Что такое индикаторы компрометации (IOC)?
Узнайте, как отслеживать, выявлять и использовать индикаторы компрометации, а также реагировать на них.
Объяснение индикаторов компрометации
Индикатор компрометации (IOC) является свидетельством того, что кто-то мог создать брешь в сети организации или конечной точке. Эти данные экспертизы не просто указывают на потенциальную угрозу. Они сигнализируют, что уже произошла атака, например проникновение вредоносных программ, компрометация учетных сведений или кража данных. Специалисты по безопасности ищут индикаторы компрометации в журналах событий, решениях Extended Detection and Response (XDR), а также решениях управления информационной безопасностью и событиями безопасности (SIEM). Во время атаки команда использует IOC для устранения угрозы и снижения ущерба. После восстановления индикаторы компрометации помогают организации лучше понять, что произошло. Это позволяет команде по обеспечению безопасности организации усилить защиту и снизить риск похожего инцидента.
Примеры IOC
В сфере безопасности с использованием индикаторов компрометации ИТ-служба отслеживает среду на наличие следующих признаков выполняемой атаки.
Аномалии трафика
В большинстве организаций существуют согласованные шаблоны передачи входящего и исходящего трафика цифровой среды. Когда они меняются, например, если организацию покидает намного больше данных или действия выполняются из необычного расположения в сети, это может быть признаком атаки.
Необычные попытки входа
Как и трафик, рабочие привычки людей предсказуемы. Как правило, они в течение недели выполняют вход из одинаковых расположений примерно в одно и то же время. Специалисты по безопасности могут обнаружить скомпрометированную учетную запись, уделив внимание входам в необычное время суток или из необычных географических расположений, например из страны, где у организации нет офиса. Также важно обращать внимание на множественные неудачные входы для одной учетной записи. Хотя люди периодически забывают свои пароли или у них возникают проблемы со входом, они обычно устраняют их через несколько попыток. Повторные неудачные попытки входа могут означать, что кто-то пытается получить доступ к организации с помощью украденной учетной записи.
Аномалии привилегированной учетной записи
Многие злоумышленники (внутренние или внешние) хотят получить доступ к учетным записям администраторов и добраться до конфиденциальных данных. Нетипичное поведение, связанное с этими учетными записями, например попытка повысить свои привилегии, может быть признаком нарушения безопасности.
Изменение конфигураций систем
Вредоносные программы часто настроены на внесение изменений в конфигурации систем, например на включение удаленного доступа или отключение программного обеспечения системы безопасности. Отслеживая эти неожиданные изменения конфигурации, специалисты по безопасности могут определить нарушение безопасности до того, как будет нанесен слишком большой ущерб.
Неожиданная установка или обновление программного обеспечения
Многие атаки начинаются с установки программного обеспечения, например вредоносных программ или программ-шантажистов, которые предназначены для того, чтобы сделать файлы недоступными или предоставить злоумышленникам доступ к сети. Отслеживая незапланированную установку и обновление программного обеспечения, организации могут быстро заметить эти индикаторы компрометации.
Многочисленные запросы для одного файла
Несколько запросов для одного файла могут указывать на то, что злоумышленник пытается украсть его и попробовал получить к нему доступ несколькими способами.
Необычные запросы систем доменных имен
Некоторые злоумышленники используют метод атаки, называемый атакой с командным центром. Они устанавливают вредоносные программы на сервере организации, который создает подключение к серверу, который принадлежит злоумышленникам. Затем они отправляют на зараженный компьютер команды со своего сервера, чтобы попытаться похитить данные или нарушить работу. Необычные запросы системы доменных имен (DNS) помогают ИТ-службе обнаруживать эти атаки.
Почему индикаторы компрометации важны
Мониторинг индикаторов компрометации критически важен для снижения риска в области безопасности организации. Раннее обнаружение индикаторов компрометации позволяет командам по обеспечению безопасности быстро реагировать на атаки и устранять их, уменьшая длительность простоев и количество нарушений работы. Регулярный мониторинг также позволяет командам лучше понять уязвимости организации, которые затем можно устранить.
Реагирование на индикаторы компрометации
Когда команды обеспечения безопасности выявляют IOC, им необходимо эффективно отреагировать, чтобы обеспечить минимальный уровень ущерба для организации. Следующие действия помогают организациям поддерживать фокус и как можно быстрее останавливать угрозы.
Создание плана реагирования на инциденты
Реагирование на инциденты связано со стрессом и является чувствительным ко времени, так как чем дольше злоумышленники остаются необнаруженными, тем больше вероятность того, что они достигнут своих целей. Многие организации разрабатывают план реагирования на инциденты, чтобы помочь командам на критических этапах реагирования. В плане описано, как организация определяет инцидент, роли и обязанности, действия для устранения инцидента, а также способ, которым команда должна уведомлять сотрудников и внешних заинтересованных лиц.
Изоляция скомпрометированных систем и устройств
Когда организация выявила угрозу, команда обеспечения безопасности быстро изолирует от остальных сетей приложения или системы, которые подверглись атаке. Это помогает предотвратить доступ злоумышленников к другим частям корпоративной инфраструктуры.
Проведение экспертного анализа
Экспертный анализ помогает организациям выявлять все аспекты нарушения безопасности, включая источник, тип атаки и цели злоумышленников. Анализ проводится во время атаки, чтобы понять степень компрометации. Когда организация восстановится после атаки, дополнительный анализ поможет команде понять возможные уязвимости и другую аналитику.
Устранение угрозы
Команда удаляет злоумышленников и все вредоносные программы из затронутых систем и ресурсов, что может привести к отключению систем от сети.
Реализация улучшений системы безопасности и процессов
Когда организация восстановится после инцидента, важно оценить, почему произошла атака и какие действия могла выполнить организация для ее предотвращения. Могут быть доступны простые улучшения процессов и политик, которые снизят риск аналогичных атак в будущем, или команда может выявить долгосрочные решения для улучшения стратегии безопасности.
Решения IOC
Большинство нарушений безопасности оставляют след в файлах журналов и системах. Обучение выявлению и мониторингу этих индикаторов компрометации помогает организациям быстро изолировать и устранять злоумышленников. Многие команды обращаются к решениям SIEM, например Microsoft Sentinel и Microsoft Defender XDR, которые используют ИИ и автоматизацию, чтобы выявлять индикаторы компрометации и соотносить их с другими событиями. План реагирования на инциденты позволяет командам опережать атаки и быстро прекращать их. Когда речь идет о кибербезопасности, чем быстрее компании поймут происходящее, тем выше вероятность того, что они остановят атаку до возникновения убытков или ущерба репутации. Безопасность с использованием индикаторов компрометации — это ключ, помогающий организациям снизить риск дорогостоящих нарушений безопасности.
Подробнее о Microsoft Security
Решения Майкрософт для защиты от угроз
Выявляйте инциденты в своей организации и реагируйте на них с помощью новейших средств защиты от угроз.
Microsoft Sentinel
Используйте функциональное облачное решение SIEM, чтобы выявлять и устранять сложные угрозы.
Microsoft Defender XDR
Блокируйте атаки на конечные точки, электронную почту, удостоверения, приложения и данные с помощью решений XDR.
Сообщество аналитики угроз
Получайте новейшие обновления из выпуска Аналитики угроз Microsoft Defender для сообщества.
Вопросы и ответы
-
Существует несколько типов индикаторов компрометации. Наиболее распространенные из них:
- Аномалии трафика
- Необычные попытки входа
- Аномалии привилегированной учетной записи
- Изменение конфигураций систем
- Неожиданная установка или обновление программного обеспечения
- Многочисленные запросы для одного файла
- Необычные запросы систем доменных имен
-
Индикатор компрометации — это цифровое свидетельство того, что атака уже произошла. Индикатор атаки является свидетельством того, что атака произойдет с большой вероятностью. Например, фишинговая кампания является индикатором атаки, так как нет признаков нарушения безопасности компании злоумышленником. Однако если кто-то щелкнет фишинговую ссылку и скачает вредоносную программу, установка вредоносной программы станет признаком компрометации.
-
Индикаторы компрометации электронной почты включают внезапный наплыв спама, необычные вложения и ссылки или неожиданное письмо от известного человека. Например, если сотрудник отправляет коллеге письмо с необычным вложением, это может означать, что его учетная запись была скомпрометирована.
-
Существует несколько способов выявить скомпрометированную систему. Изменение трафика с определенного компьютера может быть индикатором его компрометации. Если человек, которому обычно не нужна система, начинает регулярно получать к ней доступ, это опасный признак. Изменение конфигураций в системе или неожиданная установка программного обеспечения также могут указывать на компрометацию.
-
Три примера IOC:
- Учетная запись пользователя, расположенная в Северной Америке, начинает входить в ресурсы компании из Европы.
- Тысячи запросов на доступ для нескольких учетных записей пользователей, указывающих на то, что организация стала жертвой атаки методом подбора.
- Новые запросы систем доменных имен, поступающие из нового узла или страны, где нет сотрудников и клиентов компании.
Следите за новостями Майкрософт