Trace Id is missing
Preskoči na glavni sadržaj
Microsoft Security

Što su pokazatelji ugroženosti (IOC-i)?

Saznajte kako nadzirati, prepoznati i koristiti pokazatelje kompromitiranja te reagirati na njih.

Otkrijte Obavještavanje o prijetnjama za Microsoft Defender

Objašnjeni pokazatelji ugroženosti

Pokazatelji ugroženosti (IOC) dokaz je da je netko pristupio mreži tvrtke ili ustanove ili krajnjoj točki. Ti forenzički podaci ne upućuju samo na potencijalnu prijetnju, već i na to da je već došlo do napada, kao što je zlonamjerni softver, kompromitirane vjerodajnice ili izvlačenje podataka. Sigurnosni profesionalci pretražuju IOC-ove na zapisnicima događaja, rješenjima proširenog otkrivanja i odgovora (XDR) i rješenjima sigurnosnih informacija i upravljanjem događajima (SIEM). Tijekom napada, tim koristi IOC-ove za uklanjanje prijetnje i ublažavanje štete. Nakon oporavka, IOC-ovi tvrtki ili ustanovi pomažu da bolje razumije što se dogodilo, tako da sigurnosni tim tvrtke ili ustanove može ojačati sigurnost i smanjiti rizik od drugog sličnog incidenta. 

Primjeri IOC-ova

U IOC sigurnosti, IT nadzire okruženje za sljedeće naznake da je napad u tijeku:

Anomalije mrežnog prometa

U većini tvrtki ili ustanova postoje dosljedni uzorci za mrežni promet koji prelazi u digitalno okruženje i izlazi iz njega. Kada se to promijeni, primjerice ako tvrtku ili ustanovu napušta znatno više podataka ili ako postoji aktivnost koja dolazi s neuobičajenog mjesta u mreži, to može biti znak napada.

Neuobičajeni pokušaji prijave

Baš kao i mrežni promet, radne navike ljudi su predvidljive. Obično se prijavljuju s istih mjesta i otprilike u isto vrijeme u tjednu. Sigurnosni stručnjaci mogu otkriti kompromitirani račun tako da obratite pozornost na prijave u neuobičajeno vrijeme ili s neuobičajenih područja, kao što je država u kojoj tvrtka ili ustanova nema ured. Važno je i zabilježiti više neuspjelih prijava s istog računa. Iako korisnici povremeno zaborave lozinke ili imaju problema s prijavom, obično je mogu riješiti nakon nekoliko pokušaja. Ponovljeni neuspjeli pokušaji prijave mogu upućivati na to da netko pokušava pristupiti tvrtki ili ustanovi pomoću ukradenog računa. 

Nepravilnosti privilegovanog računa

Mnogi napadači, bili oni interni ili vanjski korisnici, zainteresirani su za pristup administrativnim računima i dohvaćanje povjerljivih podataka. Atipično ponašanje povezano s tim računima, npr. ako neko pokuša da eskalira ovlasti korisnika, može biti znak kršenja sigurnosti.

Promjene konfiguracija sustava

Zlonamjerni softver često je programiran za promjenu konfiguracija sustava, kao što je omogućivanje udaljenog pristupa ili onemogućivanje sigurnosnog softvera. Praćenjem tih neočekivanih promjena konfiguracije, sigurnosni profesionalci mogu prepoznati kršenje prije nego što se napravi previše štete.

Neočekivane instalacije ili ažuriranja softvera

Mnogi napadi počinju instalacijom softvera, kao što su zlonamjerni softver ili ucjenjivački softver, koji je osmišljen tako da datoteke čine nedostupnima ili da napadačima daju pristup mreži. Praćenje neplaniranih instalacija softvera i ažuriranja tvrtkama i ustanovama omogućuje brzo uočavanje tih IOC-ova. 

Brojni zahtjevi za istu datoteku

Više zahtjeva za jednu datoteku može upućivati na to da je loš izvršitelj pokušava ukrasti i pokušao joj pristupiti na nekoliko načina.

Neuobičajeni zahtjevi za sustave naziva domene

Neki loši izvršitelji koriste način napada pod nazivom naredba i kontrola. Instaliraju zlonamjerni softver na poslužitelju tvrtke ili ustanove koji stvara vezu s poslužiteljem koji posjeduju. Zatim šalju naredbe sa svog poslužitelja na zaraženi stroj da bi pokušali ukrasti podatke ili omesti operacije. Neuobičajeni zahtjevi za sustave naziva domene (DNS) pomažu IT-ju pri otkrivanju tih napada.

Kako prepoznati IOC-ove

Znakovi digitalnog napada snimaju se u datotekama zapisnika. U sklopu računalne sigurnosti IOC-a, timovi redovito nadziru digitalne sustave radi sumnjive aktivnosti. Moderna SIEM i XDR rješenja pojednostavnjuju taj postupak algoritmima za umjetnu inteligenciju i strojno učenje koji uspostavljaju polazište za normalnu vrijednost u tvrtki ili ustanovi, a zatim upozoravaju tim o anomalijama. Također je važno angažirati zaposlenike izvan sigurnosti koji mogu primati sumnjive poruke e-pošte ili slučajno preuzeti zaraženu datoteku. Dobri sigurnosni programi za obuku zaposlenicima olakšavaju otkrivanje kompromitiranih poruka e-pošte i pružaju načine na koje mogu prijaviti sve što se čini pogrešnim.

Zašto su IOC-ovi važni

Nadzor IOC-ova ključan je za smanjenje sigurnosnog rizika tvrtke ili ustanove. Rano otkrivanje IOC-ova omogućuje sigurnosnim timovima brzo odgovaranje na napade i njihovo razrješavanje, čime se smanjuje količina vremena zastoja i prekida rada. Redoviti nadzor timovima omogućuje i bolji uvid u slabe točke tvrtke ili ustanove, što se zatim može ublažiti.

Reagiranje na pokazatelje ugroženosti

Kada sigurnosni timovi prepoznaju IOC, moraju učinkovito reagirati da bi osigurali što manje štete tvrtki ili ustanovi. Pomoću sljedećih koraka, tvrtke ili ustanove mogu ostati usredotočene i što brže zaustaviti prijetnje:

Stvaranje plana odgovora na incidente

Reagiranje na incident je stresno i vremenski osjetljivo jer što dulje napadači ostanu neotkriveni, veća je vjerojatnost da će postići svoje ciljeve. Mnoge tvrtke ili ustanove razvijaju odgovor na incident da bi vodile timove tijekom ključnih faza odgovora. Plan opisuje način na koji tvrtka ili ustanova definira incident, uloge i odgovornosti, korake potrebne za rješavanje incidenta i način na koji tim treba komunicirati sa zaposlenicima i vanjskim zainteresiranim stranama. 

Izdvajanje kompromitiranih sustava i uređaja

Kada tvrtka ili ustanova identificira prijetnju, sigurnosni tim brzo izolira aplikacije ili sustave koji su pod napadom od ostatka mreža. Time se napadačima onemogućuje pristup drugim dijelovima tvrtke.

Provođenje forenzičke analize

Forenzička analiza pomaže tvrtkama i ustanovama da otkriju sve aspekte kršenja sigurnosti, uključujući izvor, vrstu napada i ciljeve napadača. Analiza se obavlja tijekom napada da bi se razumio opseg kompromitiranja. Kada se tvrtka ili ustanova oporavi od napada, dodatna analiza timu pomaže razumjeti moguće slabe točke i druge uvide.

Uklanjanje prijetnji

Tim uklanja napadača i sav zlonamjerni softver iz zahvaćenih sustava i resursa, što može uključiti stavljanje sustava van mreže.

Implementacija poboljšanja sigurnosti i procesa

Kada se tvrtka ili ustanova oporavi od incidenta, važno je procijeniti zašto se napad dogodio i je li tvrtka ili ustanova mogla učiniti nešto da bi ga spriječila. Mogu postojati jednostavni procesi i poboljšanja pravilnika koja će smanjiti rizik od sličnog napada u budućnosti ili tim može prepoznati dugoročnija rješenja za dodavanje u sigurnosni plan razvoja.

IOC rješenja

Većina sigurnosnih povreda ostavlja forenzički trag u datotekama zapisnika i sustavima. Učenje identificiranja i praćenja ovih IOC-ova pomaže organizacijama da brzo izoliraju i eliminiraju napadače. Mnogi se timovi okreću SIEM rješenjima, kao što su Microsoft Sentinel i Microsoft Defender XDR, koja koriste umjetnu inteligenciju i automatizaciju za otkrivanje IOC-ova i njihovo povezivanje s drugim događajima. Plan odgovora na incidente omogućuje timovima da preduhitre napade i brzo ih zaustave. Kada je riječ o računalnoj sigurnosti, što brže tvrtke shvate što se događa, veća je vjerojatnost da će zaustaviti napad prije nego što ih košta novca ili ošteti njihov ugled. Sigurnost IOC-ova ključna je za pomoć tvrtkama i ustanovama u smanjivanju rizika od skupog kršenja sigurnosti.

Saznajte više o rješenju Microsoft Security

Microsoftova zaštita od prijetnji

Prepoznajte incidente i odgovorite na njih u cijeloj tvrtki ili ustanovi uz najnovije značajke zaštite od prijetnji.

Saznajte više

Microsoft Sentinel

Otkrijte sofisticirane prijetnje i odlučno odgovorite na njih pomoću snažnog SIEM rješenja utemeljenog na oblaku.

Saznajte više

Microsoft Defender XDR

Zaustavite napade na svim krajnjim točkama, u e-pošti, identitetima, aplikacijama i podacima s XDR rješenjima.

Saznajte više

Zajednica za obavještavanje o prijetnjama

Nabavite najnovija ažuriranja iz izdanja zajednice Obavještavanje o prijetnjama za Microsoft Defender.

Saznajte više

Najčešća pitanja

  • Postoji nekoliko vrsta IOC-ova. Neki od najčešćih su:

    • Anomalije mrežnog prometa
    • Neuobičajeni pokušaji prijave
    • Nepravilnosti privilegovanog računa
    • Promjene konfiguracija sustava
    • Neočekivane instalacije ili ažuriranja softvera
    • Brojni zahtjevi za istu datoteku
    • Neuobičajeni zahtjevi za sustave naziva domene

  • Pokazatelj ugroženosti digitalni je dokaz da je već došlo do napada. Pokazatelj napada je dokaz da će do napada vjerojatno doći. Na primjer, kampanja krađe identiteta pokazatelj je napada jer nema dokaza da je napadač prekršio sigurnost tvrtke. No ako netko klikne vezu za krađu identiteta i preuzme zlonamjerni softver, instalacija zlonamjernog softvera pokazatelj je ugroženosti.

  • Pokazatelji ugroženosti u e-pošti obuhvaćaju iznenadnu preplavljenost neželjenom poštom, neobičnim privitcima ili vezama, kao i neočekivanu poruku e-pošte poznate osobe. Na primjer, ako zaposlenik pošalje suradniku poruku e-pošte s neobičnim privitkom, to može značiti da je njegov račun kompromitiran.

  • Postoji više načina identificiranja kompromitiranog sustava. Promjena mrežnog prometa s određenog računala mogla bi biti pokazatelj da je ugrožen. Ako osoba kojoj obično ne treba sustav počne redovito pristupati, to je crvena zastavica. Promjene konfiguracija u sustavu ili neočekivana instalacija softvera mogu upućivati i na to da je kompromitiran. 

  • Tri primjera IOC-a su:

    • Korisnički račun koji se nalazi u Sjevernoj Americi počinje se prijavom u resurse tvrtke iz Europe.
    • Tisuće zahtjeva za pristup na nekoliko korisničkih računa, što ukazuje na to da je tvrtka ili ustanova žrtva napada grubom silom.
    • Novi zahtjevi sustava naziva domene dolaze od novog glavnog računala ili države u kojoj zaposlenici i klijenti nemaju prebivalište.

Pratite Microsoft