synlighet i bot-trafikken som kommer inn i nettverket ditt, hjelper Bot Manager deg med å bedre forstå og spore hvem som kommer inn eller ut av nettverket ditt.
4. Bevispunkt
Proofpoint er et bedriftssikkerhetsselskap som tilbyr målangrepsbeskyttelse sammen med et robust trusselresponssystem.
Deres kreative trusselsrespons-system gir automatisk IoC-verifisering ved å samle endepunktsmedisin fra målrettede systemer, noe som gjør det enkelt å oppdage og fikse kompromisser.
Beskytt data ved å analysere trussellandskapet ditt
De fleste sikkerhetsbrudd og datatyverier etterlater spor etter brødsmuler, og det er opp til oss å spille sikkerhetsdetektiver og hente ledetråder.
Heldigvis, ved å analysere vårt trussellandskap nøye, kan vi overvåke og lage en liste over indikatorer for kompromiss for å forhindre alle typer nåværende og fremtidige cybertrusler.
Trenger du å vite når virksomheten din er under nettangrep? Du trenger et system for påvisning og forebygging av inntrenging.
Les Neste
- Sikkerhet
- Online sikkerhet
- Sikkerhetsbrudd
- DDoS
Kinza er en teknologientusiast, teknisk forfatter og selvutnevnt nerd som bor i Nord-Virginia sammen med sin mann og to barn. Med en BS i datanettverk og mange IT-sertifiseringer under beltet jobbet hun i telekommunikasjonsindustrien før hun begikk seg på teknisk skriving. Med en nisje innen cybersikkerhet og skybaserte emner, liker hun å hjelpe kunder med å oppfylle deres forskjellige tekniske skrivekrav over hele verden. På fritiden liker hun å lese skjønnlitteratur, teknologiblogger, lage vittige barnehistorier og lage mat til familien.
Abonner på vårt nyhetsbrev
Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!
Ett steg til…!
Bekreft e-postadressen din i e-posten vi nettopp sendte deg.
