U svijetu forenzike podataka razumijevanje mehanike koja stoji iza cyber napada nije ništa manje od rješavanja misterija kriminala. Pokazatelji kompromisa (IoC) su oni tragovi, dokazi koji mogu pomoći u otkrivanju složenih današnjih kršenja podataka.
IoC-ovi su najveći adut stručnjaka za kibernetsku sigurnost kada pokušavaju riješiti i demistificirati mrežne napade, zlonamjerne aktivnosti ili kršenja zlonamjernog softvera. Pretražujući IoC-ove, rano se mogu utvrditi kršenja podataka kako bi se ublažili napadi.
Zašto je važno pratiti pokazatelje kompromisa?
IoC igraju integralnu ulogu u analizi kibernetičke sigurnosti. Ne samo da otkrivaju i potvrđuju da se dogodio sigurnosni napad, već otkrivaju i alate koji su korišteni za izvršenje napada.
Oni su također korisni u određivanju razmjera štete koju je kompromis prouzročio i pomažu u postavljanju mjerila za sprečavanje budućih kompromisa.
IoC-ovi se obično prikupljaju putem uobičajenih sigurnosnih rješenja kao što su anti-malware i anti-virus softver, ali određeni alati temeljeni na AI također se mogu koristiti za prikupljanje tih pokazatelja tijekom reagiranja na incident naporima.
Čitaj više: Najbolji besplatni softver za internetsku sigurnost za Windows
Primjeri pokazatelja kompromisa
Otkrivanjem nepravilnih obrazaca i aktivnosti, IoC mogu pomoći u procjeni je li se napad već dogodio i čimbenicima koji stoje iza napada.
Evo nekoliko primjera MOO-a na kojima bi svaki pojedinac i organizacija trebao voditi računa:
Neparni obrasci dolaznog i odlaznog prometa
Krajnji cilj većine cyber napada je dohvatiti osjetljive podatke i prenijeti ih na drugo mjesto. Stoga je nužno nadgledati neobične obrasce prometa, posebno one koji napuštaju vašu mrežu.
Istodobno, također treba primijetiti promjene u dolaznom prometu jer su oni dobri pokazatelji napada u tijeku. Najučinkovitiji je pristup dosljednom praćenju anomalija i na ulaznom i na odlaznom prometu.
Geografska odstupanja
Ako vodite posao ili radite za tvrtku ograničenu na određeno zemljopisno mjesto, ali iznenada vidite obrasce prijave koji potječu s nepoznatih mjesta, smatrajte to crvenom zastavicom.
IP adrese sjajni su primjeri IoC-a jer pružaju korisne dokaze za traženje zemljopisnog podrijetla napada.
Korisničke aktivnosti visokih privilegija
Privilegirani računi imaju najvišu razinu pristupa zbog prirode svojih uloga. Glumci koji prijete uvijek vole tražiti ove račune kako bi dobili stalan pristup unutar sustava. Stoga, sve neobične promjene u načinu korištenja visoko privilegiranih korisničkih računa treba nadgledati s rezervom.
Ako privilegirani korisnik koristi svoj račun s neobičnog mjesta i vremena, onda je to sigurno pokazatelj kompromisa. Uvijek je dobra sigurnosna praksa upotrijebiti Načelo najmanje privilegije prilikom postavljanja računa.
Čitaj više: Koji je princip najmanje privilegija i kako može spriječiti cyberatkacks?
Povećanje čitanja baze podataka
Baze podataka uvijek su glavna meta aktera prijetnji jer se većina osobnih i organizacijskih podataka pohranjuje u formatu baze podataka.
Ako primijetite povećanje volumena čitanja baze podataka, pripazite na to jer bi to mogao biti napadač koji pokušava napasti vašu mrežu.
Visoka stopa pokušaja autentifikacije
Veliki broj pokušaja provjere autentičnosti, posebno neuspjelih, uvijek treba podići obrvu. Ako vidite velik broj pokušaja prijave s postojećeg računa ili neuspjelih pokušaja s računa koji ne postoji, onda je to najvjerojatnije kompromis u nastajanju.
Neobične promjene konfiguracije
Ako sumnjate na velik broj promjena u konfiguraciji vaših datoteka, poslužitelja ili uređaja, velika je vjerojatnost da se netko pokušava infiltrirati u vašu mrežu.
Promjene konfiguracije ne pružaju samo drugu pozadinsku zaštitu akterima prijetnje u vašoj mreži, već također izlažu sustav napadima zlonamjernog softvera.
Znakovi DDoS napada
Distribuirani napad uskraćivanja usluge ili DDoS uglavnom se provodi kako bi se poremetio normalan protok prometa mreže bombardirajući je poplavom internetskog prometa.
Stoga nije ni čudo što botne mreže izvode česte DDoS napade kako bi odvratili pažnju od sekundarnih napada i treba ih smatrati IoC-om.
Čitaj više: Nove vrste DDoS napada i kako utječu na vašu sigurnost
Uzorci web prometa s neljudskim ponašanjem
Svaki web promet koji se ne čini kao normalno ljudsko ponašanje uvijek treba nadgledati i istražiti.
Otkrivanje i nadgledanje IoC-a može se postići lovom na prijetnje. Agregatori dnevnika mogu se koristiti za nadgledanje vaših dnevnika na odstupanja i nakon što upozore na anomaliju, tada biste ih trebali tretirati kao IoC.
Nakon analize IoC-a, uvijek ga treba dodati na popis blokiranih kako bi se spriječile buduće zaraze čimbenicima poput IP adresa, sigurnosnih hashova ili imena domena.
Sljedećih pet alata može vam pomoći u identificiranju i praćenju IoC-a. Imajte na umu da većina ovih alata dolazi s verzijama zajednice, kao i uz pretplate uz plaćanje.
- CrowdStrike
CrowdStrike je tvrtka koja sprječava sigurnosne provale pružajući vrhunske sigurnosne opcije krajnjih točaka temeljenih na oblaku.
Nudi Falcon Query API platformu sa značajkom uvoza koja vam omogućuje preuzimanje, prijenos, ažuriranje, pretraživanje i brisanje prilagođenih pokazatelja kompromisa (IOC) koje želite da gleda CrowdStrike.
2. Sumo logika
Sumo Logic organizacija je za analitiku podataka zasnovana na oblaku koja se fokusira na sigurnosne operacije. Tvrtka nudi usluge upravljanja zapisima koje koriste strojno generirane velike podatke za isporuku analize u stvarnom vremenu.
Korištenjem Sumo Logic platforme, tvrtke i pojedinci mogu nametnuti sigurnosne konfiguracije za multi-cloud i hibridna okruženja i brzo odgovoriti na prijetnje otkrivanjem IoC-a.
3. Akamai Bot Manager
Botovi su dobri za automatizaciju određenih zadataka, ali se također mogu koristiti za preuzimanje računa, sigurnosne prijetnje i DDoS napade.
Akamai Technologies, Inc. je globalna mreža za isporuku sadržaja koja također nudi alat poznat kao Bot Manager koji pruža napredno otkrivanje botova za pronalaženje i sprečavanje najsofisticiranijih bot napada.
Pružajući detaljnu vidljivost bot prometa koji ulazi u vašu mrežu, Bot Manager vam pomaže da bolje razumijete i pratite tko ulazi ili napušta vašu mrežu.
4. Proofpoint
Proofpoint je poslovna zaštitarska tvrtka koja pruža zaštitu od ciljanih napada zajedno s robusnim sustavom za odgovor na prijetnje.
Njihov sustav kreativnog odgovora na prijetnju pruža automatsku IoC provjeru prikupljanjem forenzike krajnjih točaka od ciljanih sustava, što olakšava otkrivanje i popravljanje kompromisa.
Zaštitite podatke analizom krajolika prijetnji
Većina kršenja sigurnosti i krađe podataka ostavljaju tragove mrvica iza sebe, a na nama je da se igramo sigurnosnih detektiva i pronađemo tragove.
Srećom, pažljivom analizom krajolika prijetnji možemo pratiti i sastaviti popis pokazatelja kompromisa kako bismo spriječili sve vrste trenutnih i budućih cyber prijetnji.
Trebate znati kada je vaše poslovanje pod kibernetadom? Trebate sustav za otkrivanje i sprječavanje upada.
Pročitajte Dalje
- Sigurnost
- Sigurnost na mreži
- Kršenje sigurnosti
- DDoS
Kinza je tehnološki entuzijast, tehnički pisac i samozvani štreber koji sa suprugom i dvoje djece boravi u sjevernoj Virginiji. Sa diplomom računalnih mreža i brojnim IT certifikatima, radila je u telekomunikacijskoj industriji prije nego što se upustila u tehničko pisanje. Uz nišu u temama kibernetičke sigurnosti i oblaka, ona uživa pomažući klijentima da ispune njihove raznolike tehničke zahtjeve za pisanjem širom svijeta. U slobodno vrijeme uživa čitati beletristiku, tehnološke blogove, smišljajući duhovite dječje priče i kuhajući za svoju obitelj.
Pretplatite se na naše obavijesti
Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!
Još jedan korak…!
Potvrdite svoju e-adresu u e-pošti koju smo vam upravo poslali.
