Trace Id is missing
Ugrás a tartalomtörzsre
Microsoft Biztonság

Mik azok a fertőzöttségi mutatók (IOC-k)?

Ismerje meg, hogyan figyelheti, azonosíthatja és használhatja a fertőzöttségi mutatókat, és hogyan válaszolhat rájuk.

A fertőzöttségi mutatók ismertetése

A fertőzöttségi mutató (IOC) annak a bizonyítéka, hogy valaki feltörte egy szervezet hálózatát vagy egy végpontját. Ezek a bűnügyi adatok nem csak egy potenciális fenyegetést jeleznek; azt jelzik, hogy egy támadás már megtörtént (például kártevő szoftver, feltört hitelesítő adatok vagy adatszivárgás révén). A biztonsági szakemberek az IOC-ket az eseménynaplókban, a Kiterjesztett észlelés és válasz (XDR) kiterjesztett észlelési és reagálási (XDR) megoldásokban és a Biztonsági információk és események kezelése (SIEM) biztonsági információk és események kezelése (SIEM) megoldásokban keresik. A támadás során a csapat az IOC-ket használja a fenyegetés megszüntetésére és a károk mérséklésére. A helyreállítás után az IOC-k segítenek megérteni, hogy mi történt, így a szervezet biztonsági csapata megerősítheti a biztonságot, és csökkentheti egy újabb hasonló incidens kockázatát. 

Példák IOC-kre

Az IOC-biztonsági rendszerben az informatikusok a következő támadásra utaló jeleket figyelik a környezetben:

A hálózati forgalom rendellenességei

A legtöbb szervezetnél a digitális környezetbe bejövő és onnan kimenő hálózati forgalomnak következetes mintázatai vannak. Ha ebben változás áll be, például ha jelentősen több adat hagyja el a szervezetet, vagy ha a hálózat egy szokatlan helyéről érkezik tevékenység, az támadásra utaló jel lehet.

Szokatlan bejelentkezési kísérletek

A hálózati forgalomhoz hasonlóan az emberek munkaszokásai is kiszámíthatóak. Jellemzően ugyanarról a helyről és nagyjából ugyanabban az időpontban jelentkeznek be a hét folyamán. A biztonsági szakemberek úgy ismerhetik fel, hogy egy fiókot feltörtek, ha felfigyelnek arra, hogy a bejelentkezések szokatlan napszakokban vagy szokatlan földrajzi helyekről történnek, például egy olyan országból, ahol a szervezetnek nincs irodája. Fontos arra is figyelni, ha egy adott fiókból többször is sikertelen bejelentkezés történik. Bár a felhasználók időnként elfelejtik a jelszavukat, vagy problémát tapasztalnak a bejelentkezés során, néhány próbálkozás után általában sikerül megoldaniuk a problémát. Az ismételt sikertelen bejelentkezési kísérletek azt jelezhetik, hogy valaki lopott fiókkal próbál hozzáférni a szervezeti rendszerhez. 

Emelt jogosultsági szintű fiókok rendellenességei

Sok támadó, legyen az bennfentes vagy kívülálló, a rendszergazdai fiókokhoz szeretne hozzáférni, hogy bizalmas adatokat szerezhessen meg. Az ilyen fiókokhoz kapcsolódó rendellenes viselkedés, például ha valaki megpróbálja kiterjeszteni a jogosultságait, biztonsági incidensre utaló jel lehet.

Rendszer-konfigurációk módosításai

A kártevő szoftvereket gyakran arra programozzák, hogy megváltoztassák a rendszer konfigurációját, például hogy engedélyezzék a távoli hozzáférést vagy letiltsák a biztonsági szoftvereket. Az ilyen váratlan konfigurációs módosítások nyomon követésével a biztonsági szakemberek még azelőtt felismerhetik a biztonsági incidenseket, mielőtt túl nagy kár keletkezne.

Váratlan szoftvertelepítések vagy -frissítések

Sok támadás szoftverek, például kártevők vagy zsarolóprogramok telepítésével kezdődik, amelyek célja, hogy elérhetetlenné tegyék a fájlokat, vagy hogy hozzáférést biztosítsanak a támadóknak a hálózathoz. A nem tervezett szoftvertelepítések és szoftverfrissítések nyomon követésével a szervezetek gyorsan észlelhetik ezeket az IOC-ket. 

Ugyanarra a fájlra irányuló nagy számú kérelem

Ha ugyanazon fájlra irányulóan többször is érkezik kérés, az azt jelezheti, hogy egy rosszindulatú szereplő próbálja ellopni a fájlt, és többféle módszerrel próbálkozott már a hozzáférés érdekében.

Szokatlan DNS-kérések

Egyes rosszindulatú szereplők az irányítás és vezérlés néven is ismert támadási módszert használják. Olyan kártevő szoftvert telepítenek a szervezet kiszolgálójára, amely kapcsolatot hoz létre a saját tulajdonukban lévő kiszolgálóval. Ezután a saját kiszolgálójukról parancsokat küldenek a fertőzött gépre, hogy megpróbáljanak adatokat lopni vagy megzavarni a működést. A szokatlan DNS-kérések feltárása segíthet az informatikai rendszergazdáknak észlelni ezeket a támadásokat.

Az IOC-k azonosítása

A digitális támadás jeleit a naplófájlok rögzítik. Az IOC-kiberbiztonság részeként a csapatok rendszeresen figyelik a digitális rendszereket a gyanús tevékenységeket keresve. A modern SIEM- és XDR-megoldások megkönnyítik ezt a folyamatot az AI és a gépi tanulási algoritmusok révén, amelyek meghatározzák, hogy mik a normális működés alapértékei a szervezetben, majd figyelmeztetik a csapatot a rendellenességekre. Ugyancsak fontos, hogy a biztonsági területen kívüli munkatársakat is bevonjuk, akik gyanús e-maileket kaphatnak, vagy véletlenül letölthetnek egy fertőzött fájlt. A megfelelő biztonsági képzési programok segítenek a dolgozóknak abban, hogy jobban felismerjék a fertőzött e-maileket, és lehetőséget biztosítanak számukra, hogy jelentsék, ha valami rendellenesnek tűnik.

Miért fontosak az IOC-k?

Az IOC-k figyelése kritikus fontosságú a szervezet biztonsági kockázatának csökkentéséhez. Az IOC-k korai észlelése lehetővé teszi a biztonsági csapatok számára, hogy gyorsan reagáljanak a támadásokra és elhárítsák azokat, csökkentve ezzel a leállások és üzemzavarok mennyiségét. Rendszeres figyeléssel a csapatok pontosabb betekintést is kaphatnak a szervezeti sebezhetőségekbe, amelyeket aztán mérsékelni tudnak.

Reagálás a fertőzöttségi mutatókra

Amint a biztonsági csapatok azonosítják az IOC-t, a reagálásnak hatékonynak kell lennie, hogy a szervezetet a lehető legkisebb kár érje. A következő lépések segítenek a szervezeteknek a figyelem összpontosításában és a fenyegetések mielőbbi elhárításában:

Incidenselhárítási terv készítése

Az incidensre való reagálás feszült és időigényes feladat, mivel minél tovább maradnak észrevétlenek a támadók, annál valószínűbb, hogy elérik a céljukat. Számos szervezet készítIncidenselhárítás incidenselhárítási tervet, amely segít a csapatoknak a reagálás kritikus fázisában. A terv ismerteti, hogy a szervezet hogyan definiálja az incidenst, a szerepeket és felelősségi köröket, az incidens megoldásához szükséges lépéseket, valamint azt, hogy a csapatnak hogyan kell kommunikálnia az alkalmazottakkal és a külső érdekelt felekkel. 

Feltört rendszerek és eszközök elkülönítése

Miután a szervezet azonosított egy fenyegetést, a biztonsági csapat gyorsan elkülöníti a többi hálózattól azokat az alkalmazásokat vagy rendszereket, amelyek támadás alatt állnak. Ez segít megakadályozni, hogy a támadók a vállalkozás más adataihoz is hozzáférjenek.

Kriminalisztikai elemzés végrehajtása

A kriminalisztikai elemzés segít a szervezeteknek feltárni a biztonsági incidensek minden aspektusát, beleértve a támadás forrását, típusát és a támadó céljait. Az elemzés a támadás során történik, hogy felmérjék a biztonsági sérülés mértékét. Miután a szervezet helyreállt a támadás után, további elemzések segítik a csapatot a lehetséges biztonsági rések és az egyéb betekintő adatok megértésében.

A fenyegetés megszüntetése

A csapat eltávolítja a támadót és az esetleges kártevőket az érintett rendszerekről és erőforrásokról, ami a rendszerek offline állapotba helyezésével járhat.

Biztonsági és folyamatfejlesztések végrehajtása

Miután a szervezet helyreállt az incidens után, fontos kiértékelni, hogy miért történt a támadás, és hogy van-e valami, amit a szervezet megtehetett volna, hogy megakadályozza azt. Lehetnek olyan egyszerű folyamat- és szabályzatfejlesztések, amelyek a jövőben csökkentik a hasonló támadások kockázatát, vagy a csapat meghatározhat olyan hosszabb távú megoldásokat is, amelyeket fel kell venni a biztonsági fejlesztési ütemtervbe.

IOC-megoldások

A legtöbb biztonsági incidens nyomot hagy a naplófájlokban és rendszerekben. Ha megtanulják azonosítani és nyomon követni ezeket az IOC-ket, a szervezetek gyorsan elszigetelhetik és kiiktathatják a támadókat. Sok csapat alkalmaz SIEM-megoldásokat, például a Microsoft Sentinelt és a Microsoft Defender XDR-t, amelyek mesterséges intelligenciát és automatizálást használnak az IOC-k feltárásához és ahhoz, hogy azokat más eseményekkel összefüggésbe hozzák. Az incidenselhárítási terv lehetővé teszi a csapatok számára, hogy elejét vegyék a támadásoknak és gyorsan leállítsák azokat. Ami a kiberbiztonságot illeti, minél gyorsabban megértik a vállalatok, mi történik, annál valószínűbb, hogy képesek leállítani a támadást, még mielőtt az pénzbe kerülne nekik vagy a hírnevüknek okozna károkat. Az IOC-biztonság kulcsfontosságú ahhoz, hogy a szervezetek csökkenteni tudják a költséges biztonsági incidensek kockázatát.

További információ a Microsoft Biztonságról

Microsoft veszélyforrások elleni védelem

A veszélyforrások elleni legmodernebb védelemmel azonosíthatja és kezelheti az incidenseket a szervezetében.

Microsoft Sentinel

A felhőalapú, hatékony SIEM-megoldással feltárhatja a kifinomult fenyegetéseket is, és hatékonyan reagálhat rájuk.

Microsoft Defender XDR

Az XDR-megoldásokkal leállíthatja a különböző végpontokon, e-mailekben, identitásokban, alkalmazásokban és adatokban előforduló támadásokat.

Az intelligens veszélyforrás-felderítés közössége

Ismerje meg a Microsoft Defender Intelligens veszélyforrás-felderítés közösségi kiadásának legújabb frissítéseit.

Gyakori kérdések

  • Az IOC-knek számos típusa létezik. A leggyakoribbak a következők:

    • A hálózati forgalom rendellenességei
    • Szokatlan bejelentkezési kísérletek
    • Emelt jogosultsági szintű fiókok rendellenességei
    • Rendszer-konfigurációk módosításai
    • Váratlan szoftvertelepítések vagy -frissítések
    • Ugyanarra a fájlra irányuló nagy számú kérelem
    • Szokatlan DNS-kérések
  • A fertőzöttségi mutató digitális bizonyíték arra, hogy már megtörtént egy támadás. A támadásra utaló jelek arra utalnak, hogy a támadás megtörténte valószínű. Az adathalász kampányok például támadásra utaló jel, mert nincs bizonyíték arra, hogy a támadó feltörte a vállalati rendszert. Ha azonban valaki adathalászati hivatkozásra kattint, majd kártevőt tölt le, a kártevő telepítése fertőzöttségi mutató.

  • Az e-mailekben a fertőzöttségi mutatók közé tartozik a levélszemét hirtelen megjelenő áradata, a furcsa mellékletek vagy hivatkozások, illetve egy ismert személytől érkező meglepetésszerű e-mailek. Ha például egy alkalmazott furcsa csatolmányt tartalmazó e-mailt küld egy munkatársának, az azt jelezheti, hogy a fiókját feltörték.

  • A feltört rendszer azonosításának több módja is van. Egy adott számítógép hálózati forgalmának változása azt jelezheti, hogy a számítógépet feltörték. Figyelmeztető jel lehet, ha egy olyan személy, akinek általában nincs szüksége egy rendszerre, elkezd rendszeresen hozzáférni ahhoz. A rendszer konfigurációinak változása vagy egy váratlan szoftvertelepítés szintén arra utalhat, hogy a rendszert feltörték. 

  • Három IOC-példa:

    • Egy Észak-Amerikában található felhasználói fiók Európából kezd bejelentkezni a vállalati erőforrásokba.
    • Több ezer hozzáférési kérelem több felhasználói fiókon keresztül, ami arra utal, hogy a szervezetet találgatásos támadás érte.
    • Új DNS-kérések, amelyek új gazdagépről vagy olyan országból érkeznek, ahol az alkalmazottak és az ügyfelek nem rendelkeznek lakóhellyel.

A Microsoft Biztonság követése