Co jsou indikátory ohrožení (IOC)?
Naučte se monitorovat, identifikovat a používat indikátory ohrožení a reagovat na ně.
Vysvětlení indikátorů ohrožení
Indikátory ohrožení (IOC) jsou důkazem toho, že někdo mohl narušit síť nebo koncový bod organizace. Tato forenzní data nesignalizují pouze potenciální hrozbu, ale i to, že k útoku, jako je napadení malwarem, zneužití přihlašovacích údajů nebo exfiltrace dat, již došlo. Odborníci na zabezpečení hledají indikátory ohrožení v protokolech událostí, v řešeních pro rozšířenou detekci a reakci (XDR) a v řešeních pro správu akcí a informací o zabezpečení (SIEM). Během útoku tým používá indikátory ohrožení k eliminaci hrozby a zmírnění škod. Po zotavení pomáhají indikátory ohrožení organizaci lépe pochopit, co se stalo, aby mohl bezpečnostní tým organizace posílit zabezpečení a snížit riziko dalšího podobného incidentu.
Příklady indikátorů ohrožení
V rámci zabezpečení pomocí indikátorů ohrožení monitoruje IT oddělení prostředí a hledá v něm následující signály, které by mohly naznačovat, že probíhá útok:
Anomálie síťového provozu
Ve většině organizací existují konzistentní vzorce vstupního a výstupního síťového provozu v digitálním prostředí. Pokud dojde ke změně v porovnání s těmito vzorci provozu, například pokud z organizace odchází výrazně více dat nebo pokud se objeví aktivita z neobvyklého místa v síti, může se jednat o příznak útoku.
Neobvyklé pokusy o přihlášení
Stejně jako síťový provoz jsou předvídatelné i pracovní návyky uživatelů. Obvykle se přihlašují ze stejných míst a zhruba ve stejnou dobu v průběhu týdne. Odborníci na zabezpečení mohou odhalit napadený účet tak, že budou věnovat pozornost přihlášením v neobvyklou denní dobu nebo z neobvyklých zeměpisných oblastí, například ze země či oblasti, kde organizace nemá svou pobočku. Je také důležité si všímat vícenásobných neúspěšných přihlášení ze stejného účtu. Přestože uživatelé často zapomínají hesla nebo mívají potíže s přihlášením, většinou se jim podaří problém po několika pokusech vyřešit. Opakované neúspěšné pokusy o přihlášení mohou naznačovat, že se někdo snaží získat přístup do organizace pomocí odcizeného účtu.
Nesrovnalosti privilegovaného účtu
Mnoho útočníků, ať už z řad interních, nebo externích uživatelů, usiluje o přístup k účtům pro správu a získání citlivých dat. Neobvyklé chování spojené s těmito účty, například pokusy o zvýšení úrovně oprávnění, může být známkou narušení zabezpečení.
Změny konfigurací systémů
Malware je často naprogramován tak, aby prováděl změny v konfiguracích systémů, například povolil vzdálený přístup nebo vypnul zabezpečovací software. Monitorováním těchto neočekávaných změn konfigurace mohou odborníci na zabezpečení odhalit narušení dříve, než dojde k příliš velkým škodám.
Neočekávané instalace nebo aktualizace softwaru
Mnoho útoků začíná instalací softwaru, například malwaru nebo ransomwaru, jehož cílem je znepřístupnit soubory nebo umožnit útočníkům přístup do sítě. Monitorováním neplánovaných instalací a aktualizací softwaru mohou organizace tyto indikátory ohrožení rychle zachytit.
Mnoho žádostí o stejný soubor
Opakované žádosti o jeden soubor mohou naznačovat, že se ho uživatel se zlými úmysly pokouší odcizit a vyzkoušel několik způsobů, jak ho získat.
Neobvyklé žádosti DNS
Někteří uživatelé se zlými úmysly používají metodu útoku Command and Control. Na server organizace nainstalují malware, který vytvoří připojení k serveru, který vlastní. Ze svého serveru pak odesílají příkazy do infikovaného počítače a snaží se zcizit data nebo narušit provoz. Neobvyklé žádosti DNS (Domain Name System) pomáhají IT oddělení tyto útoky odhalit.
Proč jsou indikátory ohrožení důležité
Monitorování indikátorů ohrožení má zásadní význam pro snížení bezpečnostního rizika organizace. Včasná detekce indikátorů ohrožení umožňuje bezpečnostním týmům rychle reagovat na případné útoky a řešit je, čímž se snižuje množství výpadků a narušení provozu. Pravidelné monitorování také poskytuje týmům lepší přehled o ohroženích zabezpečení organizace, jejichž dopady lze následně zmírnit.
Reagování na indikátory ohrožení
Jakmile bezpečnostní týmy identifikují indikátor ohrožení, musí na něj účinně reagovat, aby organizaci způsobily co nejmenší škody. Díky následujícím krokům se organizace dokážou maximálně soustředit a co nejrychleji zastavovat hrozby:
Vytvoření plánu reakce na incidenty
Reakce na incident je stresující a časově náročná, protože čím déle zůstávají útočníci neodhaleni, tím je pravděpodobnější, že dosáhnou svého cíle. Řada organizací si vytváří plán reakce na incidenty, který týmům pomáhá v kritických fázích reakce. Plán popisuje, jak organizace definuje incident, role a odpovědnosti, kroky potřebné k vyřešení incidentu a to, jak by měl tým komunikovat se zaměstnanci a externími zainteresovanými stranami.
Izolování napadených systémů a zařízení
Jakmile organizace identifikuje hrozbu, bezpečnostní tým rychle izoluje napadené aplikace nebo systémy od ostatních sítí. To pomáhá zabránit útočníkům v přístupu do dalších částí firmy.
Provádění forenzní analýzy
Forenzní analýza pomáhá organizacím odhalit všechny aspekty narušení, včetně zdroje, typu útoku a cílů útočníka. Analýza se provádí v průběhu útoku, aby se zjistil rozsah napadení. Jakmile se organizace z útoku zotaví, další analýza pomůže týmu pochopit možné ohrožení zabezpečení a získat další přehledy.
Eliminování hrozby
Tým odstraní útočníka a případný malware z postižených systémů a prostředků, což může zahrnovat vyřazení systémů z provozu.
Implementace vylepšení zabezpečení a procesů
Jakmile se organizace z incidentu zotaví, je důležité vyhodnotit, proč k útoku došlo a zda mu organizace nemohla nějak předejít. Může jít o jednoduchá vylepšení procesů a zásad, která sníží riziko podobného útoku v budoucnu, případně může tým identifikovat dlouhodobější řešení, která se doplní do plánu zabezpečení.
Řešení IOC
Většina narušení zabezpečení zanechává forenzní stopy v souborech protokolů a systémech. Naučit se identifikovat a monitorovat tyto indikátory ohrožení pomáhá organizacím rychle izolovat a eliminovat útočníky. Mnoho týmů volí řešení SIEM, například Microsoft Sentinel a Microsoft Defender XDR, která využívají umělou inteligenci a automatizaci k odhalování indikátorů ohrožení a jejich korelaci s dalšími událostmi. Plán reakce na incidenty umožňuje týmům předvídat útoky a rychle je zastavit. Z hlediska kybernetické bezpečnosti platí, že čím rychleji společnosti pochopí, co se děje, tím větší je pravděpodobnost, že útok zastaví dříve, než jim způsobí finanční ztráty nebo poškodí pověst. Zabezpečení pomocí indikátorů ohrožení je klíčem k tomu, aby organizace snížily riziko nákladného narušení zabezpečení.
Další informace o zabezpečení od Microsoftu
Microsoft Threat Protection
Identifikujte incidenty ve vaší organizaci a reagujte na ně pomocí nejnovější ochrany před hrozbami.
Microsoft Sentinel
Odhalujte sofistikované hrozby a reagujte na ně rázně pomocí výkonného cloudového řešení SIEM.
Microsoft Defender XDR
Zastavujte útoky napříč koncovými body, e-maily, identitami, aplikacemi a daty pomocí řešení XDR.
Komunita analýzy hrozeb
Získejte nejnovější aktualizace z Analýzy hrozeb v programu Microsoft Defender v edici Community Edition.
Časté otázky
-
Existuje několik typů indikátorů ohrožení. Mezi nejběžnější patří:
- Anomálie síťového provozu
- Neobvyklé pokusy o přihlášení
- Nesrovnalosti privilegovaného účtu
- Změny konfigurací systému
- Neočekávané instalace nebo aktualizace softwaru
- Mnoho žádostí o stejný soubor
- Neobvyklé žádosti DNS
-
Indikátor ohrožení je digitálním důkazem o tom, že už došlo k útoku. Indikátor útoku je důkazem, že k útoku pravděpodobně dojde. Indikátorem útoku je například phishingová kampaň, protože neexistuje žádný důkaz, že se útočníkovi podařilo do společnosti proniknout. Pokud však někdo klikne na phishingový odkaz a stáhne si malware, je jeho instalace indikátorem ohrožení.
-
Mezi indikátory ohrožení v e-mailu patří náhlý příval spamu, podivné přílohy nebo odkazy nebo nečekaný e-mail od známé osoby. Pokud například zaměstnanec pošle kolegovi e-mail s podezřelou přílohou, může to znamenat, že jeho účet byl napaden.
-
Ohrožený systém lze poznat různými způsoby. Změna síťového provozu z určitého počítače může být indikátorem jeho napadení. Pokud k systému začne pravidelně přistupovat osoba, která ho obvykle nepotřebuje, je to varovný signál. To, že byl systém napaden, mohou naznačovat také změny konfigurace systému nebo neočekávaná instalace softwaru.
-
Tři příklady indikátorů ohrožení:
- Uživatelský účet ze Severní Ameriky se začne přihlašovat k prostředkům společnosti z Evropy.
- Tisíce žádostí o přístup k několika uživatelským účtům, což naznačuje, že se organizace stala obětí útoku hrubou silou.
- Nové žádosti DNS pocházející z nového hostitele nebo ze země/oblasti, kde nemají sídlo ani bydliště zaměstnanci a zákazníci.
Sledujte zabezpečení od Microsoftu