Vad är indikatorer på kompromisser (IOC)?
Lär dig hur du övervakar, identifierar, använder och svarar på indikatorer för kompromisser.
Indikatorer för komprometterad förklaring
En indikator på komprometterande (IOC) är bevis på att någon kan ha brutit mot en organisations nätverk eller slutpunkt. Dessa tekniska data indikerar inte bara ett potentiellt hot, det signalerar att en attack, till exempel skadlig kod, komprometterade autentiseringsuppgifter eller dataexfiltrering, redan har inträffat. Säkerhetspersonal söker efter IOC:er i händelseloggar, utökad identifiering och svar (XDR) lösningar för utökad identifiering och svar (XDR) och lösningar för säkerhetsinformation och händelsehantering (SIEM). Under en attack använder teamet IOC:er för att eliminera hotet och minimera skador. Efter återställningen hjälper IOCs en organisation att bättre förstå vad som hände, så att organisationens säkerhetsteam kan stärka säkerheten och minska risken för en annan liknande incident.
Exempel på IOC:er
Inom IOC-säkerhet övervakar IT-avdelningen miljön efter följande ledtrådar om att en attack pågår:
Avvikelser i nätverkstrafik
I de flesta organisationer finns det konsekventa mönster för nätverkstrafik som passerar in och ut ur den digitala miljön. När det ändras, till exempel om det finns betydligt mer data som lämnar organisationen eller om det finns aktivitet som kommer från en ovanlig plats i nätverket, kan det vara ett tecken på en attack.
Ovanliga inloggningsförsök
Precis som nätverkstrafik är användarnas arbetsvanor förutsägbara. De loggar vanligtvis in från samma platser och vid ungefär samma tidpunkter under veckan. Säkerhetspersonal kan identifiera ett komprometterat konto genom att vara uppmärksam på inloggningar under udda tider på dagen eller från ovanliga geografiska områden, till exempel ett land där en organisation inte har ett kontor. Det är också viktigt att notera flera misslyckade inloggningar från samma konto. Även om användare med jämna mellanrum glömmer sina lösenord eller har problem med att logga in kan de vanligtvis lösa det efter några försök. Upprepade misslyckade inloggningsförsök kan tyda på att någon försöker komma åt organisationen med ett stulet konto.
Oregelbundna privilegierade konton
Många angripare, oavsett om de är insiders eller angripare, är intresserade av att komma åt administrativa konton och hämta känsliga data. Atypiskt beteende som är associerat med dessa konton, till exempel att någon försöker eskalera sina privilegier, kan vara ett tecken på en överträdelse.
Ändringar i systemkonfigurationer
Skadlig kod är ofta programmerad för att göra ändringar i systemkonfigurationer, till exempel att aktivera fjärråtkomst eller inaktivera säkerhetsprogramvara. Genom att övervaka dessa oväntade konfigurationsändringar kan säkerhetspersonal identifiera ett intrång innan för mycket skada har inträffat.
Oväntade programinstallationer eller uppdateringar
Många attacker börjar med installation av programvara, till exempel skadlig kod eller utpressningstrojaner, som är utformade för att göra filer otillgängliga eller för att ge angripare åtkomst till nätverket. Genom att övervaka oplanerade programinstallationer och uppdateringar kan organisationer snabbt fånga upp dessa IOC:er.
Flera begäranden för samma fil
Flera begäranden för en enskild fil kan tyda på att en dålig aktör försöker stjäla den och har försökt att komma åt den på flera sätt.
Ovanliga begäranden om domännamnssystem
Vissa dåliga aktörer använder en attackmetod som kallas command and control. De installerar skadlig kod på en organisations server som skapar en anslutning till en server som de äger. De skickar sedan kommandon från servern till den infekterade datorn för att försöka stjäla data eller störa åtgärder. Ovanliga DNS-begäranden (Domain Name Systems) hjälper IT-avdelningen att identifiera dessa attacker.
Varför IOC:er är viktiga
Övervakning av IOC:er är avgörande för att minska en organisations säkerhetsrisk. Tidig identifiering av IOC:er gör det möjligt för säkerhetsteam att svara på och lösa attacker snabbt, vilket minskar mängden stilleståndstid och avbrott. Regelbunden övervakning ger också teamen större insikt i organisationens sårbarheter, som sedan kan åtgärdas.
Svara på indikatorer för komprometterande
När säkerhetsteamen har identifierat en IOC måste de reagera effektivt för att säkerställa så lite skada som möjligt för organisationen. Följande steg hjälper organisationer att hålla fokus och stoppa hot så snabbt som möjligt:
Upprätta en plan för incidenthantering
Att svara på en incident är stressande och tidskänsligt eftersom ju längre angripare förblir oupptäckta, desto mer sannolikt är det att de uppnår sina mål. Många organisationer utvecklar enSvar på incident incidenthantering planera för att hjälpa team under de kritiska faserna i ett svar. Planen beskriver hur organisationen definierar en incident, roller och ansvarsområden, de steg som krävs för att lösa en incident och hur teamet ska kommunicera med anställda och externa intressenter.
Isolera komprometterade system och enheter
När en organisation har identifierat ett hot isolerar säkerhetsteamet snabbt program eller system som angrips från resten av nätverken. Detta hjälper till att förhindra angriparna från att komma åt andra delar av verksamheten.
Utföra forensisk analys
Den tekniska analysen hjälper organisationer att upptäcka alla aspekter av ett intrång, inklusive källan, typen av attack och angriparens mål. Analysen görs under attacken för att förstå omfattningen av kompromissen. När organisationen har återställts från attacken hjälper ytterligare analys teamet att förstå möjliga sårbarheter och andra insikter.
Eliminera hotet
Teamet tar bort angriparen och eventuell skadlig kod från berörda system och resurser, vilket kan innebära att ta system offline.
Implementera säkerhets- och processförbättringar
När organisationen har återställts från incidenten är det viktigt att utvärdera varför attacken inträffade och om det finns något som organisationen kan ha gjort för att förhindra det. Det kan finnas enkla process- och principförbättringar som minskar risken för liknande angrepp i framtiden, eller så kan teamet identifiera lösningar med längre räckvidd som ska läggas till i en säkerhetsöversikt.
IOC-lösningar
De flesta säkerhetsöverträdelser lämnar ett forensiskt spår i loggfiler och system. Att lära sig att identifiera och övervaka dessa IOCs hjälper organisationer att snabbt isolera och eliminera angripare. Många team vänder sig till SIEM-lösningar som Microsoft Sentinel och Microsoft Defender XDR, som använder AI och automatisering för att visa IOCs och korrelera dem med andra händelser. Med en incidenthanteringsplan kan teamen komma före attacker och snabbt stänga av dem. Ju snabbare företag som förstår vad som händer, desto mer sannolikt är det att de stoppar en attack innan det kostar dem pengar eller skadar deras rykte. IOC-säkerhet är nyckeln till att hjälpa organisationer att minska risken för kostsamma överträdelser.
Mer information om Microsoft Security
Microsoft Hotskydd
Identifiera och svara på incidenter i din organisation med det senaste inom hotskydd.
Microsoft Sentinel
Upptäck sofistikerade hot och reagera kraftfullt med en kraftfull, molnbaserad SIEM-lösning.
Microsoft Defender XDR
Stoppa attacker mellan slutpunkter, e-post, identiteter, program och data med XDR-lösningar.
Community för hotinformation
Få de senaste uppdateringarna från Microsoft Defender Hotinformation Community Edition.
Vanliga frågor och svar
-
Det finns flera typer av IOC:er. Några av de vanligaste är:
- Avvikelser i nätverkstrafik
- Ovanliga inloggningsförsök
- Oregelbundna privilegierade konton
- Ändringar i systemkonfigurationer
- Oväntade programinstallationer eller uppdateringar
- Flera begäranden för samma fil
- Ovanliga begäranden om domännamnssystem
-
En indikator på kompromettering är digitala bevis på att en attack redan har inträffat. En indikator på en attack är ett bevis på att en attack sannolikt kommer att inträffa. En nätfiskekampanj är till exempel en indikator på angrepp eftersom det inte finns några bevis för att angriparen har brutit mot företaget. Men om någon klickar på en nätfiskelänk och laddar ned skadlig kod är installationen av den skadliga koden en indikator på kompromettering.
-
Indikatorer på komprometterande i e-post är en plötslig mängd skräppost, konstig bifogade filer eller länkar eller ett oväntat e-postmeddelande från en känd person. Om en anställd till exempel skickar ett e-postmeddelande till en medarbetare med en konstig bifogad fil kan det tyda på att deras konto har komprometterats.
-
Det finns flera sätt att identifiera ett komprometterat system. En ändring i nätverkstrafiken från en viss dator kan vara en indikator på att den har komprometterats. Om en person som vanligtvis inte behöver ett system börjar komma åt det regelbundet är det en röd flagga. Ändringar i systemets konfigurationer eller en oväntad programvaruinstallation kan också tyda på att den har komprometterats.
-
Tre IOC-exempel är:
- Ett användarkonto som är baserat i Nordamerika börjar logga in på företagsresurser från Europa.
- Tusentals åtkomstbegäranden för flera användarkonton, vilket indikerar att organisationen har drabbats av en råstyrkeattack.
- Nya begäranden för domännamnssystem kommer från en ny värd eller ett land där anställda och kunder inte finns.
Följ Microsoft Security