Datu kriminālistikas pasaulē kiberuzbrukuma mehānikas izpratne ir ne mazāk kā nozieguma noslēpuma atrisināšana. Kompromisa rādītāji (IoC) ir tās norādes, pierādījumi, kas var palīdzēt atklāt sarežģītos datu pārkāpumus mūsdienās.
IoC ir lielākais kiberdrošības ekspertu ieguvums, mēģinot atrisināt un de-mistizēt tīkla uzbrukumus, ļaunprātīgas darbības vai ļaunprātīgas programmatūras pārkāpumus. Pārmeklējot IoC, jau laikus var noteikt datu pārkāpumus, lai palīdzētu mazināt uzbrukumus.
Kāpēc ir svarīgi uzraudzīt kompromisu rādītājus?
IoC ir neatņemama loma kiberdrošības analīzē. Viņi ne tikai atklāj un apstiprina, ka ir noticis drošības uzbrukums, bet arī atklāj rīkus, kas tika izmantoti uzbrukuma veikšanai.
Tie arī palīdz noteikt kompromisa radīto zaudējumu apmēru un palīdz noteikt etalonus, lai novērstu turpmākus kompromisus.
IoC parasti tiek apkopoti, izmantojot parastos drošības risinājumus, piemēram, pret ļaunprātīgu programmatūru un pretvīrusu programmatūru, taču noteiktus AI balstītus rīkus var izmantot arī, lai apkopotu šos rādītājus reaģēšanas laikā uz incidentu centieniem.
Lasīt vairāk: Labākā bezmaksas interneta drošības programmatūra operētājsistēmai Windows
Kompromisa rādītāju piemēri
Atklājot neregulārus modeļus un darbības, IoC var palīdzēt novērtēt, vai uzbrukums drīz notiks, vai tas jau ir noticis, un kādi ir uzbrukuma faktori.
Šeit ir daži SOK piemēri, par kuriem katram indivīdam un organizācijai ir jāsaglabā cilne:
Nepāra ienākošās un izejošās datplūsmas modeļi
Lielākā daļa kiberuzbrukumu galvenais mērķis ir iegūt slepenus datus un pārsūtīt tos uz citu vietu. Tāpēc obligāti jāuzrauga neparasti trafika modeļi, īpaši tie, kas atstāj jūsu tīklu.
Tajā pašā laikā būtu jāievēro arī ienākošās satiksmes izmaiņas, jo tās ir labi rādītāji notiekošam uzbrukumam. Visefektīvākā pieeja ir konsekventa gan ienākošo, gan izejošo trafiku novērošana, lai konstatētu anomālijas.
Ģeogrāfiskās neatbilstības
Ja jūs vadāt biznesu vai strādājat uzņēmumā, kas atrodas tikai noteiktā ģeogrāfiskajā atrašanās vietā, bet pēkšņi redzat pieteikšanās modeļus no nezināmām vietām, uzskatiet to par sarkanu karogu.
IP adreses ir lieliski IoC piemēri, jo tās sniedz noderīgus pierādījumus uzbrukuma ģeogrāfiskās izcelsmes izsekošanai.
Augstas privilēģijas lietotāju darbības
Priviliģētiem kontiem ir visaugstākais piekļuves līmenis, ņemot vērā to lomu raksturu. Draudu dalībniekiem vienmēr patīk sekot šiem kontiem, lai iegūtu stabilu piekļuvi sistēmas iekšienē. Tāpēc jebkuras neparastas izmaiņas augstas privilēģijas lietotāju kontu lietošanas modeli jāuzrauga ar sāls graudu.
Ja priviliģēts lietotājs izmanto savu kontu no anomālas vietas un laika, tas noteikti ir kompromisa rādītājs. Veidojot kontus, vienmēr ir laba drošības prakse izmantot vismazākās privilēģijas principu.
Lasīt vairāk: Kāds ir vismazākās privilēģijas princips un kā tas var novērst kiberuzbrukumus?
Pieaugums datu bāzē
Datu bāzes vienmēr ir galvenais draudu dalībnieku mērķis, jo lielākā daļa personisko un organizatorisko datu tiek glabāti datu bāzes formātā.
Ja redzat datu bāzes lasīšanas apjoma pieaugumu, sekojiet tam, jo tas varētu būt uzbrucējs, kurš mēģina iebrukt jūsu tīklā.
Augsts autentifikācijas mēģinājumu līmenis
Lielam autentifikācijas mēģinājumu skaitam, īpaši neveiksmīgiem, vienmēr vajadzētu pacelt uzacis. Ja redzat lielu skaitu pieteikšanās mēģinājumu no esoša konta vai neveiksmīgus mēģinājumus no konta, kura neeksistē, tas, visticamāk, ir kompromiss, kas tiek veidots.
Neparastas konfigurācijas izmaiņas
Ja jums ir aizdomas, ka failos, serveros vai ierīcēs ir daudz konfigurācijas izmaiņu, iespējams, kāds mēģina iefiltrēties jūsu tīklā.
Konfigurācijas izmaiņas nodrošina ne tikai otro aizmuguri durvju draudu dalībniekiem jūsu tīklā, bet arī pakļauj sistēmu ļaunprātīgas programmatūras uzbrukumiem.
DDoS uzbrukumu pazīmes
Distributed Denial of Service jeb DDoS uzbrukums galvenokārt tiek veikts, lai izjauktu tīkla parasto satiksmes plūsmu, bombardējot to ar interneta trafika plūdiem.
Tāpēc nav brīnums, ka biežus DDoS uzbrukumus botneti veic, lai novērstu uzmanību no sekundāriem uzbrukumiem, un tie būtu jāuzskata par IoC.
Lasīt vairāk: Jauni DDoS uzbrukumu veidi un kā tie ietekmē jūsu drošību
Tīmekļa trafika modeļi ar necilvēcīgu izturēšanos
Jebkura tīmekļa trafika, kas nešķiet normāla cilvēka uzvedība, vienmēr jāuzrauga un jāizmeklē.
IoC atklāšanu un uzraudzību var panākt ar draudu medībām. Žurnālu apkopotājus var izmantot, lai uzraudzītu jūsu žurnālus par neatbilstībām, un, tiklīdz tie brīdina par anomālijām, jums tie jāuztver kā IoC.
Pēc IoC analīzes tas vienmēr jāpievieno bloķēšanas sarakstam, lai nākotnē novērstu tādus faktorus kā IP adreses, drošības jaukšana vai domēnu nosaukumi.
Šie pieci rīki var palīdzēt identificēt un uzraudzīt IoC. Lūdzu, ņemiet vērā, ka lielākajai daļai šo rīku ir kopienas versijas, kā arī apmaksāti abonementi.
- CrowdStrike
CrowdStrike ir uzņēmums, kas novērš drošības pārkāpumus, nodrošinot visaugstākās, mākoņos balstītas galapunkta drošības iespējas.
Tas piedāvā Falcon Query API platformu ar importēšanas funkciju, kas ļauj izgūt, augšupielādēt, atjaunināt, meklēt un izdzēst pielāgotus kompromisa (SOK) rādītājus, kurus vēlaties skatīties CrowdStrike.
2. Sumo loģika
Sumo Logic ir uz mākoņiem balstīta datu analīzes organizācija, kas koncentrējas uz drošības operācijām. Uzņēmums piedāvā žurnālu pārvaldības pakalpojumus, kas reāllaika analīzes nodrošināšanai izmanto mašīnu ģenerētus lielus datus.
Izmantojot platformu Sumo Logic, uzņēmumi un privātpersonas var ieviest drošības konfigurācijas vairāku mākoņu un hibrīdu vidēm un ātri reaģēt uz draudiem, atklājot IoC.
3. Akamai Bot vadītājs
Roboti ir piemēroti noteiktu uzdevumu automatizēšanai, taču tos var izmantot arī kontu pārņemšanai, drošības apdraudējumiem un DDoS uzbrukumiem.
Akamai Technologies, Inc. ir globāls satura piegādes tīkls, kas piedāvā arī rīku, kas pazīstams kā Bot Manager, kas nodrošina uzlabotu robotu noteikšanu, lai atrastu un novērstu vismodernākos robotu uzbrukumus.
Nodrošinot detalizētu redzamību par robotu datplūsmu, kas ienāk jūsu tīklā, Bot Manager palīdz labāk izprast un izsekot, kas ienāk jūsu tīklā vai pamet to.
4. Pierādījums
Proofpoint ir uzņēmuma drošības uzņēmums, kas nodrošina mērķa uzbrukuma aizsardzību kopā ar spēcīgu draudu reaģēšanas sistēmu.
Viņu radošā draudu reaģēšanas sistēma nodrošina automātisku IoC pārbaudi, apkopojot gala punktu kriminālistikas no mērķtiecīgām sistēmām, padarot to viegli atklāt un novērst kompromisus.
Datu aizsardzība, analizējot draudu ainavu
Lielākā daļa drošības pārkāpumu un datu zādzību atstāj rīvmaizes pēdas, un mūsu ziņā ir spēlēt drošības detektīvus un uzņemt norādījumus.
Par laimi, rūpīgi analizējot mūsu draudu ainavu, mēs varam uzraudzīt un sastādīt kompromisu rādītāju sarakstu, lai novērstu visa veida pašreizējos un nākotnes kiberdraudus.
Vai jums jāzina, kad jūsu bizness ir kiberuzbrukumā? Jums nepieciešama ielaušanās atklāšanas un novēršanas sistēma.
Lasiet Tālāk
- Drošība
- Tiešsaistes drošība
- Drošības pārkāpums
- DDoS
Kinza ir tehnoloģiju entuziasts, tehniskais rakstnieks un pašpasludināts geeks, kurš kopā ar vīru un diviem bērniem dzīvo Ziemeļvirdžīnijā. Ar BS datortīklā un daudziem IT sertifikātiem zem viņas jostas viņa strādāja telekomunikāciju nozarē, pirms ķērās pie tehniskās rakstīšanas. Ar kiberdrošības un mākoņdatošanas tēmu nišu viņa labprāt palīdz klientiem izpildīt viņu dažādās tehniskās rakstīšanas prasības visā pasaulē. Brīvajā laikā viņai patīk lasīt daiļliteratūru, tehnoloģiju emuārus, veidot asprātīgus bērnu stāstus un gatavot ēdienu savai ģimenei.
Abonējiet mūsu biļetenu
Pievienojieties mūsu informatīvajam izdevumam par tehniskiem padomiem, atsauksmēm, bezmaksas e-grāmatām un ekskluzīviem piedāvājumiem!
Vēl viens solis !!!
Lūdzu, apstipriniet savu e-pasta adresi e-pastā, kuru tikko nosūtījām.