Trace Id is missing
Prejsť na hlavný obsah
Zabezpečenie od spoločnosti Microsoft

Čo sú indikátory ohrozenia (IOC)?

Zistite, ako monitorovať, identifikovať, používať a reagovať na indikátory ohrozenia.

Objavte produkt Microsoft Defender Analýza hrozieb

Vysvetlenie indikátorov ohrozenia

Indikátor ohrozenia (IOC) je dôkazom toho, že niekto mohol narušiť sieť alebo koncový bod organizácie. Tieto forenzné údaje nielen naznačujú potenciálnu hrozbu, ale aj signalizujú, že útok, napríklad škodlivý softvér, ohrozenie prihlasovacích údajov alebo exfiltrácia údajov, už nastal. Odborníci v oblasti zabezpečenia vyhľadávajú IOC v denníkoch udalostí, riešeniach rozšírená detekcia a reakcia (XDR) rozšírenej detekcie a reakcie (XDR) a riešeniach Security Information and Event Management (SIEM). Počas útoku tím používa IOC na odstránenie hrozby a zmiernenie poškodenia. Po obnovení môžu IOC pomôcť organizácii lepšie pochopiť, čo sa stalo, aby tím zabezpečenia organizácie mohol zvýšiť zabezpečenie a znížiť riziko ďalšieho podobného incidentu. 

Príklady IOC

V zabezpečení IOC oddelenie IT monitoruje v prostredí nasledujúce znaky toho, že prebieha útok:

Anomálie sieťového prenosu

Vo väčšine organizácií existujú konzistentné vzory sieťových prenosov do a z digitálneho prostredia. Keď sa to zmení, napríklad ak organizáciu opúšťa podstatne viac údajov alebo ak aktivita pochádza z nezvyčajného miesta v sieti, môže to byť znakom útoku.

Nezvyčajné pokusy o prihlásenie

Pracovné návyky ľudí sú predvídateľné veľmi podobne ako sieťový prenos. Zvyčajne sa prihlasujú z rovnakých miest a približne v rovnakom čase počas týždňa. Odborníci na zabezpečenie môžu rozpoznať zneužité konto tak, že venujú pozornosť prihláseniam v nezvyčajných časoch dňa alebo z nezvyčajných geografických oblastí, napríklad z krajiny, v ktorej organizácia nemá kanceláriu. Dôležité je aj všimnúť si viacero neúspešných prihlásení z toho istého konta. Hoci ľudia pravidelne zabúdajú heslá alebo majú problémy s prihlásením, zvyčajne ich dokážu vyriešiť po niekoľkých pokusoch. Opakované neúspešné pokusy o prihlásenie môžu naznačovať, že niekto sa pokúša získať prístup k organizácii pomocou ukradnutého konta. 

Nezrovnalosti konta s oprávneniami

Mnohí útočníci, či už sú zvnútra alebo zvonku, sa zaujímajú o prístup k správcovským kontám a získanie citlivých údajov. Netypické správanie spojené s týmito kontami, ak sa niekto napríklad pokúsi o eskalovanie oprávnení, môže byť znakom narušenia.

Zmeny v systémových konfiguráciách

Škodlivý softvér je často naprogramovaný tak, aby vykonával zmeny v systémových konfiguráciách, ako je napríklad povolenie vzdialeného prístupu alebo zakázanie softvéru zabezpečenia. Monitorovaním týchto neočakávaných zmien konfigurácie môžu odborníci na zabezpečenia identifikovať narušenie ešte pred vznikom príliš veľkých škôd.

Neočakávané inštalácie alebo aktualizácie softvéru

Mnohé útoky sa začínajú inštaláciou softvéru, napríklad škodlivého softvéru alebo ransomwaru, ktorý je navrhnutý tak, aby súbory boli nedostupné alebo útočníci mali prístup k sieti. Monitorovaním neplánovaných inštalácií a aktualizácií softvéru môžu organizácie tieto IOC rýchlo zachytiť. 

Množstvo žiadostí o ten istý súbor

Viaceré žiadosti o jeden súbor môžu naznačovať, že útočník sa ho pokúša ukradnúť a vyskúšal k nemu získať prístup niekoľkými spôsobmi.

Nezvyčajné požiadavky DNS

Niektorí útočníci používajú metódu útoku, ktorá sa označuje ako riadenie a kontrola. Nainštalujú na server organizácie škodlivý softvér, ktorý vytvorí pripojenie k serveru, ktorý vlastnia. Potom zo svojho servera odosielajú do infikovaného počítača príkazy a pokúšajú sa ukradnúť údaje alebo narušiť operácie. Nezvyčajné požiadavky DNS (Domain Name Systems) pomáhajú IT zistiť tieto útoky.

Ako identifikovať IOC

Znaky digitálneho útoku sa zaznamenávajú do súborov denníka. Tímy v rámci kybernetickej bezpečnosti IOC pravidelne monitorujú podozrivú aktivitu digitálnych systémov. Moderné riešenia SIEM a XDR zjednodušujú tento proces pomocou algoritmov umelej inteligencie a strojového učenia, ktoré stanovujú základ toho, čo je v organizácii normálne, a potom upozorňujú tím na anomálie. Dôležité je zapojiť aj zamestnancov mimo oblasti zabezpečenia, ktorí môžu dostávať podozrivé e-maily alebo omylom stiahnuť infikovaný súbor. Dobré školiace programy v oblasti zabezpečenia pomáhajú pracovníkom zlepšovať sa v detekcii zneužitých e-mailov a ponúkajú im spôsoby, ako nahlásiť všetko, čo sa zdá byť nevhodné.

Prečo sú IOC dôležité

Monitorovanie IOC je kriticky dôležité na zníženie rizika pre zabezpečenie organizácie. Včasná detekcia IOC umožňuje tímom zabezpečenia rýchlo reagovať na útoky a riešiť ich, čím sa znižuje množstvo výpadkov a prerušení. Pravidelné monitorovanie poskytuje tímom aj lepší prehľad o rizikách organizácie, ktoré potom možno zmierniť.

Reakcie na indikátory ohrozenia

Keď tímy zabezpečenia identifikujú IOC, musia efektívne reagovať, aby sa zabezpečilo čo najmenšie poškodenie organizácie. Nasledujúce kroky pomáhajú organizáciám sústrediť sa a zastaviť hrozby čo najrýchlejšie:

Vytvorenie plánu odozvy na incidenty

Reagovanie na incident je stresujúce a citlivé na čas, pretože čím dlhšie zostanú útočníci neodhalení, tým pravdepodobnejšie dosiahnu svoje ciele. Mnohé organizácie vyvíjajú plán odozvy na incidenty, ktorý pomôže pri usmerňovaní tímov počas kritických fáz odozvy. Plán načrtáva, ako organizácia definuje incident, úlohy a zodpovednosti, kroky potrebné na vyriešenie incidentu a spôsob, akým by mal tím komunikovať so zamestnancami a externými zainteresovanými stranami. 

Izolovanie ohrozených systémov a zariadení

Keď organizácia identifikuje hrozbu, tím zabezpečenia rýchlo izoluje napadnuté aplikácie alebo systémy od zvyšných sietí. To pomáha zabrániť útočníkom v prístupe k iným častiam podniku.

Vykonanie forenznej analýzy

Forenzná analýza pomáha organizáciám odhaliť všetky aspekty narušenia vrátane zdroja, typu útoku a cieľov útočníka. Analýza sa vykonáva počas útoku na pochopenie rozsahu ohrozenia. Po obnovení organizácie po útoku ďalšia analýza pomôže tímu pochopiť možné riziká a ďalšie prehľady.

Eliminácia hrozby

Tím odstráni útočníka a všetok škodlivý softvér z ovplyvnených systémov a zdrojov, čo môže zahŕňať prepnutie systémov do režimu offline.

Implementácia vylepšení zabezpečenia a procesov

Po obnovení organizácie po incidente je dôležité vyhodnotiť, prečo k útoku došlo a či organizácia mohla urobiť niečo, aby mu zabránila. Môžu existovať jednoduché vylepšenia procesov a politík, ktoré v budúcnosti znížia riziko podobného útoku, alebo tím môže identifikovať riešenia s dlhším rozsahom na pridanie do plánu zabezpečenia.

Riešenia IOC

Väčšina narušení zabezpečenia zanechá v súboroch denníkov a systémoch forenznú stopu. Učenie sa identifikovať a monitorovať tieto IOC pomáha organizáciám rýchlo izolovať a eliminovať útočníkov. Mnohé tímy sa obracajú na riešenia SIEM, ako sú Microsoft Sentinel a Microsoft Defender XDR, ktoré využívajú umelú inteligenciu a automatizáciu na vynesenie IOC na povrch a ich koreláciu s inými udalosťami. Plán odozvy na incidenty umožňuje tímom predbehnúť útoky a rýchlo ich odstaviť. Pokiaľ ide o kybernetickú bezpečnosť, čím rýchlejšie spoločnosti porozumejú tomu, čo sa deje, tým pravdepodobnejšie zastavia útok ešte predtým, ako by ich niečo stál alebo poškodí ich dobré meno. Zabezpečenie IOC je kľúčom k pomoci organizáciám pri znižovaní rizika drahého narušenia.

Ďalšie informácie o zabezpečení od spoločnosti Microsoft

Microsoft Ochrana pred bezpečnostnými hrozbami

Identifikujte incidenty vo vašej organizácii a reagujte na ne pomocou najnovšej ochrany pred bezpečnostnými hrozbami.

Ďalšie informácie

Microsoft Sentinel

Odhaľte sofistikované hrozby a rázne na ne reagujte s výkonným cloudovým riešením SIEM.

Ďalšie informácie

Microsoft Defender XDR

Zastavte útoky v koncových bodoch, e-mailoch, identitách, aplikáciách a údajoch pomocou riešení XDR.

Ďalšie informácie

Komunita analýzy hrozieb

Získajte najnovšie aktualizácie z komunitného vydania služby Microsoft Defender Analýza hrozieb.

Ďalšie informácie

Najčastejšie otázky

  • Existuje niekoľko typov IOC. Medzi najbežnejšie patria tieto:

    • Anomálie sieťového prenosu
    • Nezvyčajné pokusy o prihlásenie
    • Nezrovnalosti konta s oprávneniami
    • Zmeny v systémových konfiguráciách
    • Neočakávané inštalácie alebo aktualizácie softvéru
    • Množstvo žiadostí o ten istý súbor
    • Nezvyčajné požiadavky DNS

  • Indikátor ohrozenia je digitálny dôkaz toho, že už došlo k útoku. Indikátor útoku je dôkazom pravdepodobného výskytu útoku. Napríklad kampaň na neoprávnené získavanie údajov je indikátorom útoku, pretože neexistuje žiadny dôkaz o tom, že útočník narušil zabezpečenie spoločnosti. Ak však niekto klikne na prepojenie na neoprávnené získavanie údajov a stiahne škodlivý softvér, inštalácia škodlivého softvéru je indikátorom ohrozenia.

  • Indikátory ohrozenia v e-mailoch zahŕňajú náhlu záplavu nevyžiadanej pošty, nezvyčajné prílohy alebo prepojenia, alebo neočakávaný e-mail od známej osoby. Ak napríklad zamestnanec odošle spolupracovníkom e-mail s nezvyčajnou prílohou, môže to znamenať, že jeho konto bolo zneužité.

  • Existuje viacero spôsobov identifikácie zneužitého systému. Zmena v sieťovom prenose z konkrétneho počítača môže byť indikátorom, že je zneužitý. Ak osoba, ktorá zvyčajne nepotrebuje systém, začne k nemu pravidelne získavať prístup, je to výstražný príznak. Zmeny v konfiguráciách v systéme alebo neočakávaná inštalácia softvéru môžu tiež znamenať, že je zneužitý. 

  • Tri príklady IOC:

    • Používateľské konto so sídlom v Severnej Amerike sa začne prihlasovať do podnikových zdrojov z Európy.
    • Tisíce žiadostí o prístup v rámci viacerých používateľských kont, čo naznačuje, že organizácia sa stala obeťou útoku hrubou silou.
    • Nové požiadavky DNS prichádzajúce od nového hostiteľa alebo z krajiny, v ktorej nesídlia zamestnanci ani zákazníci.

Sledujte Microsoft