Trace Id is missing
Przejdź do głównej zawartości
Rozwiązania zabezpieczające firmy Microsoft

Czego dotyczą oznaki naruszenia bezpieczeństwa (IOC)?

Dowiedz się, jak monitorować, identyfikować, używać oznaki naruszenia bezpieczeństwa i jak reagować na nie.

Poznawanie usługi Microsoft Defender Threat Intelligence

Wyjaśnienie naruszenia bezpieczeństwa

Oznaka naruszenia bezpieczeństwa (IOC) jest dowodem na to, że ktoś mógł naruszyć bezpieczeństwo sieci lub punktu końcowego organizacji. Te dane dowodowe nie tylko wskazują na potencjalne zagrożenie, ale sygnalizują, że atak, taki jak złośliwe oprogramowanie, naruszone poświadczenia lub eksfiltracja danych, już wystąpił. Specjaliści ds. bezpieczeństwa wyszukują oznak naruszenia bezpieczeństwa w przypadku dzienników zdarzeń, rozwiązań dotyczących rozszerzonych możliwości wykrywania zagrożeń i reagowania na nie (XDR) oraz rozwiązań do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Podczas ataku zespół ten używa oznak naruszenia bezpieczeństwa do eliminowania zagrożenia i ograniczania szkód. Po odzyskaniu oznaki naruszenia bezpieczeństwa pomagają organizacji lepiej zrozumieć, co się stało, dzięki czemu zespół ds. bezpieczeństwa w organizacji może wzmocnić bezpieczeństwo i zmniejszyć ryzyko wystąpienia innego podobnego zdarzenia. 

Przykłady oznak naruszenia bezpieczeństwa

W ramach zabezpieczeń ON dział IT monitoruje środowisko pod kątem następujących wskazówek, które informują, że atak jest w toku:

Anomalie ruchu sieciowego

W większości organizacji istnieją spójne wzorce ruchu sieciowego docierającego i wychodzącego środowiska cyfrowego. Gdy to się zmieni, na przykład jeśli znacznie więcej danych opuszcza organizację lub występuje aktywność pochodząca z nietypowej lokalizacji w sieci, może to być sygnałem ataku.

Nietypowe próby logowania

Podobnie jak w przypadku ruchu sieciowego, nawyki osób w pracy są przewidywalne. Zwykle logują się z tych samych lokalizacji i mniej więcej w tym samym czasie w ciągu tygodnia. Specjaliści ds. bezpieczeństwa mogą wykrywać naruszone konta, zwracając uwagę na logowania o nietypowych porach dnia lub z nietypowych lokalizacji geograficznych, takich jak kraj, w którym organizacja nie ma biura. Ważne jest również odnotowanie wielu nieudanych logowań z tego samego konta. Mimo że użytkownicy okresowo zapominają swoje hasła lub mają problemy z logowaniem, zwykle są w stanie rozwiązać ten problem po kilku próbach. Powtarzające się nieudane próby logowania mogą wskazywać, że ktoś próbuje uzyskać dostęp do organizacji przy użyciu skradzionego konta. 

Nieprawidłowości dotyczące kont uprawnień

Wielu atakujących, niezależnie od tego, czy pochodzą z wewnątrz czy zewnątrz organizacji, są zainteresowani uzyskaniem dostępu do kont administracyjnych i pozyskaniem poufnych danych. Nietypowe zachowanie skojarzone z tymi kontami, takie jak próba eskalacji swoich uprawnień, może być sygnałem naruszenia bezpieczeństwa.

Zmiany w konfiguracji systemów

Złośliwe oprogramowanie jest często zaprogramowane do wprowadzania zmian w konfiguracjach systemów, takich jak włączanie dostępu zdalnego lub wyłączanie oprogramowania zabezpieczającego. Dzięki monitorowaniu tych nieoczekiwanych zmian w konfiguracji specjaliści ds. bezpieczeństwa mogą zidentyfikować naruszenie przed wystąpieniem zbyt wielu uszkodzeń.

Nieoczekiwane instalacje lub aktualizacje oprogramowania

Wiele ataków rozpoczyna się od zainstalowania oprogramowania, takiego jak złośliwe oprogramowanie lub oprogramowanie wymuszające okup, które zostało opracowane w taki sposób, aby pliki były niedostępne lub aby umożliwić atakującym dostęp do sieci. Dzięki monitorowaniu pod kątem nieplanowanych instalacji i aktualizacji oprogramowania organizacje mogą szybko przechwytywać te oznaki naruszenia bezpieczeństwa. 

Wiele żądań dla tego samego pliku

Wiele żądań dla pojedynczego pliku może wskazywać, że zły aktor podejmuje próbę jego kradzieży i próbuje uzyskać do niego dostęp przy użyciu wielu metod.

Nietypowe żądania dotyczące systemów nazw domen

Niektórzy źli aktorzy używają metody ataku o nazwie command and control. Instalują złośliwe oprogramowanie na serwerze organizacji, który tworzy połączenie z serwerem, który jest ich własnością. Następnie wysyłają polecenia ze swojego serwera do zainfekowanego komputera, aby spróbować wykraść dane lub zakłócić jego działanie. Nietypowe żądania dotyczące systemów nazw domen (DNS) pomagają działowi IT wykrywać te ataki.

Jak identyfikować oznaki naruszenia bezpieczeństwa

Sygnały ataku cyfrowego są rejestrowane w plikach dziennika. W ramach cyberbezpieczeństwa ON zespoły regularnie monitorują systemy cyfrowe pod kątem podejrzanych działań. Nowoczesne rozwiązania SIEM i XDR upraszczają ten proces za pomocą sztucznej inteligencji i algorytmów uczenia maszynowego, które ustanawiają punkt odniesienia dla typowych zachowań w organizacji, a następnie powiadamiają zespół o anomaliach. Ważne jest również angażowanie pracowników spoza obszaru bezpieczeństwa, którzy mogą otrzymywać podejrzane wiadomości e-mail lub przypadkowo pobierać zainfekowany plik. Dobre programy szkoleniowe dotyczące zabezpieczeń pomagają pracownikom pozyskać lepszą umiejętność wykrywania wiadomości e-mail z naruszonymi zabezpieczeniami i udostępniają im sposoby zgłaszania wszystkiego, co wydaje się nietypowe.

Dlaczego oznaki naruszenia bezpieczeństwa są ważne

Monitorowanie oznak naruszenia bezpieczeństwa ma kluczowe znaczenie dla zmniejszenia ryzyka związanego z bezpieczeństwem organizacji. Wczesne wykrywanie oznak naruszenia bezpieczeństwa umożliwia zespołom ds. bezpieczeństwa szybkie reagowanie na ataki i rozwiązywanie ich, co zmniejsza przestój i zakłócenia. Regularne monitorowanie zapewnia również zespołom lepszy wgląd w luki w zabezpieczeniach organizacji, które można następnie ograniczyć.

Reagowanie na oznaki naruszenia bezpieczeństwa

Gdy zespoły ds. bezpieczeństwa zidentyfikują oznakę naruszenia bezpieczeństwa, muszą skutecznie zareagować, aby zapewnić jak najmniejsze szkody w organizacji. Poniższe kroki pomagają organizacjom zachować koncentrację i jak najszybciej zatrzymać zagrożenia:

Opracowywanie planu reagowania na zdarzenia

Reagowanie na zdarzenie jest stresujące i uwarunkowane czasowo, ponieważ im dłużej atakujący pozostają niewykryci, tym większe jest prawdopodobieństwo osiągnięcia przez nich swoich celów. Wiele organizacji opracowuje plan reagowania na zdarzenia, który pomaga poprowadzić zespół przez krytyczne fazy reagowania. Plan nakreśla sposób, w jaki organizacja definiuje zdarzenia, role i obowiązki, kroki niezbędne do rozwiązania zdarzenia oraz sposób komunikowania się zespołu z pracownikami i osób zainteresowanych spoza organizacji. 

Izolowanie systemów i urządzeń z naruszonymi zabezpieczeniami

Po zidentyfikowaniu zagrożenia przez organizację zespół ds. bezpieczeństwa niezwłocznie odizolowuje atakowane aplikacje lub systemy od reszty sieci. Pomaga to uniemożliwić atakującym dostęp do innych obszarów działalności firmy.

Przeprowadzanie analizy dowodowej

Analiza dowodowa pomaga organizacjom odkrywać wszystkie aspekty naruszenia, w tym źródło, typ ataku i cele atakującego. Analiza jest przeprowadzana podczas ataku, aby zrozumieć zakres naruszenia. Gdy organizacja odzyska sprawności po ataku, dodatkowa analiza pomaga zespołowi zrozumieć możliwe luki w zabezpieczeniach i inne szczegółowe informacje.

Eliminowanie zagrożeń

Zespół usuwa atakującego i wszelkie złośliwe oprogramowanie z zaatakowanych systemów i zasobów, które może być wykorzystywane do przełączenia działania systemów w tryb offline.

Implementowanie ulepszeń dotyczących zabezpieczeń i procesów

Po odzyskaniu działania organizacji po zdarzeniu ważne jest dokonanie oceny przyczyny wystąpienia ataku i czy organizacja mogła coś zrobić, aby temu zapobiec. Mogą istnieć proste ulepszenia dotyczące procesów i zasad, które ograniczą ryzyko wystąpienia podobnego ataku w przyszłości, lub zespół może zidentyfikować rozwiązania w szerszym zakresie w celu dodania do planu zabezpieczeń.

Rozwiązania dotyczące oznak naruszenia bezpieczeństwa

Większość naruszeń zabezpieczeń pozostawia ślad dowodowy w plikach dziennika i systemach. Nauczenie się identyfikowania i monitorowania tych oznak naruszenia bezpieczeństwa pomaga organizacjom szybko izolować i eliminować atakujących. Wiele zespołów korzysta z rozwiązań SIEM, takich jak Microsoft Sentinel i Microsoft Defender XDR, które używają sztucznej inteligencji i automatyzacji do uwydatniania oznak naruszenia bezpieczeństwa i korelowania ich z innymi zdarzeniami. Plan reagowania na zdarzenia umożliwia zespołom bycie o krok przed atakami i ich szybkie zamknięcie. Jeśli chodzi o cyberbezpieczeństwo, im szybciej firmy rozumieją, co się dzieje, tym większe jest prawdopodobieństwo, że zatrzymają atak, zanim poniosą z tego tytułu koszty lub zaszkodzi to ich reputacji. Zabezpieczenia ON są kluczem do ułatwienia organizacjom zmniejszania ryzyka kosztownego naruszenia zabezpieczeń.

Dowiedz się więcej o rozwiązaniach zabezpieczających firmy Microsoft

Ochrona przed zagrożeniami firmy Microsoft

Identyfikuj zdarzenia w całej organizacji i reaguj na nie dzięki najnowszej ochronie przed zagrożeniami.

Dowiedz się więcej

Microsoft Sentinel

Wykrywaj wyrafinowane zagrożenia i zdecydowanie reaguj na nie za pomocą zaawansowanego rozwiązania SIEM obsługiwanego przez chmurę.

Dowiedz się więcej

Microsoft Defender XDR

Zapobiegaj atakom na punkty końcowe, pocztę elektroniczną, tożsamości, aplikacje i dane przy użyciu rozwiązań XDR.

Dowiedz się więcej

Społeczność poświęcona analizie zagrożeń

Uzyskaj najnowsze informacje z wersji społecznościowej usługi Microsoft Defender Threat Intelligence.

Dowiedz się więcej

Często zadawane pytania

  • Istnieje kilka typów oznak naruszenia bezpieczeństwa. Oto niektóre z najczęściej spotykanych:

    • Anomalie ruchu sieciowego
    • Nietypowe próby logowania
    • Nieprawidłowości dotyczące kont uprawnień
    • Zmiany w konfiguracjach systemów
    • Nieoczekiwane instalacje lub aktualizacje oprogramowania
    • Wiele żądań dla tego samego pliku
    • Nietypowe żądania dotyczące systemów nazw domen

  • Oznaką naruszenia bezpieczeństwa jest cyfrowy dowód na to, że atak już wystąpił. Oznaka ataku jest dowodem na to, że atak prawdopodobnie nastąpi. Na przykład kampania obejmująca wyłudzanie informacji jest oznaką ataku, ponieważ nie ma dowodów na to, że atakujący naruszył zabezpieczenia firmy. Jeśli jednak ktoś kliknie link wyłudzania informacji i pobierze złośliwe oprogramowanie, instalacja złośliwego oprogramowania będzie oznaką naruszenia bezpieczeństwa.

  • Oznaki naruszenia bezpieczeństwa w wiadomościach e-mail obejmują nagłą falę wiadomości-śmieci, dziwnych załączników lub linków albo nieoczekiwaną wiadomość e-mail od znanej osoby. Jeśli na przykład pracownik wyśle współpracownikowi wiadomość e-mail z dziwnym załącznikiem, może to wskazywać, że jego konto zostało naruszone.

  • Istnieje wiele sposobów identyfikowania systemu, którego zabezpieczenia zostały naruszone. Zmiana ruchu sieciowego z określonego komputera może być oznaką naruszenia jego zabezpieczeń. Jeśli osoba, która zwykle nie potrzebuje systemu, zaczyna regularnie uzyskiwać do niego dostęp, jest to sygnał ostrzegawczy. Zmiany w konfiguracjach systemu lub nieoczekiwana instalacja oprogramowania mogą również wskazywać na naruszenie zabezpieczeń. 

  • Trzy przykłady ON to:

    • Konto użytkownika z siedzibą w Ameryce Północnej zaczyna logowanie się do zasobów firmy z Europy.
    • Tysiące żądań dostępu w ramach kilku kont użytkowników, co wskazuje, że organizacja jest ofiarą brutalnego ataku siłowego.
    • Nowe żądania dotyczące systemów nazw domen pochodzące z nowego hosta lub kraju, w którym pracownicy i klienci nie są umiejscowieni.

Obserwuj rozwiązania zabezpieczające firmy Microsoft