8 tipuri de indicatori de compromitere (IoC) și cum să îi recunoaștem

de | septembrie 21, 2021 | Cum să...

Cu ajutorul indicatorilor de compromitere, dvs. și echipa puteți identifica activitățile malițioase sau amenințările la adresa securității, cum ar fi breșele de date, amenințările din interior sau atacurile malware. Prin urmare, breșele de securitate pot îmbrăca diferite forme: fișiere necunoscute în sistem, modele de rețea ciudate, comportamente neobișnuite ale conturilor sau configurații inexplicabile. În acest articol, veți descoperi cum să recunoașteți opt tipuri de indicatori pentru a vă proteja afacerea!

Ce sunt mai exact indicatorii de compromitere?

Indicatorii de compromitere sau IoC sunt indicii și dovezi ale unei încălcări a securității datelor, observate de obicei în timpul unui atac de securitate cibernetică. Acești indicatori pot dezvălui că a avut loc un atac, ce instrumente au fost folosite în atac și cine se află în spatele acestuia. Aceștia sunt, de obicei, colectați de software, inclusiv de sistemele antivirus și antimalware. Pentru o mai bună înțelegere, încercați să vă imaginați indicatorii de compromitere ca pe niște firimituri de pâine lăsate de un atacator după un atac de securitate cibernetică.

Cum funcționează IoC-urile?

Atunci când are loc un atac malware, urmele activității sale pot rămâne în sistem și în fișierele jurnal. În cazul în care se constată o încălcare a securității, IoC sau „datele criminalistice” sunt colectate din aceste fișiere de către profesioniștii IT. Aceste indicii pot fi folosite pentru a determina dacă a avut loc o breșă de securitate a datelor sau dacă rețeaua este atacată. Identificarea IOC-urilor este aproape în întregime realizată de profesioniști calificați în domeniul securității informațiilor. De obicei, aceste persoane folosesc tehnologii avansate pentru a scana și analiza un volum mare de trafic de rețea și pentru a izola activitățile suspecte.

Cea mai eficientă strategie de securitate cibernetică combină resursele umane cu soluții tehnologice avansate (cum ar fi AI, ML și alte forme de automatizare inteligentă) pentru a detecta mai bine activitățile anormale și pentru a îmbunătăți timpul de răspuns și de remediere.

Cum puteți recunoaște acești indicatori?

Există câteva IoC-uri frecvente pe care corporațiile ar trebui să le cunoască pentru a le putea detecta și investiga! Iată câțiva indicatori de compromis obișnuiți pe care trebuie să-i rețineți:

1. Trafic neobișnuit în rețea

  • Anomaliile în configurația și volumul traficului de rețea reprezintă unul dintre cele mai frecvente semne ale unei breșe de securitate.
  • Deși devine din ce în ce mai dificilă ținerea intrușilor departe de rețeaua dumneavoastră, unii specialiști spun că ar putea fi mai ușor să monitorizați traficul de ieșire pentru a găsi potențiali indicatori de compromitere.
  • Atunci când un intrus încearcă să extragă date din rețeaua dvs. sau când un sistem infectat transmite informații unui server de comandă și control, se poate detecta un trafic neobișnuit de ieșire din rețea .

2. Activitate din zone geografice mai puțin obișnuite

  • Dacă, de exemplu, întreaga dvs. operațiune comercială are sediul în Los Angeles, Statele Unite, ar trebui să fiți surprins să vedeți un utilizator care se conectează la rețeaua dvs. din alt loc, mai ales dintr-o țară cu o reputație proastă în ceea ce privește criminalitatea informatică internațională.
  • Benjamin Caudill, consultant principal la Rhino Security, spune că: „În ceea ce privește indiciile de încălcare a securității datelor, unul dintre cele mai utile elemente pe care le-am găsit sunt logările care indică faptul că un cont se conectează de la mai multe IP-uri într-o perioadă scurtă de timp, în special atunci când este asociat cu marcajul de geolocalizare. De cele mai multe ori, acesta este un indiciu că un atacator folosește un set de credențiale compromise pentru a se conecta la sisteme confidențiale.”
  • Monitorizarea adreselor IP din rețea și a provenienței acestora reprezintă o modalitate ușoară de a detecta atacurile cibernetice înainte ca acestea să producă daune reale companiei dumneavoastră.
Conexiunile multiple la conturile dvs. din locații neașteptate ar putea fi un bun indicator de compromitere.
Conexiunile multiple la conturile dvs. din locații neașteptate ar putea fi un bun indicator de compromitere.

3. Activitate inexplicabilă a conturilor de utilizatori cu drepturi speciale

  • În cazul atacurilor cibernetice complexe, cum ar fi amenințările persistente avansate, o metodă obișnuită constă în compromiterea conturilor de utilizator cu privilegii reduse înainte de a le escalada privilegiile și autorizațiile sau de a expune vectorul de atac la conturi cu mai multe privilegii.
  • Atunci când responsabilii de securitate observă un comportament suspect în conturile utilizatorilor privilegiați, acesta poate fi o dovadă a unor atacuri interne sau externe asupra sistemelor și datelor companiei.

4. Creșterea substanțială a volumului de citire a bazelor de date

  • Majoritatea companiilor își stochează datele cele mai personale și confidențiale în format de bază de date. Prin urmare, bazele dvs. de date vor fi întotdeauna o țintă predilectă pentru atacatori.
  • O creștere bruscă a volumului de citire a bazei de date reprezintă un bun indiciu că un atacator încearcă să se infiltreze în datele dumneavoastră.

Kyle Adams, chief software architect pentru Junos WebApp Secure la Juniper Networks, spune că:

” Atunci când atacatorul încearcă să extragă întreaga bază de date a cardurilor de credit, va genera un volum de citire enorm, care va fi mult mai mare decât cel care s-ar vedea în mod normal pentru citirea tabelelor de carduri de credit.”

Kyle Adams

5. Număr mare de erori de autentificare

În cazul preluărilor de conturi, atacatorii folosesc automatizarea pentru a se autentifica folosind credențiale falsificate. O rată ridicată a încercărilor de autentificare poate indica faptul că cineva a furat credențialele și încearcă să găsească un cont care să îi permită accesul la rețea.

6. Multe solicitări pentru fișierele importante

  • Fără un cont cu privilegii superioare, un atacator este forțat să exploreze diferite resurse și să găsească vulnerabilitatea potrivită pentru a accesa fișiere.
  • Atunci când atacatorii găsesc semne că un exploit ar putea avea succes, vor folosi frecvent diferite permutări pentru a-l lansa.
  • Kyle Adams a declarat următoarele:„este posibil să vedeți un singur utilizator sau IP care face 500 de cereri pentru ‘join.php’, când în mod normal un singur IP sau utilizator ar solicita acea pagină de cel mult câteva ori”.

7. Modificări suspecte ale configurației

Poate că încă nu știți, dar modificarea configurațiilor fișierelor, serverelor și dispozitivelor ar putea oferi atacatorului o a doua cale de acces în rețea. Modificările ar putea, de asemenea, să adauge vulnerabilități pe care să le exploateze programele malware.

8. Indicatori ai atacurilor DDoS (Distributed Denial of Service)

  • Aceste atacuri au loc atunci când un actor rău intenționat încearcă să blocheze un serviciu prin inundarea acestuia cu trafic și solicitări de la o rețea de mașini controlate, numită botnet.
  • Atacurile de tip DDoS sunt frecvent folosite ca paravan pentru a camufla alte atacuri mai periculoase.
  • Semne de DDoS: încetinirea performanțelor rețelei, indisponibilitatea site-urilor web, întreruperea firewall-ului, sisteme de back-end care lucrează la capacitate maximă din motive necunoscute.
  • Ashley Stephenson, CEO la Corero Network Security, afirmă că:
Atacurile de tip Distributed Denial of Service (DDoS - refuz de serviciu distribuit) ar putea fi, de asemenea, un indicator de compromitere.
Atacurile de tip Distributed Denial of Service (DDoS – refuz de serviciu distribuit) ar putea fi, de asemenea, un indicator de compromitere.

„Pe lângă supraîncărcarea serviciilor principale, nu este neobișnuit ca atacurile DDoS să suprasolicite sistemele de raportare de securitate, cum ar fi soluțiile IPS/IDS sau SIEM. Acest lucru prezintă noi oportunități pentru infractorii cibernetici de a implanta programe malware sau de a fura date sensibile. Prin urmare, orice atac DDoS ar trebui, de asemenea, să fie analizat pentru a se verifica dacă există activități conexe de breșe de securitate a datelor.”

Ashley Stephenson

Concluzie

După un atac, măsurile de securitate cibernetică IoC pot fi folosite pentru a determina ce nu a mers bine, astfel încât activitatea dumneavoastră să poată evita viitoarele exploit-uri cauzate de aceeași vulnerabilitate. Este important să se aplice monitorizarea în rețea pentru a detecta un atac, iar pentru investigații, jurnalele și circuitele de audit sunt la fel de importante. Cu cât mai riguroase sunt jurnalele și circuitele de audit ale organizațiilor, cu atât mai eficientă este investigarea lor în timpul răspunsului la incidente! Pentru a preveni atacurile și a vă salva afacerea, asigurați-vă că observați la timp semnalele de alarmă anterioare, despre care tocmai v-am vorbit!

by Andreea Popa

Content writer for Attack Simulator, delivering your daily dose of awareness for cyber security! Love to write passionately about any subject and my mainly inspiration are people's stories. You can also find me on social media, for some more friendly things!

Nu există niciun motiv pentru a amâna instruirea angajaților.

Solicitați o ofertă bazată pe nevoile organizației dvs. și începeți să construiți o infrastructură puternică de securitate cibernetică chiar astăzi.