ما مؤشرات الاختراق؟
تعرّف على طريقة مراقبة مؤشرات الاختراق وتحديدها واستخدامها والاستجابة لها.
مؤشرات الاختراق الموضحة
مؤشر الاختراق (IOC) دليل على احتمال انتهاك شخص ما لشبكة مؤسسة أو نقطة نهاية تابعة لها. لا تبين بيانات تحليل الدلالات هذه وجود تهديد محتمل فحسب، بل تشير إلى حدوث هجوم بالفعل، مثل البرامج الضارة أو بيانات الاعتماد المخترقة أو سرقة البيانات. يبحث متخصصو الأمان عن مؤشرات الاختراق في سجلات الأحداث وحلول الكشف والاستجابة الموسعة (XDR) وحلول معلومات الأمان وإدارة الأحداث (SIEM). خلال هجوم ما، يستخدم الفريق مؤشرات الاختراق (IOC) للقضاء على التهديد الحد من الضرر. بعد الإصلاح، تساعد مؤشرات الاختراق المؤسسة على فهم ما حدث بشكل أفضل حتى يتمكن فريق الأمان التابع للمؤسسة من تعزيز الأمان وتقليل مخاطر وقوع حادث مماثل آخر.
أمثلة مؤشرات الاختراق
باستخدام أمان مؤشر الاختراق، يراقب قسم تكنولوجيا المعلومات البيئة بحثاً عن الأدلة التالية التي تشير إلى حدوث هجوم:
الحالات غير المألوفة لاستخدام الشبكة
توجد في معظم المؤسسات أنماط متسقة لاستخدام الشبكة داخل البيئة الرقمية وخارجها. عندما يتغير ذلك، على سبيل المثال، إذا كان هناك المزيد من البيانات التي تغادر المؤسسة أو إذا كان هناك نشاط قادم من موقع غير عادي في الشبكة، فقد يشكل ذلك علامة على وقوع هجوم.
محاولات تسجيل الدخول غير المعتادة
كما هو الحال مع استخدام الشبكة، يمكن التنبؤ بعادات عمل الأشخاص. لأنهم يسجلون الدخول في العادة من المواقع نفسها وفي الأوقات نفسها تقريباً خلال الأسبوع. يمكن لمتخصصي الأمن اكتشاف حساب مُخترق من خلال الانتباه إلى عمليات تسجيل الدخول في أوقات غريبة من اليوم أو من مناطق جغرافية غير معتادة مثل بلد لا يوجد به مكتب لمؤسسة ما. من المهم أيضاً الانتباه إلى عمليات تسجيل الدخول المتعددة الفاشلة من الحساب نفسه. على الرغم من أن الأشخاص ينسون كلمات المرور الخاصة بهم بشكل دوري أو يواجهون مشكلة في تسجيل الدخول، يتمكنون عادةً من حل المشكلة بعد عدة محاولات. قد تشير محاولات تسجيل الدخول الفاشلة المتكررة إلى أن شخصاً ما يحاول الوصول إلى المؤسسة باستخدام حساب مسروق.
اختلالات حساب الامتياز
يهتم العديد من المهاجمين، سواء كانوا من الداخل أو الخارج، بالوصول إلى الحسابات الإدارية والحصول على البيانات الحساسة. قد يكون السلوك غير المعتاد المرتبط بهذه الحسابات، مثل محاولة شخص ما رفع امتيازاته، علامة على حدوث اختراق.
التغييرات بتكوينات الأنظمة
غالباً ما تخضع البرامج الضارة لبرمجة مُعدة لإجراء التغييرات على تكوينات الأنظمة، مثل تمكين الوصول عن بعد أو تعطيل برامج الأمان. من خلال مراقبة هذه التغييرات غير المتوقعة في التكوين، يمكن لمتخصصي الأمان تحديد الاختراق قبل تسببه بالكثير من الضرر.
عمليات تثبيت غير متوقعة للبرامج أو تحديثات لها
تبدأ العديد من الهجمات بتثبيت برامج، مثل البرامج الضارة أو برامج الفدية الضارة المصممة لجعل الملفات غير قابلة للوصول أو لمنح المهاجمين إمكانية الوصول إلى الشبكة. من خلال مراقبة عمليات تثبيت البرامج وتحديثاتها غير المخطط لها، يمكن للمؤسسات ملاحظة مؤشرات الاختراق هذه بسرعة.
العديد من الطلبات للملف نفسه
قد تشير الطلبات المتعددة لملف واحد إلى أن مستخدماً سيئاً يحاول سرقته وقد جرب عدة طرق للوصول إليه.
طلبات أنظمة أسماء المجالات غير العادية
يستعمل بعض المستخدمين السيئين طريقة هجوم تُدعى القيادة والتحكم. حيث يثبتون برامج ضارة على خادم المؤسسة التي ينشئ اتصالاً بالخادم الذي يمتلكونه. ثم يرسلون بعد ذلك أوامر من الخادم الخاص بهم إلى الجهاز المصاب لمحاولة سرقة البيانات أو تعطيل العمليات. تساعد الطلبات غير العادية لأنظمة أسماء المجالات (DNS) قسم تكنولوجيا المعلومات على اكتشاف هذه الهجمات.
سبب أهمية مؤشرات الاختراق
مراقبة مؤشرات الاختراق أمر بالغ الأهمية لتقليل المخاطر الأمنية للمؤسسة. يعاون الاكتشاف المبكر لمؤشرات الاختراق فرق الأمان على الاستجابة للهجمات وحلها بسرعة، ما يقلل من مقدار وقت التوقف عن العمل والتعطيل. كما تمنح المراقبة المنتظمة الفرق نتائج تحليلات أكبر حول نقاط الضعف التنظيمية والتي يمكن بعد ذلك الحد منها.
الاستجابة لمؤشرات الاختراق
بمجرد أن تحدد فرق الأمن مؤشر اختراق، فإنها تحتاج إلى الاستجابة بفعالية لضمان أقل قدر ممكن من الضرر للمؤسسة. تساعد الخطوات التالية المؤسسات على الاستمرار في التركيز وإيقاف التهديدات في أسرع وقت ممكن:
إرساء خطة للاستجابة للأحداث
إن الاستجابة لحادث ما أمر مرهق وحساس تجاه الوقت لأنه كلما طالت مدة بقاء المهاجمين غير مكتشفين، زادت احتمالية تحقيقهم لأهدافهم. تضع العديد من المؤسسات خطة للاستجابة للأحداث للمساعدة في توجيه الفرق خلال المراحل الحرجة للاستجابة. توضح الخطة طريقة إدراك المؤسسة للحادث والأدوار والمسؤوليات والخطوات اللازمة لحل الحادث والطريقة التي يجب على الفريق التواصل بها مع الموظفين وأصحاب المصلحة الخارجيين.
عزل الأنظمة والأجهزة المُخترقة
بمجرد أن تحدد المؤسسة التهديد، يعزل فريق الأمان التطبيقات أو الأنظمة التي تتعرض للهجوم عن بقية الشبكات بسرعة. يساعد هذا في منع المهاجمين من الوصول إلى أجزاء أخرى من الشركة.
إجراء تحليل الدلالات
يساعد تحليل الدلالات المؤسسات في الكشف عن جميع جوانب الاختراق، بما في ذلك المصدر ونوع الهجوم وأهداف المهاجم. يتم التحليل خلال الهجوم لفهم مدى الاختراق. بمجرد إصلاح تباعات هجوم المؤسسة، يساعد التحليل الإضافي الفريق على فهم نقاط الضعف المحتملة ونتائج التحليلات الأخرى.
الحد من الخطر
يزيل الفريق الجهة المهاجمة وأي برامج ضارة من الأنظمة والموارد المتضررة، ما قد يتضمن جعل الأنظمة غير متصلة بالإنترنت.
تنفيذ تحسينات الأمان والمعالجة
بمجرد إصلاح تبعات حادث المؤسسة، من المهم تقييم سبب وقوع الهجوم وما إذا كان هناك أي شيء يمكن للمؤسسة إجراءه لمنع هذا الهجوم. قد تكون هناك تحسينات بسيطة على العمليات والسياسات من شأنها أن تقلل من مخاطر وقوع هجوم مماثل في المستقبل أو قد يحدد الفريق حلولاً طويلة المدى لإضافتها إلى خريطة طريق الأمان.
حلول مؤشرات الاختراق
تترك معظم الخروقات الأمنية أثراً دلالياً في ملفات السجلات والأنظمة. يساعد تعلم تحديد مؤشرات الاختراق هذه ومراقبتها المؤسسات على عزل الجهات المهاجمة والقضاء عليها بسرعة. تلجأ العديد من الفرق إلى حلول إدارة معلومات الأمان والأحداث مثل Microsoft Sentinel وMicrosoft Defender XDR اللتان تستخدمان الذكاء الاصطناعي والأتمتة لتحديد مؤشرات الاختراق وربطها بأحداث أخرى. تتيح خطة الاستجابة للأحداث للفرق استباق الهجمات وإيقافها بسرعة. عندما يتعلق الأمر بالأمان عبر الإنترنت، كلما أسرعت الشركات في إدراك ما يحدث، زادت احتمالية إيقاف الهجوم قبل أن يكلفها المال أو يضر بسمعتها. الأمان عبر مؤشر الاختراق أساسي لمساعدة المؤسسات في الحد من مخاطر التعرض لانتهاكات مكلفة.
تعرّف على المزيد حول الأمان من Microsoft
الحماية من المخاطر مع Microsoft
حدد الحوادث واستجب لها عبر مؤسستك باستخدام أحدث تقنيات الحماية من التهديدات.
Microsoft Sentinel
اكتشف التهديدات المعقدة واستجب لها بشكل حاسم من خلال حل إدارة معلومات الأمان والأحداث القوي القائم على السحابة.
Microsoft Defender XDR
أوقف الهجمات عبر نقاط النهاية والبريد الإلكتروني والهويات والتطبيقات والبيانات باستخدام حلول الكشف والاستجابة الموسعة.
مجتمع التحليل الذكي للمخاطر
احصل على آخر التحديثات من إصدار مجتمع التحليل الذكي للمخاطر في Microsoft Defender.
الأسئلة المتداولة
-
بوجد أنواع عديدة من مؤشرات الاختراق. بعض من أكثرها شيوعاً ما يلي:
- الحالات غير المألوفة لاستخدام الشبكة
- محاولات تسجيل الدخول غير المعتادة
- اختلالات حساب الامتياز
- التغييرات بتكوينات الأنظمة
- عمليات تثبيت غير متوقعة للبرامج أو تحديثات لها
- العديد من الطلبات للملف نفسه
- طلبات أنظمة أسماء المجالات غير العادية
-
مؤشر الاختراق هو الدليل الرقمي على حدوث هجوم بالفعل. مؤشر الهجوم هو دليل على احتمال حدوث هجوم. على سبيل المثال، حملة التصيد الاحتيالي مؤشر على الهجوم لأنه لا يوجد دليل على أن المهاجم قد اخترق الشركة. مع ذلك، إذا نقر شخص ما فوق ارتباط التصيد الاحتيالي وعمل على تنزيل برامج ضارة، فإن تثبيت البرامج الضارة يمثل مؤشراً على الاختراق.
-
تتضمن مؤشرات الاختراق في البريد الإلكتروني تدفقاً مفاجئاً من البريد العشوائي أو مرفقات أو ارتباطات غريبة أو بريداً إلكترونياً غير متوقعاً من شخص معروف. على سبيل المثال، إذا أرسل أحد الموظفين إلى زميله في العمل رسالة بريد إلكتروني تحتوي على مرفق غريب، فقد يشير ذلك إلى أن حسابه تعرض لاختراق.
-
هناك طرق متعددة لتحديد النظام المخترق. قد يكون التغيير في استخدام الشبكة من جهاز كمبيوتر معين مؤشراً على تعرضه للاختراق. إذا بدأ شخص لا يحتاج عادةً إلى نظام في الوصول إليه بانتظام، فهذه علامة تحذير. قد تشير أيضاً التغييرات في التكوينات على النظام أو التثبيت غير المتوقع للبرنامج إلى تعرضه للاختراق.
-
الأمثلة الثلاثة عن مؤشرات الاختراق هي ما يلي:
- يبدأ حساب مستخدم في أمريكا الشمالية في تسجيل الدخول إلى موارد شركة من أوروبا.
- الآلاف من طلبات الوصول عبر العديد من حسابات المستخدمين، ما يشير إلى أن المؤسسة ضحية لهجوم بقوة غاشمة.
- طلبات أنظمة أسماء مجالات جديدة تأتي من مضيف جديد أو بلد لا يقيم فيه الموظفون والعملاء.
متابعة Microsoft