入侵指標 (IOC) 説明
入侵指標 (IOC) 是有人可能入侵了組織網路或端點的證據。這些鑑定資料不僅表示存在潜在威脅,還指示已經發生了惡意軟體、認證遭入侵或資料外流等攻擊。安全性專業人員在事件記錄檔、延伸偵測及回應 (XDR) 解決方案以及安全性資訊與事件管理 (SIEM) 解決方案上搜尋 IOC。在攻擊期間,小組使用 IOC 來消除威脅並減輕損害。復原後,IOC 可以協助組織更好地了解發生了什麼,因此組織的安全性小組可以加強安全性,降低再次發生類似事件的風險。
IOC 範例
在 IOC 安全性中,IT 監視環境以尋找以下攻擊正在進行的線索:
流量分析
在大多數組織中,出入數位環境的流量都有一致的模式。當這種情況發生變化時,例如,如果有更多的資料離開組織,或者如果有來自網路中異常位置的活動,這可能是攻擊的訊號。
異常登入嘗試
就像流量一樣,人們的工作習慣是可以預測的。他們通常在一週中大致相同的時間從相同的位置登入。安全性專業人員可以透過關注在一天中的奇數時間或從異常地理位置 (例如組織未設辦公室的國家/地區) 的登入來偵測遭入侵的帳戶。同樣重要的是要注意來自同一帳戶的多次登入失敗。儘管人們會定期忘記密碼或登入時遇到問題,但他們通常會在嘗試幾次後解决。多次登入嘗試失敗可能表示有人試圖使用遭盜竊的帳戶存取組織。
權限帳戶違規
許多攻擊者,無論是內部還是外部攻擊者,都對存取管理帳戶和取得敏感性資料感興趣。與這些帳戶相關的非典型行為,例如有人試圖升級其權限,可能是違規的跡象。
對系統設定的變更
惡意軟體通常被程式設計為對系統設定進行變更,例如啟用遠端存取或停用安全性軟體。透過監視這些非預期設定變更,安全性專業人員可以在發生過多損害之前識別缺口。
未預期的軟體安裝或更新
許多攻擊始於安裝惡意軟體或勒索軟體等軟體,這些軟體旨在使檔案無法存取或使攻擊者能够存取網路。透過監視計劃外的軟體安裝和更新,組織可以快速發現這些 IOC。
對同一檔案的多次要求
對單一檔案的多次要求可能表示惡意執行者試圖竊取該檔案,並嘗試了多種方法來存取它。
異常網域名稱系統要求
一些惡意執行者使用稱為「命令和控制」的攻擊方法。他們在組織的伺服器上安裝惡意軟體,從而建立與自己擁有之伺服器的連線。然後,他們從伺服器向受感染的機器傳送命令,試圖竊取資料或中斷作業。異常網域名稱系統 (DNS) 要求有助於 IT 偵測這些攻擊。
為什麼 IOC 很重要
監視 IOC 對於降低組織的安全性風險至關重要。IOC 的早期偵測使安全性小組能够快速回應和解决攻擊,减少停機和中斷。定期監視還可以讓小組更深入地了解組織漏洞,然後可以緩解這些弱點。
回應入侵指標
安全性小組確定了 IOC 後,他們就需要有效回應,以確保盡可能减少對組織的損害。以下步驟有助於組織保持專注並盡快停止威脅:
製定事件回應計畫
回應事件是有壓力的,而且時間敏感,因為攻擊者被發現的時間越長,他們就越有可能實現目標。許多組織製定了事件回應計畫,以協助在回應的關鍵階段指導小組。計畫概述了組織如何定義事件、角色和責任、解决事件所需的步驟,以及小組應如何與員工和外部專案關係人溝通。
隔離受損的系統和裝置
組織識別威脅後,安全性小組就會迅速將受到攻擊的應用程式或系統與其他網路隔離開來。這有助於防止攻擊者存取企業的其他部分。
進行鑑定分析
鑑定分析有助於組織發現缺口的各個方面,包括來源、攻擊類型和攻擊者目標。在攻擊過程中進行分析,以了解入侵程度。組織從攻擊中復原後,額外的分析有助於小組了解可能的弱點和其他深入解析。
消除威脅
小組從受影響的系統和資源中移除攻擊者和任何惡意軟體,這可能涉及使系統離線。
實作安全性和流程改善
組織從事件中復原後,評估攻擊發生的原因,以及組織是否可以採取任何措施來防止攻擊非常重要。可能會有簡單的流程和原則改進,以降低未來發生類似攻擊的風險,或者小組可能會確定更長範圍的解決方案,以新增至安全性藍圖中。
IOC 解決方案
大多數安全性弱點都會在記錄檔和系統中留下鑑定軌跡。了解識別和監視這些 IOC 有助於組織快速隔離和消除攻擊者。許多小組轉向 SIEM 解決方案,如 Microsoft Sentinel 和 Microsoft Defender 全面偵測回應,它們使用 AI 和自動化來顯示 IOC,並將其與其他事件關聯起來。事件回應方案使小組能够提前應對攻擊並迅速將其關閉。在網路安全性方面,公司越快了解正在發生的事情,就越有可能在攻擊花費資金或損害聲譽之前停止攻擊。IOC 安全性是協助各組織降低代價高昂的違規風險之關鍵。
常見問題集
-
IOC 有幾種類型。其中一些最常見的是:
- 流量分析
- 異常登入嘗試
- 權限帳戶違規
- 對系統設定的變更
- 未預期的軟體安裝或更新
- 對同一檔案的多次要求
- 異常網域名稱系統要求
-
入侵指標是已發生攻擊的數位證據。攻擊的指標是有可能發生攻擊的證據。例如,網路釣魚活動是攻擊的一個指標,因為沒有證據表示攻擊者入侵了公司。然而,如果有人按一下網路釣魚連結並下載惡意軟體,則惡意軟體的安裝是入侵指標。
-
電子郵件中的入侵指標包括突然大量傳入的垃圾郵件、奇怪的附件或連結,或來自知名人士的未預期電子郵件。例如,如果員工向同事傳送了一封帶有奇怪附件的電子郵件,這可能表示其帳戶已遭入侵。
-
有多種方法可以識別遭入侵的系統。來自特定電腦的流量變化可能表示其已遭入侵。如果一個通常不需要系統的人開始定期存取它,那就是一個危險訊號。對系統設定的變更或未預期軟體安裝也可能表示其已遭入侵。
-
IOC 的三個範例是:
- 位於北美洲的使用者帳戶開始登入來自歐洲的公司資源。
- 跨多個使用者帳戶的數千個存取要求表示組織是暴力密碼破解攻擊的犧牲者。
- 來自新主機或員工和客戶不居住之國家/地區的新網域名稱系統要求。
關注 Microsoft 安全性