Mitä vaarantumisindikaattorit (IOC:t) ovat?
Opi valvomaan, tunnistamaan ja käyttämään vaarantumisindikaattoreita sekä vastaamaan niihin.
Vaarantumisindikaattorit selitettyinä
Vaarantumisindikaattori eli IOC on todiste siitä, että joku on saattanut murtautua organisaation verkkoon tai päätepisteeseen. Nämä tutkimustiedot eivät ainoastaan ilmaise mahdollista uhkaa, vaan ne osoittavat, että hyökkäys, kuten haittaohjelma, vaarantuneet tunnistetiedot tai tietojen luvaton siirto, on jo tapahtunut. Suojausammattilaiset etsivät IOC-kohteita tapahtumalokeista, laajennetun havaitsemisen ja reagoinnin (XDR) ratkaisuista sekä suojaustietojen ja tapahtumien hallinnan (SIEM) ratkaisuista. Hyökkäyksen aikana tiimi käyttää IOC-kohteita uhkan poistamiseen ja vahinkojen lieventämiseen. Palautuksen jälkeen IOC:t auttavat organisaatiota ymmärtämään tapahtuneen paremmin, jotta organisaation suojaustiimi voi vahvistaa suojausta ja vähentää toisen samankaltaisen tapauksen riskiä.
IOC-esimerkit
IOC-suojauksessa IT valvoo ympäristöä seuraavien vihjeiden varalta siitä, että hyökkäys on käynnissä:
Verkkoliikenteen poikkeamat
Useimmissa organisaatioissa on yhdenmukaisia malleja verkkoliikenteelle, joka kulkee digitaalisessa ympäristössä sisään ja ulos. Kun tämä muuttuu, esimerkiksi jos organisaatiosta poistuu huomattava määrä tietoja tai jos verkossa on toimintaa epätavallisesta sijainnista, se voi olla merkki hyökkäyksestä.
Epätavalliset kirjautumisyritykset
Verkkoliikenteen tavoin ihmisten työtavat ovat ennakoitavissa. He yleensä kirjautuvat sisään samoista sijainneista suunnilleen samoihin aikoihin viikon aikana. Suojausammattilaiset voivat havaita vaarantuneen tilin kiinnittämällä huomiota kirjautumisiin outoina vuorokaudenaikoina tai epätavallisista maantieteellisistä sijainneista, kuten maasta, jossa organisaatiolla ei ole toimistoa. On myös tärkeää huomioida useat epäonnistuneet kirjautumiset samalta tililtä. Vaikka käyttäjät usein unohtavat salasanojaan tai heillä on ongelmia sisäänkirjautumisessa, he yleensä pystyvät ratkaisemaan asian muutaman yrityksen jälkeen. Toistuvat epäonnistuneet kirjautumisyritykset saattavat ilmaista, että joku yrittää päästä organisaatioon varastetun tilin avulla.
Oikeutetun tilin epätavallinen käyttö
Monet hyökkääjät, olivatpa he sitten sisä- tai ulkopuolisia, ovat kiinnostuneita järjestelmänvalvojatilien käytöstä ja arkaluonteisten tietojen hankinnasta. Näihin tileihin liittyvä epätavallinen toiminta, kuten henkilön yritys nostaa omia oikeuksiaan, voi olla merkki rikkomuksesta.
Järjestelmämääritysten muutokset
Haittaohjelmat on usein ohjelmoitu tekemään muutoksia järjestelmämäärityksiin, kuten sallimaan etäkäyttö tai poistamaan suojausohjelmisto käytöstä. Valvomalla näitä odottamattomia määritysmuutoksia suojausammattilaiset voivat tunnistaa rikkomuksen, ennen kuin liikaa vahinkoa ehtii tapahtua.
Odottamattomat ohjelmistoasennukset tai -päivitykset
Monet hyökkäykset alkavat sellaisten ohjelmistojen, kuten haittaohjelmien tai kiristysohjelmien, asentamisella, joiden tarkoituksena on tehdä tiedostoista käyttökelvottomia tai antaa hyökkääjille verkon käyttöoikeus. Valvomalla suunnittelemattomia ohjelmistoasennuksia ja -päivityksiä organisaatiot huomaavat nämä IOC:t nopeasti.
Useita saman tiedoston pyyntöjä
Useat yksittäisen tiedoston pyynnöt saattavat ilmaista, että huonoaikeinen toimija yrittää varastaa sen ja on yrittänyt käyttää sitä useilla tavoilla.
Epätavalliset toimialueen nimijärjestelmän pyynnöt
Jotkut huonoaikeiset toimijat käyttävät hyökkäysmenetelmää nimeltä Komento ja hallinta. He asentavat organisaation palvelimeen haittaohjelman, joka luo yhteyden heidän omistamaansa palvelimeen. Tämän jälkeen he lähettävät komentoja palvelimeltaan tartunnan saaneeseen koneeseen, jotta he voivat varastaa tietoja tai häiritä toimintoja. Epätavalliset toimialueen nimijärjestelmän (DNS) pyynnöt auttavat IT-osastoa tunnistamaan nämä hyökkäykset.
Miksi IOC:t ovat tärkeitä
Vaarantumisindikaattoreiden valvonta on erittäin tärkeää organisaation suojausriskin pienentämiseksi. Varhaisen IOC-tunnistamisen avulla suojaustiimit voivat reagoida hyökkäyksiin ja ratkaista ne nopeasti, mikä vähentää käyttökatkojen ja häiriöiden määrää. Säännöllinen valvonta antaa tiimeille myös enemmän tietoa organisaation haavoittuvuuksista, joita voidaan sitten lieventää.
Vaarantumisindikaattoreihin vastaaminen
Kun suojaustiimit tunnistavat IOC:n, heidän on reagoitava tehokkaasti varmistaakseen mahdollisimman vähäisen vahingon organisaatiolle. Seuraavien vaiheiden avulla organisaatiot voivat keskittyä ja pysäyttää uhat mahdollisimman nopeasti:
Luo tapausten käsittelysuunnitelma
Tapaukseen vastaaminen on stressaavaa ja se tulee tehdä nopeasti, koska mitä kauemmin hyökkääjät pysyvät tunnistamattomina, sitä todennäköisemmin he saavuttavat tavoitteensa. Monet organisaatiot kehittävät tapausten käsittelyn suunnitelman, joka auttaa tiimejä reagoinnin kriittisissä vaiheissa. Suunnitelmassa selvennetään roolit ja vastuualueet, tapauksen ratkaisemiseen tarvittavat vaiheet sekä sen, miten organisaatio määrittää tapauksen ja miten tiimin tulisi viestiä työntekijöille ja ulkopuolisille sidosryhmille.
Eristä vaarantuneet järjestelmät ja laitteet
Kun organisaatio on tunnistanut uhan, suojaustiimi eristää nopeasti hyökkäyksen kohteena olevat sovellukset tai järjestelmät muista verkoista. Näin hyökkääjiä voidaan estää pääsemästä yrityksen muihin osiin.
Tee tutkimusanalyysi
Tutkimusanalyysin avulla organisaatiot voivat paljastaa kaikki tietomurron piirteet, mukaan lukien lähteen, hyökkäyksen tyypin ja hyökkääjän tavoitteet. Analyysi tehdään hyökkäyksen aikana, jotta voidaan ymmärtää vaarantumisen laajuus. Kun organisaatio on palautunut hyökkäyksestä, lisäanalyysi auttaa tiimiä ymmärtämään mahdollisia haavoittuvuuksia ja muita merkityksellisiä tietoja.
Poista uhka
Tiimi poistaa hyökkääjän ja mahdolliset haittaohjelmat asianomaisista järjestelmistä ja resursseista, mikä voi vaatia järjestelmien siirtämisen offline-tilaan.
Ota käyttöön suojaus- ja prosessiparannukset
Kun organisaatio on palautunut tapauksesta, on tärkeää arvioida, miksi hyökkäys tapahtui ja olisiko organisaatio voinut tehdä mitään sen estämiseksi. Saatavilla voi olla prosessi- ja käytäntöparannuksia, jotka vähentävät samankaltaisen hyökkäyksen riskiä tulevaisuudessa, tai tiimi voi löytää aiempaa kattavampia ratkaisuja lisättäväksi suojauksen toteutussuunnitelmaan.
IOC-ratkaisut
Useimmat tietoturvarikkomukset jättävät lokitiedostoihin ja -järjestelmiin tutkimustodisteiden polun. Oppimalla tunnistamaan ja valvomaan vaarantumisindikaattoreita organisaatiot voivat nopeasti eristää ja poistaa hyökkääjiä. Monet tiimit käyttävät SIEM-ratkaisuja, kuten Microsoft Sentineliä ja Microsoft Defender XDR:ää, jotka käyttävät tekoälyä ja automaatiota IOC:iden löytämiseen ja niiden korreloimiseen muiden tapahtumien kanssa. Tapausten käsittelysuunnitelman avulla tiimit voivat päästä hyökkäysten edelle ja pysäyttää ne nopeasti. Kyberturvallisuuden osalta mitä nopeammin yritykset ymmärtävät tapahtumat, sitä todennäköisemmin ne pystyvät pysäyttämään hyökkäyksen ennen kuin se aiheuttaa taloudellisia menetyksiä ja mainehaittaa. IOC-suojaus on avain, jonka avulla organisaatiot voivat vähentää kalliin tietoturvarikkomuksen riskiä.
Lue lisää Microsoft Securitysta
Microsoft threat protection
Tunnista tapaukset koko organisaatiossasi ja käsittele ne uhilta suojautumisen uusimmilla ominaisuuksilla.
Microsoft Sentinel
Paljasta kehittyneet uhat ja vastaa niihin päättäväisesti tehokkaalla pilvipohjaisella SIEM-ratkaisulla.
Microsoft Defender XDR
Pysäytä hyökkäykset päätepisteisiin, sähköpostiin, käyttäjätietoihin, sovelluksiin ja tietoihin XDR-ratkaisujen avulla.
Uhkatietämyksen yhteisö
Saa uusimmat päivitykset Microsoft Defender Threat Intelligence -yhteisöversiosta.
Usein kysytyt kysymykset
-
On olemassa useita IOC-tyyppejä. Yleisimpiä ovat seuraavat:
- Verkkoliikenteen poikkeamat
- Epätavalliset kirjautumisyritykset
- Oikeutetun tilin epätavallinen käyttö
- Järjestelmämääritysten muutokset
- Odottamattomat ohjelmistoasennukset tai -päivitykset
- Useita saman tiedoston pyyntöjä
- Epätavalliset toimialueen nimijärjestelmän pyynnöt
-
Vaarantumisindikaattori on digitaalinen todiste siitä, että hyökkäys on jo tapahtunut. Hyökkäysindikaattori on todiste siitä, että hyökkäys todennäköisesti tapahtuu. Esimerkiksi tietojenkalastelukampanja on hyökkäysindikaattori, koska ei ole todisteita siitä, että hyökkääjä olisi murtautunut yritykseen. Jos joku kuitenkin napsauttaa tietojenkalastelulinkkiä ja lataa haittaohjelman, haittaohjelman asentaminen on vaarantumisindikaattori.
-
Sähköpostin vaarantumisindikaattoreita ovat esimerkiksi roskapostin yhtäkkinen tulva, oudot liitteet tai linkit tai odottamaton sähköpostiviesti tunnetulta henkilöltä. Jos työntekijä esimerkiksi lähettää työtoverille oudon liitteen sisältävän sähköpostiviestin, se saattaa ilmaista, että hänen tilinsä on vaarantunut.
-
Vaarantunut järjestelmä voidaan tunnistaa monella tavalla. Tietyn tietokoneen verkkoliikenteen muutos voi olla merkki siitä, että siihen on murtauduttu. Jos henkilö, joka ei yleensä tarvitse järjestelmää, alkaa käyttää sitä säännöllisesti, kyseessä on varoittava merkki. Järjestelmän määritykseen tehdyt muutokset tai odottamaton ohjelmiston asennus saattavat myös ilmaista, että se on vaarantunut.
-
Kolme IOC-esimerkkiä ovat seuraavat:
- Pohjois-Amerikassa sijaitseva käyttäjätili alkaa kirjautua yritysresursseihin Euroopasta käsin.
- Tuhansia käyttöoikeuspyyntöjä useilta käyttäjätileiltä, mikä osoittaa, että organisaatio on väsytyshyökkäyksen kohteena.
- Uudet toimialueen nimijärjestelmäpyynnöt uudesta isännästä tai maasta, jossa työntekijät ja asiakkaat eivät asu.
Seuraa Microsoftia