Dấu vết tấn công hệ thống (IOC) là gì?
Tìm hiểu cách theo dõi, xác định, sử dụng và ứng phó với các dấu vết tấn công hệ thống.
Dấu vết tấn công hệ thống đã được giải thích
Dấu vết tấn công hệ thống (IOC) là bằng chứng cho thấy ai đó có thể đã xâm phạm mạng hoặc điểm cuối của tổ chức. Dữ liệu điều tra số này không chỉ báo hiệu một mối đe dọa tiềm ẩn, mà còn báo hiệu đã xảy ra một cuộc tấn công, chẳng hạn như phần mềm gây hại, thông tin xác thực bị xâm phạm hoặc trích rút dữ liệu. Các chuyên gia bảo mật tìm kiếm IOC trên nhật ký sự kiện, giải pháp phát hiện và ứng phó mở rộng (XDR) và giải pháp quản lý sự kiện và thông tin bảo mật (SIEM). Trong cuộc tấn công, đội ngũ này sử dụng IOC để loại bỏ mối đe dọa và giảm bớt thiệt hại. Sau khi khôi phục, IOC giúp tổ chức hiểu rõ hơn về những gì đã xảy ra, để đội ngũ bảo mật của tổ chức có thể tăng cường bảo mật và giảm rủi ro xảy ra sự cố tương tự khác.
Ví dụ về IOC
Trong bảo mật IOC, bộ phận CNTT giám sát môi trường để tìm các dấu hiệu sau cho thấy đang xảy ra một cuộc tấn công:
Lưu lượng truy nhập mạng bất thường
Trong hầu hết các tổ chức, có những mô hình nhất quán về lưu lượng truy cập mạng đi vào và ra khỏi môi trường kỹ thuật số. Khi mô hình thay đổi, chẳng hạn như nếu có rất nhiều dữ liệu rời khỏi tổ chức hoặc nếu có hoạt động đến từ một vị trí bất thường trong mạng, đó có thể là dấu hiệu của một cuộc tấn công.
Số lần đăng nhập bất thường
Giống như lưu lượng truy cập mạng, thói quen làm việc của mọi người cũng là yếu tố dự đoán được. Họ thường đăng nhập từ cùng một vị trí và vào khoảng cùng một thời điểm trong tuần. Các chuyên gia bảo mật có thể phát hiện tài khoản bị xâm phạm bằng cách chú ý đến những lần đăng nhập vào những thời điểm bất thường trong ngày hoặc từ các khu vực địa lý bất thường, chẳng hạn như quốc gia nơi tổ chức không có văn phòng. Điều quan trọng là cần lưu ý nhiều lần đăng nhập không thành công từ cùng một tài khoản. Mặc dù mọi người thường xuyên quên mật khẩu hoặc gặp sự cố khi đăng nhập nhưng thường thì họ có thể giải quyết sự cố đó sau một vài lần thử. Liên tục thử đăng nhập không thành công có thể cho thấy một người nào đó đang cố gắng truy nhập vào tổ chức bằng tài khoản bị đánh cắp.
Bất thường về tài khoản đặc quyền
Nhiều kẻ tấn công, dù là người dùng nội bộ hay người ngoài, đều quan tâm đến việc truy nhập vào tài khoản quản trị và thu thập dữ liệu nhạy cảm. Hành vi không điển hình liên quan đến các tài khoản này, chẳng hạn như ai đó cố gắng tăng cấp đặc quyền của họ, có thể là dấu hiệu của hành vi xâm phạm.
Thay đổi cấu hình hệ thống
Phần mềm gây hại thường được lập trình để thực hiện thay đổi đối với cấu hình hệ thống, chẳng hạn như cho phép truy cập từ xa hoặc tắt phần mềm bảo mật. Khi giám sát các thay đổi cấu hình bất thường này, các chuyên gia bảo mật có thể xác định được xâm phạm trước khi xảy ra quá nhiều thiệt hại.
Bản cập nhật hoặc bản cài đặt phần mềm ngoài dự kiến
Nhiều cuộc tấn công bắt đầu bằng việc cài đặt phần mềm, chẳng hạn như phần mềm gây hại hoặc Mã độc tống tiền mã độc tống tiền, được thiết kế để khiến không thể truy cập vào tệp hoặc cấp cho những kẻ tấn công quyền truy nhập vào mạng. Khi giám sát các bản cập nhật và cài đặt phần mềm không được lên kế hoạch, các tổ chức có thể nhanh chóng phát hiện các IOC này.
Nhiều yêu cầu đối với cùng một tệp
Nhiều yêu cầu đối với một tệp có thể cho thấy kẻ xấu đang cố đánh cắp tệp đó và đã thử một số phương pháp để truy nhập vào tệp đó.
Yêu cầu bất thường của Hệ thống tên miền
Một số kẻ xấu sử dụng phương pháp tấn công có tên là lệnh và điều khiển. Chúng cài đặt phần mềm gây hại trên máy chủ của tổ chức tạo kết nối với máy chủ mà chúng sở hữu. Sau đó, chúng gửi lệnh từ máy chủ đến máy bị nhiễm độc để cố gắng lấy cắp dữ liệu hoặc làm gián đoạn hoạt động. Các yêu cầu bất thường của Hệ thống tên miền (DNS) giúp đội ngũ CNTT phát hiện được những cuộc tấn công này.
Tại sao IOC lại quan trọng
Theo dõi IOC rất quan trọng trong việc giảm rủi ro bảo mật của tổ chức. Việc phát hiện sớm IOC cho phép các đội ngũ bảo mật nhanh chóng ứng phó và giải quyết các cuộc tấn công, giảm thời gian ngừng hoạt động và gián đoạn. Theo dõi thường xuyên cũng đem đến cho đội ngũ thông tin chuyên sâu hơn về các lỗ hổng của tổ chức, sau đó có thể giảm thiểu các lỗ hổng này.
Ứng phó với đấu vết tấn công hệ thống
Sau khi đội ngũ bảo mật xác định được IOC, họ cần ứng phó hiệu quả để đảm bảo ít thiệt hại nhất có thể cho tổ chức. Các bước sau đây giúp các tổ chức luôn tập trung và chặn đứng các mối đe dọa nhanh nhất có thể:
Xây dựng kế hoạch ứng phó sự cố
Việc ứng phó với một sự cố là công việc căng thẳng và nhạy cảm về thời gian vì những kẻ tấn công càng lâu bị phát hiện thì chúng càng có nhiều khả năng đạt được mục tiêu của mình. Nhiều tổ chức xây dựng kế hoạch ứng phó sự cố để giúp hướng dẫn các đội ngũ trong các giai đoạn ứng phó quan trọng. Kế hoạch nêu lên cách tổ chức xác định sự cố, vai trò và trách nhiệm, các bước cần thiết để giải quyết sự cố và cách đội ngũ nên giao tiếp với nhân viên và các bên liên quan bên ngoài.
Cô lập các thiết bị và hệ thống bị xâm phạm
Khi một tổ chức đã xác định được mối đe dọa, đội ngũ bảo mật sẽ nhanh chóng cô lập các ứng dụng hoặc hệ thống đang bị tấn công khỏi phần còn lại của mạng lưới. Điều này giúp ngăn chặn những kẻ tấn công truy nhập vào các bộ phận khác của doanh nghiệp.
Tiến hành phân tích điều tra số
Phân tích điều tra số giúp các tổ chức phát hiện tất cả các khía cạnh của hành vi xâm phạm, bao gồm nguồn, loại tấn công và mục tiêu của kẻ tấn công. Thực hiện phân tích trong suốt cuộc tấn công để hiểu mức độ xâm phạm. Khi tổ chức đã phục hồi sau cuộc tấn công, phân tích bổ sung sẽ giúp đội ngũ hiểu được các lỗ hổng có thể xảy ra và những thông tin chuyên sâu khác.
Loại bỏ mối đe dọa
Đội ngũ loại bỏ kẻ tấn công cùng với mọi phần mềm độc hại khỏi các hệ thống và tài nguyên bị ảnh hưởng, điều này có thể liên quan đến việc đưa hệ thống sang chế độ ngoại tuyến.
Thực hiện các cải tiến quy trình và bảo mật
Khi tổ chức đã phục hồi sau sự cố, điều quan trọng là phải đánh giá lý do tại sao lại xảy ra cuộc tấn công và liệu có bất cứ điều gì mà tổ chức đáng lẽ đã thực hiện để ngăn chặn cuộc tấn công đó không. Có thể có những cải tiến chính sách và quy trình đơn giản giúp giảm nguy cơ xảy ra một cuộc tấn công tương tự trong tương lai hoặc đội ngũ có thể xác định các giải pháp dài hạn hơn để bổ sung vào lộ trình bảo mật.
Giải pháp SOC
Hầu hết các xâm phạm bảo mật sẽ để lại dấu vết điều tra số trong hệ thống và tệp nhật ký. Việc học cách xác định và theo dõi các IOC này giúp các tổ chức nhanh chóng cách ly và loại bỏ những kẻ tấn công. Nhiều đội ngũ chuyển sang các giải pháp SIEM, như Microsoft Sentinel và Microsoft Defender XDR, sử dụng AI và tính năng tự động hóa để khiến IOC hiển thị và liên kết chúng với các sự kiện khác. Kế hoạch ứng phó sự cố cho phép các đội ngũ đón đầu các cuộc tấn công và nhanh chóng dập tắt chúng. Khi nói đến an ninh mạng, tốc độ các công ty hiểu những gì đang xảy ra càng nhanh, khả năng họ chặn đứng được cuộc tấn công càng cao trước khi chúng khiến họ tốn tiền hoặc tổn hại danh tiếng. Bảo mật IOC là chìa khóa để giúp các tổ chức giảm rủi ro xâm phạm tốn kém.
Tìm hiểu thêm về Microsoft Security
Tính năng chống mối đe dọa của Microsoft
Xác định và ứng phó với sự cố trong toàn tổ chức bằng tính năng mới nhất giúp bảo vệ trước mối đe dọa.
Microsoft Sentinel
Phát hiện các mối đe dọa tinh vi và ứng phó dứt khoát nhờ giải pháp SIEM mạnh mẽ, hoạt động trên nền tảng đám mây.
Microsoft Defender XDR
Ngăn chặn các cuộc tấn công trên khắp các điểm cuối, email, danh tính, ứng dụng và dữ liệu nhờ giải pháp XDR.
Cộng đồng thông tin về mối đe dọa
Tải các bản cập nhật mới nhất từ phiên bản cộng đồng Thông tin về mối đe dọa của Microsoft Defender.
Câu hỏi thường gặp
-
Có một số loại IOC. Một số loại thường gặp nhất là:
- Lưu lượng truy nhập mạng bất thường
- Số lần đăng nhập bất thường
- Bất thường về tài khoản đặc quyền
- Thay đổi cấu hình hệ thống
- Bản cập nhật hoặc bản cài đặt phần mềm ngoài dự kiến
- Nhiều yêu cầu đối với cùng một tệp
- Yêu cầu bất thường của Hệ thống tên miền
-
Dấu vết tấn công hệ thống là bằng chứng số cho thấy một cuộc tấn công đã xảy ra. Dấu vết về cuộc tấn công là bằng chứng cho thấy một cuộc tấn công có khả năng xảy ra. Ví dụ, chiến dịch lừa đảo qua mạng là một dấu vết về cuộc tấn công vì không có bằng chứng nào cho thấy kẻ tấn công đã xâm phạm công ty. Tuy nhiên, nếu ai đó bấm vào một liên kết lừa đảo qua mạng và tải xuống phần mềm gây hại, thì việc cài đặt phần mềm gây hại sẽ là dấu vết tấn công hệ thống.
-
Các dấu vết tấn công hệ thống trong email bao gồm đột ngột tràn ngập thư rác, tệp đính kèm hoặc liên kết lạ hoặc email bất ngờ từ một người đã biết. Ví dụ, nếu một nhân viên gửi cho đồng nghiệp một email có tệp đính kèm lạ, điều đó có thể chỉ báo tài khoản của họ đã bị xâm phạm.
-
Có nhiều cách để xác định hệ thống bị xâm phạm. Thay đổi về lưu lượng truy cập mạng từ một máy tính cụ thể có thể là một dấu vết cho biết rằng máy tính đó đã bị xâm phạm. Nếu một người thường không cần đến hệ thống lại bắt đầu truy nhập thường xuyên thì đó là dấu hiệu cảnh báo. Các thay đổi đối với cấu hình trên hệ thống hoặc cài đặt phần mềm không mong muốn cũng có thể chỉ báo là đã bị xâm phạm.
-
Ba ví dụ về IOC là:
- Tài khoản người dùng ở Bắc Mỹ bắt đầu đăng nhập vào tài nguyên công ty từ Châu Âu.
- Hàng ngàn yêu cầu truy nhập trên nhiều tài khoản người dùng, cho thấy tổ chức là nạn nhân của cuộc tấn công brute-force.
- Các yêu cầu mới trên Hệ thống tên miền đến từ một máy chủ mới hoặc một quốc gia nơi không có nhân viên và khách hàng sống ở đó.
Theo dõi Microsoft Security