מהם מחווני חשיפה לסכנה (IOCs)?
למד כיצד לנטר, לזהות, להשתמש במחווני חשיפה סכנה ולהגיב עליהן.
הסבר על מחווני חשיפה לסכנה
מחוון חשיפה סכנה (IOC) הוא עדות לכך שייתכן שמישהו פרץ לרשת של ארגון או לנקודת קצה. נתונים הוכחה פלילית אלה אינם מציינים רק איום פוטנציאלי, הם מציינים שמתקפות, כגון תוכנה זדונית, אישורים שנחשפו לסכנה או הוצאת נתונים, כבר התרחשו. מומחי אבטחה מחפשים מחווני IOC ביומני אירועים, פתרונות זיהוי ותגובה מורחבים (XDR) ופתרונותאבטחה וניהול אירועים (SIEM). במהלך מתקפה, הצוות משתמש במחווני IOC כדי לבטל את האיום ולצמצם את הנזק. לאחר השחזור, מחווני IOC עוזרים לארגון להבין טוב יותר מה קרה, כך שצוות האבטחה של הארגון יוכל לחזק את האבטחה ולהפחית את הסיכון לתקרית דומה אחרת.
דוגמאות ל- IOCs
באבטחה של IOC, מחלקת IT מנטרת את הסביבה כדי לראות את הרמזים הבאים על כך שמתבצעת מתקפה:
חריגות בתעבורת רשת
ברוב הארגונים קיימים דפוסים עקביים של תעבורת רשת שעוברת בסביבה הדיגיטלית וממנה. כשהם משתנים, למשל אם ישנם כמות גדולה משמעותית של נתונים לגבי עזיבת הארגון או אם יש פעילות שמגיעה ממיקום חריג ברשת, ייתכן שזהו סימן למתקפה.
ניסיונות כניסה חריגים
בדומה לתעבורה ברשת, הרגלי העבודה של אנשים ניתנים לחיזוי. בדרך כלל הם ייכנסו ממיקומים זהים ובאותו זמן בערך במהלך השבוע. מומחי אבטחה יכולים לזהות חשבון שנחשף לסכנה על-ידי התייחסות לכניסה במועדים מוזרים ביום או ממיקומים גאוגרפיים חריגים, כגון מדינה שבה לארגון אין משרד. חשוב גם לשים לב לכניסות מרובות מאותו חשבון שנכשלו. למרות שאנשים שוכחים מעת לעת את הסיסמאות שלהם או מתקשים להיכנס, הם בדרך כלל יכולים לפתור זאת לאחר כמה ניסיונות. ניסיונות כניסה שנכשלו עשויים להצביע על כך שמישהו מנסה לגשת לארגון באמצעות חשבון גנוב.
חריגות בחשבון הרשאה
תוקפים רבים, בין אם הם עובדים פנימיים או אנשים חיצוניים, מעוניינים לגשת לחשבונות מנהליים ולרכוש נתונים רגישים. התנהגות לא חוקית שמשויכת לחשבונות אלה, כגון מישהו שמנסה להסלים את ההרשאות שלו, עשויה להיות סימן להפרה.
שינויים בתצורות מערכות
תוכנות זדוניות מתוכנתות לעתים קרובות לביצוע שינויים בתצורות של מערכות, כגון הפיכת גישה מרחוק לזמינה או הפיכת תוכנת אבטחה ללא זמינה. על-ידי ניטור שינויי תצורה בלתי צפויים אלה, מומחי אבטחה יכולים לזהות הפרה לפני שאירע נזק רב מדי.
התקנות או עדכונים לא צפויים של תוכנה
מתקפות רבות מתחילות בהתקנת תוכנה, כגון תוכנות דוניות או תוכנת כופר, שנועדו להפוך קבצים ללא נגישים או כדי להעניק לתוקפים גישה לרשת. על-ידי ניטור התקנות ועדכונים לא מתוכננים של תוכנה, ארגונים יכולים ללכוד מחווני IOC אלה במהירות.
בקשות רבות עבור אותו קובץ
בקשות מרובות עבור קובץ יחיד עשויות להצביע על כך שגורם מזיק מנסה לגנוב אותו ומנסה כמה שיטות לגשת אליו.
בקשות מערכת חריגות של שמות תחומים
גורמים מזיקים מסוימים משתמשים בשיטת תקיפה הנקראת Command and Control. הם מתקינים תוכנות זדוניות בשרת של ארגון אשר יוצר חיבור לשרת בבעלותו. לאחר מכן הם שולחים פקודות מהשרת למחשב הנגוע כדי לנסות לגנוב נתונים או להפריע לפעולות. בקשות חריגות של מערכות שמות תחומים (DNS) עוזרות למחלקת IT לזהות מתקפות אלה.
מדוע מחווני IOC חשובים
ניטור מחווני IOC הוא קריטי להפחתת סיכון האבטחה של הארגון. זיהוי מוקדם של מחווני IOC מאפשר לצוותי אבטחה להגיב לתקיפות ולפתור תקיפות במהירות, תוך צמצום כמות זמן ההשבתה וההפרעה. ניטור קבוע גם מספק לצוותים תובנות גדולות יותר לגבי פגיעויות ארגוניות, אשר לאחר מכן ניתן לצמצם.
תגובנה למחוון חשיפה לסכנה
לאחר שצוותי אבטחה מזהים IOC, עליהם להגיב ביעילות כדי להבטיח שהנזק לארגון יהיה קטן ככל האפשר. השלבים הבאים עוזרים לארגונים להישאר ממוקדים ולעצור איומים במהירות האפשרית:
בסס תוכנית תגובה לתקריות
תגובה לתקרית היא מלחיצה והזמן בה הוא נושר רגיש, מכיוון שככל שתוקפים נשארים לא מזוהים למשך זמן רב יותר, כך עולה הסבירות שהם ישיגו את המטרות שלהם. ארגונים רבים מפתחים תוכנית תגובה לתקריות כדי לעזור לצוותים להדריך צוותים במהלך השלבים הקריטיים של תגובה. התוכנית מתארת כיצד הארגון מגדיר תקרית, תפקידים ותחומי אחריות, את השלבים הדרושים לפתרון תקרית וכיצד הצוות צריך לתקשר עם עובדים ובעלי עניין חיצוניים.
בודד מערכות ומכשירים שנחשפו לסכנה
לאחר שארגון זיהה איום, צוות האבטחה מבודד במהירות את היישומים או המערכות הנתונים למתקפה, משאר הרשתות. כך נמנעת מהתוקפים האפשרות לגשת לחלקים אחרים בעסק.
ביצוע ניתוח להוכחה פלילית
ניתוח הוכחה פלילית עוזר לארגונים לחשוף את כל ההיבטים של הפרה, כולל המקור, סוג התקיפה ומטרות התוקף. הניתוח מתבצע במהלך המתקפה כדי להבין את היקף הסכנה. לאחר שהארגון התאושש מהמתקפה, ניתוח נוסף עוזר לצוות להבין פגיעויות אפשריות ותובנות אחרות.
הסרת האיומים
הצוות מסיר את התוקף ואת התוכנה הזדונית מהמערכות והמשאבים הנגועים, שעשויים להיות קשורים בהורדת מערכות מהרשת.
יישום שיפורי אבטחה ותהליכים
לאחר שהארגון התאושש מהתקרית, חשוב להעריך מדוע המתקפה התרחשה ואם הארגון יכול היה לעשות משהו כדי למנוע אותה. ייתכן שיש שיפורים פשוטים בתהליך ובמדיניות שיפחיתו את הסיכון למתקפה דומה בעתיד, או שהצוות עשוי לזהות פתרונות לטווח ארוך יותר להוספה למפת דרכים של אבטחה.
פתרונות IOC
רוב הפרות האבטחה משאירות נתיב הוכחת פלילית בקבצים ובמערכות יומן רישום. למידה לזהות ולנטר מחווני IOC אלה עוזרת לארגונים לבודד במהירות ולהימנע מתוקפים. צוותים רבים פונים לפתרונות SIEM, כגון Microsoft Sentinel ו- Microsoft Defender XDR, שמשתמשים בבינה מלאכותית ובאוטומציה כדי להעלות מחווני חשיפה לסכנה ולתאם אותם עם אירועים אחרים. תוכנית תגובה לתקריות מאפשרת לצוותים לצפות מראש מתקפות ולהשבית אותן במהירות. בכל הנוגע לאבטחת סייבר, החברות המהירות יותר מבינות מה קורה, כך שישנה סבירות גבוהה יותר שהן יעצרו מתקפה לפני שהיא תעלה להן כסף או תזיק למוניטין שלהן. אבטחת IOC היא המפתח לסייע לארגונים להפחית את הסיכון שלהם להפרות שיעלו ביוקר.
קבל מידע נוסף על האבטחה של Microsoft
Microsoft Threat Protection
זהה תקריות ברחבי הארגון והגב עליהן באמצעות המתקדמים בכלי ההגנה מפני איומים.
Microsoft Sentinel
גלה איומים מתוחכמים והגב עליהם בהחלטיות בעזרת פתרון SIEM עוצמתי מבוסס על ענן.
Microsoft Defender XDR
מנע מתקפות בכל נקודות הקצה, הדואר אלקטרוני, הזהויות, היישומים והנתונים באמצעות פתרונות XDR.
קהילת בינת איומים
קבל את העדכונים האחרונים מהמהדורה של קהילת 'בינת איומים של Microsoft Defender'.
שאלות נפוצות
-
ישנם כמה סוגים של מחווני IOC. כמה מהאפשרויות הנפוצות ביותר הן:
- חריגות בתעבורת רשת
- ניסיונות כניסה חריגים
- חריגות בחשבון הרשאה
- שינויים בתצורות מערכות
- התקנות או עדכונים לא צפויים של תוכנה
- בקשות רבות עבור אותו קובץ
- בקשות מערכת חריגות של שמות תחומים
-
מחוון חשיפה לסכנה הוא עדות דיגיטלית לכך שכבר התרחשה מתקפה. מחוון למתקפה הוא עדות לכך שמתקפה עשויה להתרחש. לדוגמה, קמפיין דיוג הוא מחוון למתקפה מכיוון שאין עדות לכך שהתוקף פרץ לחברה. עם זאת, אם מישהו לוחץ על קישור דיוג ומוריד תוכנות זדוניות, התקנת התוכנה הזדונית היא מחוון חשיפה לסכנה.
-
מחווני חשיפה לסכנה בדואר אלקטרוני כוללים הצפה פתאומית של הודעות זבל, קבצים מצורפים או קישורים מוזרים, או הודעת דואר אלקטרוני לא צפויה מאדם ידוע. לדוגמה, אם עובד שולח לעמית לעבודה הודעת דואר אלקטרוני עם קובץ מצורף מוזר, הדבר עשוי להצביע על כך שהחשבון שלו נחשף לסכנה.
-
קיימות דרכים מרובות לזיהוי מערכת שנחשפה לסכנה. שינוי תעבורת רשת ממחשב מסוים עשוי להיות מחוון לכך שהוא נחשף לסכנה. אם אדם שאינו זקוק למערכת בדרך כלל, מתחיל לגשת אליה באופן קבוע, זהו דגל אדום. שינויים בלתי צפויים בתצורת המערכת או בהתקנת תוכנה גם הם להצביע על כך שהוא נחשף לסכנה.
-
שלוש דוגמאות IOC הן:
- חשבון משתמש המבוסס בצפון אמריקה מתחיל להיכנס למשאבי החברה מאירופה.
- אלפי בקשות גישה בכמה חשבונות משתמשים, המציינות שהארגון נפל קורבן למתקפה של כוח תקיפה.
- בקשות חדשות של מערכות שמות תחומים מגיעות ממארח חדש או ממדינה שבה עובדים ולקוחות אינם ממוקמים.
עקוב אחר 'האבטחה של Microsoft'