Trace Id is missing
Gå til hovedinnhold
Microsoft Sikkerhet

Hva er indikatorer på brudd (IOC-er)?

Finn ut hvordan du overvåker, identifiserer, bruker og svarer på indikatorer på brudd.

Oppdag Microsoft Defender trusselinformasjon

indikatorer på brudd forklart

En indikator på brudd (IOC) er bevis på at noen kan ha begått et sikkerhetsbrudd i en organisasjons nettverk eller endepunkt. Disse tekniske dataene indikerer ikke bare en potensiell trussel, de signaliserer at et angrep, for eksempel skadelig programvare, kompromittert legitimasjon eller dataeksfiltrasjon, allerede har forekommet. Sikkerhetseksperter søker etter IOC-er på hendelseslogger, løsninger for utvidet oppdagelse og svar (XDR) og løsninger for administrasjon av sikkerhetsinformasjon og -hendelser (SIEM). Under et angrep bruker teamet IOC-er for å eliminere trusselen og redusere skade. Etter gjenoppretting hjelper IOC-er en organisasjon med å forstå hva som skjedde, slik at organisasjonens sikkerhetsteam kan styrke sikkerheten og redusere risikoen for en annen lignende hendelse. 

Eksempler på IOC-er

I IOC-sikkerhet overvåker IT miljøet for følgende hint om at et angrep pågår:

Avvik i nettverkstrafikk

I de fleste organisasjoner er det konsekvente mønstre for nettverkstrafikk som passerer inn og ut av det digitale miljøet. Når dette endres, for eksempel hvis det er betydelig flere data som forlater organisasjonen, eller hvis det kommer aktivitet fra en uvanlig plassering i nettverket, kan det være et tegn på et angrep.

Uvanlige påloggingsforsøk

I likhet med nettverkstrafikk er folks arbeidsvaner forutsigbare. De logger vanligvis på fra de samme stedene og omtrent samme tid i løpet av uken. Sikkerhetseksperter kan oppdage en kompromittert konto ved å være oppmerksom på pålogginger på ulike tidspunkter på dagen eller fra uvanlige geografiske områder, for eksempel et land der en organisasjon ikke har et kontor. Det er også viktig å notere seg flere mislykkede pålogginger fra samme konto. Selv om folk med jevne mellomrom glemmer passordene sine, eller har problemer med å logge på, kan de vanligvis løse det etter noen få forsøk. Gjentatte mislykkede påloggingsforsøk kan tyde på at noen prøver å få tilgang til organisasjonen ved hjelp av en stjålet konto. 

Uregelmessigheter for rettighetskonto

Mange angripere, enten de er insidere eller administratorer, er interessert i å få tilgang til administrative kontoer og skaffe sensitive data. Atypisk atferd knyttet til disse kontoene, for eksempel noen som prøver å eskalere rettighetene sine, kan være et tegn på et brudd.

Endringer i systemkonfigurasjoner

Skadelig programvare programmeres ofte til å gjøre endringer i systemkonfigurasjoner, for eksempel aktivere ekstern pålogging eller deaktivere sikkerhetsprogramvare. Ved å overvåke disse uventede konfigurasjonsendringene kan sikkerhetsteknikere identifisere et brudd før det har oppstått for mye skade.

Uventede programvareinstallasjoner eller oppdateringer

Mange angrep begynner med installasjon av programvare, for eksempel skadelig programvare eller løsepengevirus, som er utformet for å gjøre filer utilgjengelige eller gi angripere tilgang til nettverket. Ved å overvåke for uplanlagte programvareinstallasjoner og oppdateringer, kan organisasjoner raskt fange opp disse IOC-ene. 

Mange forespørsler om samme fil

Flere forespørsler etter én enkelt fil kan tyde på at en aktør med ondsinnede hensikter prøver å stjele den og har prøvd flere metoder for å få tilgang til den.

Forespørsler om uvanlige domenenavnsystemer

Noen uvennelige aktører bruker en angrepsmetode kalt kommando og kontroll. De installerer skadelig programvare på en organisasjons server som oppretter en tilkobling til en server som de eier. Deretter sender de kommandoer fra serveren til den infiserte maskinen for å forsøke å stjele data eller forstyrre operasjoner. Uvanlige DNS-forespørsler (Domain Name Systems) hjelper IT med å oppdage disse angrepene.

Slik identifiserer du IOC-er

Tegnene på et digitalt angrep registreres i loggfilene. Som en del av IOC-cybersikkerhet overvåker team regelmessig digitale systemer for mistenkelig aktivitet. Moderne SIEM- og XDR-løsninger forenkler denne prosessen med kunstig intelligens og maskinlæringsalgoritmer som etablerer en grunnlinje for det som er normalt i organisasjonen, og deretter varsler teamet om avvik. Det er også viktig å engasjere ansatte utenfor sikkerhet, som kan motta mistenkelige e-postmeldinger eller ved et uhell laste ned en infisert fil. Gode opplæringsprogrammer for sikkerhet hjelper ansatte med å bli bedre til å oppdage kompromitterte e-postmeldinger og gi dem mulighet til å rapportere alt som virker mistenkelig.

Hvorfor IOC-er er viktige

Overvåking av IOC-er er avgjørende for å redusere en organisasjons sikkerhetsrisiko. Tidlig oppdagelse av IOC-er gjør det mulig for sikkerhetsteam å svare på og løse angrep raskt, noe som reduserer mengden nedetid og avbrudd. Regelmessig overvåking gir også teamene større innsikt i organisatoriske sårbarheter, som deretter kan reduseres.

Svare på indikatorer på brudd

Når sikkerhetsteamene identifiserer en IOC, må de reagere effektivt for å sikre så liten skade på organisasjonen som mulig. Følgende trinn hjelper organisasjoner med å holde fokus og stoppe trusler så raskt som mulig:

Opprett en plan for hendelsesrespons

Å svare på en hendelse er stressende og tidssensitivt fordi jo lengre angripere forblir ubeskyttet, jo mer sannsynlig er det at de oppnår målene sine. Mange organisasjoner utvikler en plan for svar på hendelser for å veilede team i de kritiske fasene av et svar. Planen beskriver hvordan organisasjonen definerer en hendelse, roller og ansvarsområder, trinnene som kreves for å løse en hendelse, og hvordan teamet skal kommunisere til ansatte og eksterne interessenter. 

Isoler kompromitterte systemer og enheter

Når en organisasjon har identifisert en trussel, isolerer sikkerhetsteamet raskt programmer eller systemer som er under angrep fra resten av nettverkene. Dette bidrar til å forhindre at angriperne får tilgang til andre deler av bedriften.

Utfør teknisk analyse

Teknisk analyse hjelper organisasjoner med å avdekke alle aspekter ved et brudd, inkludert kilden, typen angrep og angriperens mål. Analyse utføres under angrepet for å forstå omfanget av bruddet. Når organisasjonen har kommet seg etter angrepet, hjelper ytterligere analyse teamet med å forstå mulige sårbarheter og annen innsikt.

Eliminer trusselen

Teamet fjerner angriperen og eventuell skadelig programvare fra berørte systemer og ressurser, noe som kan innebære å koble fra systemer.

Implementer sikkerhets- og prosessforbedringer

Når organisasjonen har kommet seg etter hendelsen, er det viktig å vurdere hvorfor angrepet skjedde, og om det var noe organisasjonen kunne ha gjort for å forhindre det. Det kan være enkle prosess- og policyforbedringer som vil redusere risikoen for et lignende angrep i fremtiden, eller teamet kan identifisere løsninger med lengre rekkevidde som skal legges til i et sikkerhetsveikart.

IOC-løsninger

De fleste sikkerhetsbrudd etterlater et teknisk spor i loggfiler og systemer. Ved å lære å identifisere og overvåke disse IOC-ene kan organisasjoner raskt isolere og eliminere angripere. Mange team vender seg til SIEM-løsninger, for eksempel Microsoft Sentinel og Microsoft Defender XDR, som bruker kunstig intelligens og automatisering til å vise IOP-er og koordinere dem med andre hendelser. En plan for hendelsesrespons gjør det mulig for team å ligge i forkant av angrep og raskt slå dem ned. Når det gjelder cybersikkerhet, jo raskere selskaper forstår hva som skjer, jo mer sannsynlig er det at de stopper et angrep før det koster dem penger eller skader omdømmet deres. IOC-sikkerhet er nøkkelen til å hjelpe organisasjoner med å redusere risikoen for et kostbart brudd.

Mer informasjon om Microsoft Sikkerhet

Microsoft trusselbeskyttelse

Identifiser og svar på hendelser på tvers av organisasjonen med det nyeste innen trusselbeskyttelse.

Mer informasjon

Microsoft Sentinel

Avdekk avanserte trusler og reager aktivt med en kraftig, skybasert SIEM-løsning.

Mer informasjon

Microsoft Defender XDR

Stopp angrep på tvers av endepunkter, e-post, identiteter, programmer og data med XDR-løsninger.

Mer informasjon

Trusselinformasjon-fellesskap

Få de nyeste oppdateringene fra fellesskapsutgaven av Microsoft Defender trusselinformasjon.

Mer informasjon

Vanlige spørsmål

  • Det finnes flere typer IOC-er. Noen av de vanligste er:

    • Avvik i nettverkstrafikk
    • Uvanlige påloggingsforsøk
    • Uregelmessigheter for rettighetskonto
    • Endringer i systemkonfigurasjoner
    • Uventede programvareinstallasjoner eller oppdateringer
    • Mange forespørsler om samme fil
    • Forespørsler om uvanlige domenenavnsystemer

  • En indikator på brudd er digitale bevis på at et angrep allerede har skjedd. En indikator på et angrep er bevis på at et angrep sannsynligvis vil oppstå. En phishing-kampanje er for eksempel en indikator på angrep fordi det ikke finnes bevis for at angriperen har begått sikkerhetsbrudd mot selskapet. Hvis noen imidlertid klikker på en phishing-kobling og laster ned skadelig programvare, er installasjonen av skadelig programvare en indikator på brudd.

  • indikatorer på brudd i e-post inkluderer en plutselig flom av søppelpost, rare vedlegg eller koblinger, eller en uventet e-post fra en kjent person. Hvis en ansatt for eksempel sender en kollega en e-postmelding med et merkelig vedlegg, kan det tyde på at kontoen deres er kompromittert.

  • Det finnes flere måter å identifisere et kompromittert system på. En endring i nettverkstrafikken fra en bestemt datamaskin kan være en indikator på at den er kompromittert. Hvis en person som vanligvis ikke trenger et system, begynner å få tilgang til det regelmessig, er det et rødt flagg. Endringer i konfigurasjonene på systemet eller en uventet programvareinstallasjon kan også indikere at det er kompromittert. 

  • Tre IOC-eksempler er:

    • En brukerkonto som er basert i Nord-Amerika begynner å logge på firmaressurser fra Europa.
    • Tusenvis av tilgangsforespørsler på tvers av flere brukerkontoer, noe som indikerer at organisasjonen er offer for et angrep med rå kraft.
    • Nye forespørsler fra domenenavnsystemer kommer fra en ny vert eller et land der ansatte og kunder ikke befinner seg.

Følg Microsoft Sikkerhet