Trace Id is missing
Μετάβαση στο κύριο περιεχόμενο
Ασφάλεια της Microsoft

Ποιοι είναι οι ενδείξεις παραβίασης (IOC);

Μάθετε πώς να παρακολουθείτε, να αναγνωρίζετε, να χρησιμοποιείτε και να ανταποκρίνεστε σε ενδείξεις παραβίασης.

Επεξηγήθηκαν οι ενδείξεις παραβίασης

Μια ένδειξη παραβίασης (IOC) είναι απόδειξη ότι κάποιος μπορεί να έχει παραβιάσει το δίκτυο ή το τελικό σημείοενός οργανισμού. Αυτά τα εγκληματολογικά δεδομένα δεν υποδεικνύουν απλώς μια πιθανή απειλή, αλλά σηματοδοτούν ότι έχει ήδη συμβεί μια επίθεση, όπως κακόβουλο λογισμικό, παραβιασμένα διαπιστευτήρια ή εξαγωγή δεδομένων. Οι επαγγελματίες ασφαλείας αναζητούν IOC σε αρχεία καταγραφής συμβάντων, λύσεις εκτεταμένου εντοπισμός και απόκρισης (XDR) και λύσεις πληροφοριών ασφαλείας και διαχείρισης συμβάντων (SIEM). Κατά τη διάρκεια μιας επίθεσης, η ομάδα χρησιμοποιεί IOC για να εξαλείψει την απειλή και να μετριάσει τη ζημιά. Μετά την ανάκτηση, τα IOC βοηθούν έναν οργανισμό να κατανοήσει καλύτερα τι συνέβη, έτσι η ομάδα ασφαλείας του οργανισμού μπορεί να ενισχύσει την ασφάλεια και να μειώσει τον κίνδυνο ενός άλλου παρόμοιου περιστατικού. 

Παραδείγματα IOC

Στην ασφάλεια IOC, το IT παρακολουθεί το περιβάλλον για τις ακόλουθες ενδείξεις ότι μια επίθεση βρίσκεται σε εξέλιξη:

Ανωμαλίες κυκλοφορίας δικτύου

Στους περισσότερους οργανισμούς υπάρχουν σταθερά μοτίβα για την κίνηση δικτύου που περνά μέσα και έξω από το ψηφιακό περιβάλλον. Όταν αυτό αλλάζει, όπως εάν υπάρχουν σημαντικά περισσότερα δεδομένα που φεύγουν από τον οργανισμό ή εάν υπάρχει δραστηριότητα που προέρχεται από μια ασυνήθιστη τοποθεσία στο δίκτυο, μπορεί να είναι σημάδι επίθεσης.

Ασυνήθιστες προσπάθειες εισόδου

Όπως και η κίνηση δικτύου, οι εργασιακές συνήθειες των ανθρώπων είναι προβλέψιμες. Συνήθως εισέλθουν από τις ίδιες τοποθεσίες και περίπου τις ίδιες ώρες κατά τη διάρκεια της εβδομάδας. Οι επαγγελματίες ασφαλείας μπορούν να εντοπίσουν έναν παραβιασμένο λογαριασμό δίνοντας προσοχή στις εισόδους σε περίεργες ώρες της ημέρας ή από ασυνήθιστες γεωγραφικές περιοχές, όπως μια χώρα/περιοχή όπου ένας οργανισμός δεν έχει γραφείο. Είναι επίσης σημαντικό να λάβετε υπόψη σας πολλές αποτυχημένες εισόδους από τον ίδιο λογαριασμό. Αν και τα άτομα ξεχνούν περιοδικά τους κωδικούς πρόσβασής τους ή αντιμετωπίζουν προβλήματα με την είσοδο, συνήθως είναι σε θέση να το επιλύσουν μετά από μερικές προσπάθειες. Οι επαναλαμβανόμενες αποτυχημένες προσπάθειες εισόδου ενδέχεται να υποδεικνύουν ότι κάποιος προσπαθεί να αποκτήσει πρόσβαση στον οργανισμό χρησιμοποιώντας έναν κλεμμένο λογαριασμό. 

Παρατυπίες λογαριασμού προνομίων

Πολλοί επιτιθέμενοι, είτε είναι εσωτερικοί είτε ξένοι, ενδιαφέρονται να αποκτήσουν πρόσβαση σε λογαριασμούς διαχείρισης και να αποκτήσουν ευαίσθητα δεδομένα. Η άτυπη συμπεριφορά που σχετίζεται με αυτούς τους λογαριασμούς, όπως κάποιος που προσπαθεί να κλιμακώσει τα προνόμιά του, μπορεί να αποτελεί ένδειξη παραβίασης.

Αλλαγές στις ρυθμίσεις συστημάτων

Το κακόβουλο λογισμικό προγραμματίζεται συχνά για να κάνει αλλαγές στις ρυθμίσεις συστημάτων, όπως η ενεργοποίηση της απομακρυσμένης πρόσβασης ή η απενεργοποίηση του λογισμικού ασφαλείας. Παρακολουθώντας αυτές τις απροσδόκητες αλλαγές διαμόρφωσης, οι επαγγελματίες ασφαλείας μπορούν να εντοπίσουν μια παραβίαση προτού προκληθεί υπερβολική ζημιά.

Μη αναμενόμενες εγκαταστάσεις λογισμικού ή ενημερώσεις

Πολλές επιθέσεις ξεκινούν με την εγκατάσταση λογισμικού, όπως κακόβουλο λογισμικό ή κακόβουλο λογισμικό, που έχει σχεδιαστεί για να κάνει τα αρχεία απρόσιτα ή να παρέχει στους εισβολείς πρόσβαση στο δίκτυο. Με την παρακολούθηση για απρογραμμάτιστες εγκαταστάσεις λογισμικού και ενημερώσεις, οι οργανισμοί μπορούν να πιάσουν γρήγορα αυτά τα IOC. 

Πολλές αιτήσεις για το ίδιο αρχείο

Πολλαπλές αιτήσεις για ένα μόνο αρχείο μπορεί να υποδεικνύουν ότι ένας κακός ηθοποιός επιχειρεί να το κλέψει και έχει δοκιμάσει διάφορες μεθόδους για να αποκτήσει πρόσβαση σε αυτό.

Ασυνήθιστες αιτήσεις συστημάτων ονομάτων τομέα

Μερικοί κακοί ηθοποιοί χρησιμοποιούν μια μέθοδο επίθεσης που ονομάζεται εντολή και έλεγχος. Εγκαθιστούν κακόβουλο λογισμικό στον διακομιστή ενός οργανισμού που δημιουργεί μια σύνδεση με έναν διακομιστή που τους ανήκει. Στη συνέχεια στέλνουν εντολές από τον διακομιστή τους στο μολυσμένο μηχάνημα για να προσπαθήσουν να κλέψουν δεδομένα ή να διακόψουν τις λειτουργίες. Οι ασυνήθιστες αιτήσεις συστημάτων ονομάτων τομέα (DNS) βοηθούν στον εντοπισμό αυτών των επιθέσεων από το IT.

Πώς να αναγνωρίσετε τα IOC

Τα σημάδια μιας ψηφιακής επίθεσης καταγράφονται στα αρχεία καταγραφής. Ως μέρος της ασφάλειας από απειλές στον κυβερνοχώρο του IOC, οι ομάδες παρακολουθούν τακτικά ψηφιακά συστήματα για ύποπτη δραστηριότητα. Οι σύγχρονες λύσεις SIEM και XDR απλοποιούν αυτή τη διαδικασία με αλγόριθμους τεχνητής νοημοσύνης και μηχανικής μάθησης που δημιουργούν μια βάση για το τι είναι φυσιολογικό στον οργανισμό και στη συνέχεια ειδοποιούν την ομάδα για ανωμαλίες. Είναι επίσης σημαντικό να προσελκύσετε υπαλλήλους εκτός ασφάλειας, οι οποίοι ενδέχεται να λάβουν ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου ή να κατεβάσουν κατά λάθος ένα μολυσμένο αρχείο. Τα καλά προγράμματα εκπαίδευσης σε θέματα ασφάλειας βοηθούν τους εργαζόμενους να βελτιώνουν τον εντοπισμό των παραβιασμένων μηνυμάτων ηλεκτρονικού ταχυδρομείου και να τους παρέχουν τρόπους να αναφέρουν οτιδήποτε φαίνεται ακατάλληλο.

Γιατί τα IOC είναι σημαντικά

Η παρακολούθηση των IOC είναι κρίσιμη για τη μείωση του κινδύνου ασφάλειας ενός οργανισμού. Ο έγκαιρος εντοπισμός των IOC επιτρέπει στις ομάδες ασφαλείας να ανταποκρίνονται και να επιλύουν γρήγορα επιθέσεις, μειώνοντας τον χρόνο διακοπής λειτουργίας και τις διακοπές. Η τακτική παρακολούθηση δίνει επίσης στις ομάδες μεγαλύτερη εικόνα για τις οργανωτικές ευπάθειες, οι οποίες στη συνέχεια μπορούν να μετριαστούν.

Ανταπόκριση σε ενδείξεις παραβίασης

Μόλις οι ομάδες ασφαλείας εντοπίσουν ένα IOC, πρέπει να ανταποκριθούν αποτελεσματικά για να εξασφαλίσουν όσο το δυνατόν μικρότερη ζημιά στον οργανισμό. Τα ακόλουθα βήματα βοηθούν τους οργανισμούς να παραμείνουν συγκεντρωμένοι και να σταματήσουν τις απειλές όσο το δυνατόν γρηγορότερα:

Δημιουργήστε ένα σχέδιο αντιμετώπισης περιστατικών

Η ανταπόκριση σε ένα περιστατικό είναι αγχωτική και ευαίσθητη στο χρόνο, επειδή όσο περισσότερο οι επιτιθέμενοι παραμένουν απαρατήρητοι, τόσο πιο πιθανό είναι να πετύχουν τους στόχους τους. Πολλοί οργανισμοί αναπτύσσουν ένα σχέδιο αντιμετώπισης περιστατικών για να βοηθήσουν στην καθοδήγηση των ομάδων κατά τις κρίσιμες φάσεις μιας απόκρισης. Το σχέδιο περιγράφει τον τρόπο με τον οποίο ο οργανισμός ορίζει ένα περιστατικό, τους ρόλους και τις ευθύνες, τα βήματα που απαιτούνται για την επίλυση ενός περιστατικού και τον τρόπο με τον οποίο η ομάδα πρέπει να επικοινωνεί με τους υπαλλήλους και τα εξωτερικά ενδιαφερόμενα μέρη. 

Απομονώστε τα παραβιασμένα συστήματα και συσκευές

Μόλις ένας οργανισμός εντοπίσει μια απειλή, η ομάδα ασφαλείας απομονώνει γρήγορα εφαρμογές ή συστήματα που δέχονται επίθεση από τα υπόλοιπα δίκτυα. Έτσι εμποδίζονται οι εισβολείς από το να αποκτήσουν πρόσβαση σε άλλα τμήματα της επιχείρησης.

Διεξαγωγή ιατροδικαστικής ανάλυσης

Η εγκληματολογική ανάλυση βοηθά τους οργανισμούς να αποκαλύψουν όλες τις πτυχές μιας παραβίασης, συμπεριλαμβανομένης της πηγής, του είδους της επίθεσης και των στόχων του επιτιθέμενου. Γίνεται ανάλυση κατά τη διάρκεια της επίθεσης για να κατανοηθεί η έκταση του συμβιβασμού. Μόλις ο οργανισμός ανακάμψει από την επίθεση, η πρόσθετη ανάλυση βοηθά την ομάδα να κατανοήσει πιθανά τρωτά σημεία και άλλες πληροφορίες.

Εξάλειψε τον κίνδυνο

Η ομάδα αφαιρεί τον εισβολέα και οποιοδήποτε κακόβουλο λογισμικό από επηρεαζόμενα συστήματα και πόρους, τα οποία μπορεί να περιλαμβάνουν τη λήψη συστημάτων εκτός σύνδεσης.

Εφαρμόστε βελτιώσεις ασφάλειας και διαδικασιών

Μόλις ο οργανισμός συνέλθει από το περιστατικό, είναι σημαντικό να αξιολογήσετε γιατί συνέβη η επίθεση και αν υπάρχει κάτι που θα μπορούσε να είχε κάνει ο οργανισμός για να το αποτρέψει. Ενδέχεται να υπάρχουν απλές βελτιώσεις στη διαδικασία και την πολιτική που θα μειώσουν τον κίνδυνο παρόμοιας επίθεσης στο μέλλον ή η ομάδα μπορεί να εντοπίσει λύσεις μεγαλύτερης εμβέλειας για προσθήκη σε έναν οδικό χάρτη ασφάλειας.

Λύσεις IOC

Οι περισσότερες παραβιάσεις ασφαλείας αφήνουν ιατροδικαστικό ίχνος σε αρχεία καταγραφής και συστήματα. Η εκμάθηση του εντοπισμού και της παρακολούθησης αυτών των ΔΟΕ βοηθά τους οργανισμούς να απομονώνουν και να εξαλείφουν γρήγορα τους επιτιθέμενους. Πολλές ομάδες στρέφονται σε λύσεις SIEM, όπως το Microsoft Sentinel και το Microsoft Defender XDR, οι οποίες χρησιμοποιούν τεχνητή νοημοσύνη και αυτοματισμό για να εμφανίσουν IOC και να τα συσχετίσουν με άλλα συμβάντα. Ένα σχέδιο αντιμετώπισης περιστατικών δίνει τη δυνατότητα στις ομάδες να προλάβουν τις επιθέσεις και να τις κλείσουν γρήγορα. Όσον αφορά την ασφάλεια στον κυβερνοχώρο, όσο πιο γρήγορα καταλαβαίνουν οι εταιρείες τι συμβαίνει, τόσο πιο πιθανό είναι να σταματήσουν μια επίθεση προτού τους κοστίσει χρήματα ή βλάψει τη φήμη τους. Η ασφάλεια του IOC είναι το κλειδί για να βοηθήσει τους οργανισμούς να μειώσουν τον κίνδυνο δαπανηρής παραβίασης.

Μάθετε περισσότερα για την Ασφάλεια της Microsoft

Προστασία της Microsoft από απειλές

Προσδιορίστε και αποκριθείτε σε περιστατικά σε ολόκληρο τον οργανισμό σας με τις πιο πρόσφατες δυνατότητες προστασίας από απειλές.

Microsoft Sentinel

Ανακαλύψτε εξελιγμένες απειλές και απαντήστε αποφασιστικά με μια ισχυρή λύση SIEM που βασίζεται στο cloud.

Microsoft Defender XDR

Σταματήστε τις επιθέσεις σε τελικά σημεία, email, ταυτότητες, εφαρμογές και δεδομένα με λύσεις XDR.

Απειλή κοινότητα πληροφοριών

Λάβετε τις πιο πρόσφατες ενημερώσεις από την έκδοση κοινότητας Πληροφορίες του Microsoft Defender σχετικά με απειλές.

Συνήθεις ερωτήσεις

  • Υπάρχουν διάφοροι τύποι IOC. Μερικά από τα πιο κοινά είναι:

    • Ανωμαλίες κυκλοφορίας δικτύου
    • Ασυνήθιστες προσπάθειες εισόδου
    • Παρατυπίες λογαριασμού προνομίων
    • Αλλαγές στις ρυθμίσεις συστήματος
    • Μη αναμενόμενες εγκαταστάσεις λογισμικού ή ενημερώσεις
    • Πολλές αιτήσεις για το ίδιο αρχείο
    • Ασυνήθιστες αιτήσεις συστημάτων ονομάτων τομέα
  • Μια ένδειξη παραβίασης είναι η ψηφιακή απόδειξη ότι μια επίθεση έχει ήδη συμβεί. Μια ένδειξη μιας επίθεσης είναι απόδειξη ότι μια επίθεση είναι πιθανό να συμβεί. Για παράδειγμα, μια εκστρατεία ηλεκτρονικού "ψαρέματος" είναι ένδειξη επίθεσης, επειδή δεν υπάρχουν στοιχεία ότι ο εισβολέας έχει παραβιάσει την εταιρεία. Ωστόσο, εάν κάποιος κάνει κλικ σε έναν σύνδεσμο ηλεκτρονικού ψαρέματος και κατεβάσει κακόβουλο λογισμικό, η εγκατάσταση του κακόβουλου λογισμικού αποτελεί ένδειξη συμβιβασμού.

  • Οι ενδείξεις παραβίασης στο ηλεκτρονικό ταχυδρομείο περιλαμβάνουν μια ξαφνική πλημμύρα ανεπιθύμητων μηνυμάτων, περίεργα συνημμένα ή συνδέσμους ή ένα απροσδόκητο μήνυμα ηλεκτρονικού ταχυδρομείου από ένα γνωστό άτομο. Για παράδειγμα, εάν ένας υπάλληλος στείλει σε έναν συνάδελφο ένα μήνυμα ηλεκτρονικού ταχυδρομείου με ένα περίεργο συνημμένο, μπορεί να υποδηλώνει ότι ο λογαριασμός του έχει παραβιαστεί.

  • Υπάρχουν πολλοί τρόποι για τον εντοπισμό ενός παραβιασμένου συστήματος. Μια αλλαγή στην κίνηση δικτύου από έναν συγκεκριμένο υπολογιστή θα μπορούσε να αποτελεί ένδειξη ότι έχει παραβιαστεί. Εάν ένα άτομο που συνήθως δεν χρειάζεται ένα σύστημα αρχίζει να έχει τακτική πρόσβαση σε αυτό, αυτό είναι μια κόκκινη σημαία. Οι αλλαγές στις ρυθμίσεις παραμέτρων του συστήματος ή μια μη αναμενόμενη εγκατάσταση λογισμικού μπορεί επίσης να υποδεικνύουν ότι έχει παραβιαστεί. 

  • Τρία παραδείγματα IOC είναι τα εξής:

    • Ένας λογαριασμός χρήστη που βασίζεται σε Βόρεια Αμερική ξεκινά την είσοδο σε εταιρικούς πόρους από την Ευρώπη.
    • Χιλιάδες αιτήσεις πρόσβασης σε πολλούς λογαριασμούς χρηστών, που υποδεικνύουν ότι ο οργανισμός είναι θύμα μιας επίθεσης με ωμή βία.
    • Νέες αιτήσεις συστημάτων ονομάτων τομέα που προέρχονται από έναν νέο κεντρικό υπολογιστή ή μια χώρα/περιοχή όπου οι υπάλληλοι και οι πελάτες δεν διαμένουν.

Ακολουθήστε την Ασφάλεια της Microsoft