Что такое индикатор компрометации (IOC) и как он может помочь вам в кибербезопасности?

Индикатор компрометации (IOC) относится к тому, что злоумышленник оставил в вашей системе. Было ли это преднамеренным или ошибкой, может быть неясно изначально. Кибер-злоумышленник может оставить индикатор компрометации непосредственно через активность системы или косвенно через модификацию системы.

Киберзлоумышленникам часто требуются месяцы для реализации, эскалации и правильного позиционирования своих атак. В свою очередь, это дает вашим командам по кибербезопасности более чем достаточно времени, чтобы найти и остановить потенциальную атаку. Индикатор компрометации может помочь вам определить, происходит ли атака. Он также может дать вам необходимые «хлебные крошки», которые помогут вам определить, что в первую очередь преследует злоумышленник.

В этой статье вы более подробно узнаете, что такое индикатор компрометации. Я также приведу несколько примеров, когда использование одного из них может оказаться полезным для вашей практики кибербезопасности.

Начнем с определения!

Что является индикатором компрометации?

Индикатор компрометации относится к потревоженной земле и артефактам, оставленным злоумышленником во время и после атаки. Это может включать что угодно, от измененных или удаленных файлов до зарегистрированных событий. Специалисты по информационной безопасности (InfoSec) и администраторы могут использовать эти артефакты для обнаружения будущих вторжений. Далее они могут использовать их для определения причины атаки.

Кроме того, индикатор компрометации может помочь вам понять вредоносное ПО или методы атаки. Это также может помочь в создании исправлений и формировании стратегии исправления.

Теперь, когда вы знаете, что такое индикатор компрометации, пришло время взглянуть на несколько примеров! Эти примеры могут дать вам представление о том, на что следует обращать внимание во время и после кибератаки.

14 способов, которыми МОК может помочь вам усовершенствовать методы кибербезопасности

Ниже приведены 14 распространенных примеров, когда использование индикатора компрометации окажется полезным. Помните, что любое изменение в вашей системе может оказаться полезным для вас как индикатор компрометации. С этой целью приведенный ниже список не является исчерпывающим, поэтому при необходимости используйте свое усмотрение и суждение.

1. Подозрительные действия привилегированных пользователей

Большинство кибератак требуют некоторой формы повышения привилегий, чтобы инициировать кибератаку. По сути, вы должны следить за любой подозрительной привилегированной активностью. Вы можете сделать это, проверив журналы сервера, администрирования, платформы и базы данных. Если что-то выглядит подозрительным, поднимите тревогу как можно скорее.

2. Ошибки при входе в систему

Киберпреступники иногда используют атаки грубой силы для передачи хэша с помощью атак по словарю. Компании часто защищаются от этих атак, используя тайм-ауты, чтобы пользователи не могли вводить учетные данные в течение нескольких секунд. Еще один способ защититься от этих атак — позволить пользователю сделать несколько предположений перед сбросом.

Тем не менее, вы должны просмотреть все журналы на предмет несоответствия логина или ошибок во введенных паролях. Например, многие сообщения об ошибках могут содержать сообщения о специальных символах, не используемых в вашей системе паролей. Словари, не оптимизированные для конкретной системы, могут, например, добавить греческий символ. Большинство сообщений об ошибках отмечают это. Для больших журналов вы можете фильтровать по типу ошибки и использовать функцию поиска «Ctrl-F», чтобы ускорить процесс поиска.

3. DNS-запросы

Система доменных имен (DNS) преобразует удобочитаемые имена в или из IP-адреса, который использует ваша сеть и Интернет. В качестве индикатора компрометации вы можете проверить свои журналы DNS на наличие чужих DNS или IP-адресов, выходящих за рамки нормальной работы.

4. Нечеловеческий веб-трафик

Этот индикатор компрометации предполагает использование здравого смысла для оценки того, имеет ли смысл ваш сетевой трафик. Вы можете использовать свои журналы или проприетарное программное обеспечение, чтобы помочь вам в этом. Короче говоря, спросите себя, почему администратор входит в вашу систему, например, в три часа ночи. Помните, что злоумышленникам часто требуются административные привилегии для проведения большинства атак.

5. Необычный исходящий сетевой трафик

Кибератаки используют атаки для извлечения информации из сети, например интеллектуальной собственности бизнеса. С этой целью вы должны следить за тем, сколько данных часто исходит. Тогда вам следует используйте это в качестве эталона при оценке анонимной исходящей активности. Система обнаружения вторжений (IDS) и/или система предотвращения вторжений (IPS), размещенная в вашей сети, может помочь вам создать базовый уровень.

6. Странные географические местоположения

Вы можете использовать геозону или геотеги в качестве индикатора компрометации. Здесь вы увидите, идут ли соединения из мест, с которыми имеет дело ваш бизнес. Если вы заметили какие-либо подозрительные места, это может быть кибер-злоумышленник, пытающийся получить доступ к вашей сети. Большинство решений для маршрутизаторов или кибербезопасности могут создавать оповещения и push-уведомления в зависимости от местоположения соединения. В свою очередь, они могут дать вам знать, если атака продолжается.

7. Увеличенный объем чтения базы данных

Почти для каждой платформы, которую мы используем, требуется база данных для хранения информации для запросов. Некоторые киберпреступники могут захотеть получить доступ к конфиденциальным данным в вашей базе данных. Другим может понадобиться доступ к остальной части вашей системы путем фаззинга базы данных через внешний интерфейс.

Например, атака может начинаться с того, что злоумышленники добавляют случайный код в окно поиска веб-сайта, чтобы посмотреть, что оно возвращает. Как только злоумышленник получит достаточно серверных функций, он сможет получить доступ к вашей базе данных с правами администратора. В свою очередь, это позволяет им получить доступ к остальной части платформы. Инструмент мониторинга базы данных может уведомить вас о любых фаззинговых атаках.

Другое решение — использовать тайм-ауты для фиксации базы данных, чтобы замедлить атакующих. Замедление фиксации, используемой в процессе запроса, может сделать практически невозможным для киберпреступников сопоставление базы данных и доступ к вашей системе. По этой причине рассмотрите возможность использования длинных и сложных паролей и имен пользователей базы данных для пользователя базы данных. Эти учетные данные нужно вводить только при добавлении платформ или обновлении, но это может помочь уменьшить количество атак методом подбора учетных данных базы данных. Никогда не используйте учетные данные по умолчанию или общие учетные данные базы данных. Точно так же никогда не думайте, что они не являются общедоступными.

8. Необычные размеры ответов HTML

Для веб-платформ размер ответа — это показатель, который помогает разработчикам оценить производительность веб-сайта. Более того, вы можете использовать эту метрику в качестве индикатора компрометации, чтобы определить, добавлял ли кто-то код на вашу платформу. Короче говоря, этот добавленный код может быть приравнен к тому, что кто-то пытается украсть ваши учетные данные или делает что-то гнусное.

Поэтому полезно создать древовидную диаграмму вашего веб-приложения и определить размер каждой страницы. Вы можете сделать это, используя инструменты разработки браузера или оценив размер файла для каждой страницы на сервере. Вы можете периодически проверять размеры файлов и помещать эту информацию в периодический отчет для вашей системы. Часто в случае с отчетами удобно иметь предыдущие размеры отчетов, указанные для читателя и для себя.

9. Изменения профилей мобильных устройств

Компании часто настраивают мобильные устройства в соответствии со своей политикой безопасности. Любые изменения в профилях мобильных устройств могут указывать на компрометацию. Однако они также могут указывать на обновление платформы, распространяющее изменения разработчика, которые могут переопределить ваш первоначальный выбор. Поэтому всегда относитесь к изменениям профиля с подозрением. Вы можете проверить, что вызвало изменения, просмотрев журналы обновлений.

10. Признаки DDoS-активности

Вам должно быть относительно легко обнаружить активность распределенного отказа в обслуживании (DDoS). По сути, злоумышленники используют ботов, расположенных на разных машинах, ранее скомпрометированных в результате DDoS-атаки. Ваши платформы внезапно перестанут работать из-за резкого увеличения количества запросов, требующих обработки.

Чтобы предотвратить эти атаки, вы должны выделить избыточные ресурсы в своей системе. Администраторы часто делают это, предоставляя на 500 % больше емкости, чем необходимо. Тем не менее, это спекулятивное эмпирическое правило. Чтобы уточнить, вы можете добавить больше или меньше в зависимости от того, что вы считаете подходящим. Наконец, помните, что это не останавливает DDoS-атаку полностью. Это просто способ предоставить больше ресурсов, чем может обработать атака.

11. Неправильно размещенные пакеты данных

Ваша система работает по логическому обоснованию. Таким образом, обнаружение данных в неправильном месте является признаком компрометации. Это может быть результатом модификации вашей системы кибер-злоумышленником, или данные были просто добавлены злоумышленником. Одним из решений является сканирование файлов и сравнение их с контролируемой средой, если вы не уверены. Кроме того, не забудьте проверить правильность и актуальность ваших сертификатов.

12. Подозрительный трафик порт-приложений

Некоторые атаки работают путем изменения порта, используемого для связи с различными системами. Часто это происходит в обход «закаливающих» контрмер. Кибер-злоумышленник также может использовать это для обхода областей, которые администраторы не укрепили должным образом. Одна из распространенных ошибок администраторов заключается в том, что они добавляют правила трафика к предполагаемому маршруту подключения, но забывают о порте FTP. В результате злоумышленники могут легко обойти меры безопасности. Вы, как правило, также видите это с маршрутами подключения HTTP и HTTPS.

13. Изменения реестра или системных файлов

Реестр — это ваша дорожная карта к ресурсам, поэтому любой из них может свидетельствовать о происходящей атаке. Злоумышленники могут добавить файлы в ваш реестр без вашего ведома. Этот индикатор компрометации должен побудить вас внимательно следить за своим реестром. Различные сторонние утилиты также могут помочь вам проверить копии кода вашего реестра или программного обеспечения безопасности.

14. Внезапное исправление

Патчи исправляют эксплойты, но некоторые атаки устанавливают вредоносное ПО, используя тот же процесс. Киберпреступники часто используют инъекционную атаку для реализации своего вредоносного ПО. Короче говоря, они добавляют вредоносное ПО в оперативную память вашего компьютера, а затем патч запускается из флэш-памяти.

Это означает, что злоумышленнику никогда не потребуется запрашивать разрешение на сохранение вредоносного ПО на жестком диске. Кроме того, флэш-память представляет собой случайный набор данных в любой момент времени, что делает невозможным сканирование программного обеспечения на наличие вредоносных программ. По сути, атака с исправлением может произойти в любой из ваших текущих сессий. Если вы подозреваете, что что-то не так, и ваш компьютер начинает устанавливать исправления без вашего согласия, выключите компьютер. В свою очередь, злоумышленнику придется повторно внедрить вредоносную полезную нагрузку.

Это 14 примеров того, как использование индикатора компрометации может помочь остановить или помешать кибератакам. Давайте резюмируем.

Последние мысли

В заключение можно сказать, что кибер-злоумышленники — это хитрые люди, которые стремятся навредить вам, украв ваши ценные данные. Иногда они могут быть небрежными и оставлять индикатор, который может их разоблачить. Использование индикатора компрометации является одним из способов избежать атак в будущем. Вы можете использовать их для определения цели злоумышленника и механизма атаки.

Приведенный выше список — это просто пример того, что вы можете ожидать в дикой природе. Короче говоря, для большинства атак требуются какие-либо повышенные привилегии. С этой целью рассмотрите возможность сохранения этой статьи в качестве справочника для будущего использования.

У вас есть еще вопросы об индикаторах компрометации? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже!

Часто задаваемые вопросы

О скольких типах вредоносных программ мне следует беспокоиться?

В дикой природе существует 12 различных типов вредоносных программ. Тем не менее, атаки вредоносных программ требуют, чтобы атаки создавали варианты и гибридные приложения, чтобы обойти контрмеры. Таким образом, вы можете легко эффективно останавливать атаки, если знаете лежащие в их основе сценарии.

Сколько времени у меня есть, чтобы остановить кибератаку?

Это зависит от типа атаки. Например, DDoS-атака немедленно отключает вас от сети, поэтому у вас нет времени, чтобы остановить побочный ущерб для вашей компании. Для атак, требующих позиционирования и повышения привилегий, у вас часто есть от четырех до шести месяцев, чтобы найти и остановить их. Также важно отметить, что средний специалист по безопасности обнаруживает эти атаки примерно за два месяца.

Должен ли я нанять стороннюю команду по кибербезопасности?

Если вы наймете третье лицо для управления вашей безопасностью, вы заплатите им премию в надежде, что они никогда не создадут вам проблем. Это потому, что они обладают теми же навыками, что и киберпреступники, против которых они работают. Кроме того, вы платите им надбавку за их труднодоступные навыки. Однако преимущество здесь в том, что они могут оценивать угрозы лучше, чем любое программное обеспечение на рынке. Это связано с тем, что, как правило, программное обеспечение не может определить злой умысел.

Как защитить свой малый бизнес от кибератак?

Вы можете выбрать один из нескольких других вариантов, если у вас нет ресурсов для групп кибербезопасности или собственных навыков кибербезопасности. Может помочь сочетание высококвалифицированных администраторов и высококачественного программного обеспечения для обеспечения безопасности. Кроме того, единая стратегия управления угрозами полезна при обеспечении безопасности вашего бизнеса.

Что такое тестирование на проникновение?

Тестирование на проникновение — это процесс, используемый для оценки рисков вашей безопасности в отношении кибератак. Несколько инструментов и методов, от социальной инженерии до атак грубой силы, могут помочь вам проверить вашу безопасность на наличие уязвимостей. Короче говоря, в вашей компании должно быть как минимум два человека с опытом тестирования на проникновение.