什么是入侵指标(ioc)? 

中发现的上下文信息片段 forensic analysis 这可以提醒分析师注意过去/正在进行的攻击、网络破坏或恶意软件感染. 这些独特的线索-或工件-通常被视为恶意使用的IP地址, URLs, domains, or hashes. 它当然有助于提醒IOC,以便您知道可能出现了错误, 但国际石油公司往往缺乏能够赋予企业权力的背景 security operations center (SOC) 优先考虑并迅速采取行动以确保漏洞的安全.

尽管首字母缩略词IOC在网络安全社区广泛使用, “妥协迹象”这个短语通常指的是任何类型的威胁情报,可能表明一些不同寻常的事情. In addition to those mentioned above, 通常由IOC确定的场景包括网络流量的变化, ransomware attacks, or identity and access management (IAM) anomalies.

当系统用超出正常基线范围的活动向自身发出信号时, 上下文信息可以帮助团队定义潜在攻击的类型,并改进安全操作,如反恶意软件程序和设备, alter SIEM 配置,并进行更彻底和有效的调查.

In fact, according to Forrester, 许多网络安全供应商现在正在将IOC安全情报馈送到许多企业功能中. 这有助于在安全工具中本地发现IOC,而不是使用单独的IOC提要.

识别ioc的过程是什么? 

识别ioc的过程是一个仔细研究分析和分析的过程 threat intelligence 识别异常行为,可能是邪恶的-或者可能什么都不是. 同样,分析师和调查人员需要在很大程度上依赖背景来取得重大进展.

That said, 并非所有识别即将达成妥协的早期指标的过程都是相同的,甚至是相似的. 它们将是特定于业务和用例的. 让我们来看看一些更常见的IOC识别方法:

  • 特定于操作系统的恶意软件持久性机制和进程注入方法:此策略通过检查当前运行的进程来检测行为和通信中的异常情况, scheduled tasks, and common hiding places. 
  • Attacker lateral movement此策略通过利用威胁情报和用户行为分析实时发现攻击者的路径. 
  • Common attacker tools此策略通过寻找攻击者活动的证据来验证可疑的妥协, 包括修改后的注册表项或遗留的可执行文件. 
  • 调查得出的指标:此策略评估一个详尽的折衷指标列表,例如特权用户帐户异常, geographical irregularities, or suspicious registry changes. 
  • Environment-specific considerations该策略通过花时间了解环境和用户之间的关系来识别杀伤链中的任何工件, hosts, and processes.

Examples of IOCs 

因为国际石油公司本质上是线索——在一些之后 digital forensics 工作指向一些邪恶的东西,他们可以有很多形状和大小. 让我们来看看一些能够并且应该敲响警钟的ioc的例子: 

  • Known bad IP addresses这是一种相当常见的IOC,可能是短暂的, 因为不良行为者可能会频繁更改IP地址. 
  • Malicious harsh values这些工作有助于识别病毒和破坏企图. 如果安全团队的威胁情报可靠,他们可以主动将恶意散列列入黑名单. 
  • 战术、技术和程序(TTPs): TTPs cover things like malware, 加密劫持(使用您的资产来挖掘加密货币), and confidential data exfiltration. 
  • Domains:域名服务器(DNS)日志通常会反映以下异常请求流量, if occuring with regular frequency, could be a strong IOC. 
  • Network artifacts:从用户帐号到日志再到错误配置, 有许多工件的例子,威胁猎人可能会将其视为IOC,从而仔细查看. 
  • 多次尝试失败后登录成功仅仅因为一个用户——或者也许是一台机器——能够成功地登录到网络,并不意味着他们有权利在那里. 如果在几次尝试失败后登录成功,这将是一个明显的迹象.
  • Network slowdowns网络速度变慢可能完全是由于逻辑上的原因. 然而,它也可能表明比正常活动更重.e. attack behaviors. 
  • 转移到一个未知的,非网络位置查看进程日志以及作业输出和配置可能会发现数据泄露和泄露的证据. 

Indicators of Compromise vs. Indicators of Attack

在ioc和攻击指示器(ioa)之间有几个重叠的概念。. However, 它有助于放大关键差异,以理解为什么分析师将问题定义为IOC或IOA. 

IOCs are Typically Artifacts

我们之前已经讨论过工件,但是添加一些上下文可能会有所帮助. 文物通常是历史性质的. 它们是已经发生的恶意事件的数字足迹, and are found by performing threat hunts based on specific intelligence. 安全分析人员和威胁猎人也可以利用外部构件库来熟悉在自己的网络中寻找什么.

在发现藏物并确定有潜在的破坏或持续的威胁之后, 团队可以将事件响应计划付诸实施. 安全从业者可以更快地了解到已经发生了妥协, 他们就能越快确定到底发生了什么, respond, 并且——希望——对未来要寻找的文物种类有更好的了解.

ioa是攻击即将来临的典型信号 

ioa有助于将攻击排除在组织的历史之外. 这些迹象表明,袭击可能迫在眉睫. 有了ioa,团队可以采取更多的进攻姿态,采取行动 extended detection and response (XDR) 随着攻击面进一步扩大,超越网络边界的威胁遥测.

Interpreted correctly, IOAs不仅可以帮助团队应对未来或正在进行的违规行为, 它们还可以帮助预测攻击者可能会做什么以及他们下一步可能去哪里. 这对于根据目标系统和试图访问和/或泄露的数据确定响应和补救工作的优先级非常有帮助.

What are the Benefits of IOCs? 

The benefits of IOCs are many. 其中最主要的是,它们可以帮助公司修复漏洞,并可能提供有关攻击者行为类型的背景,以便在未来寻找. Let's take a look at a few others: 

  • Stop late-stage attacks当然,ioc通常是已经发生的攻击的产物. However, 人工制品也可能指向一个仍在进行的更大攻击的一个完成阶段——一个仍然可以被阻止的阶段.
  • Standardize prioritization: ioc本身可能很有用,但它也有助于获得您可能获得的所有上下文. 这不仅有助于更清楚地了解攻击者的行为, 但也要优先考虑首先采取哪些行动,以及如何最好地阻止攻击或为下一次攻击做准备. Many solutions have a built-in capability 以丰富IOCs的背景,以便团队可以专注于最关键的漏洞.
  • Prevent fatigue一个可靠的风险缓解解决方案应该能够将ioc纳入自动响应计划,以防止安全团队被数据分析所淹没,并可能忽视可怕的威胁.
  • Create custom alerts了解组织的ioc可以帮助团队在平台或技术中创建特定的和定制的安全警报,以便他们知道何时发现了关注的工件.

为什么ioc对有效管理的检测和响应程序很重要? 

IOCs are important for an effective managed detection and response (MDR) 因为对于MDR提供商来说,能够在整个客户生态系统中识别ioc至关重要.

这有助于提供者发现攻击者行为的趋势, 在发现ioc时建立网络检测, tailor incident response plans, 并将这些信息传播给他们的客户群,以便这些单独的安全组织可以将IOC数据应用到他们自己的预防技术中.

对于MDR计划来说,考虑利用国际石油公司来通知违规响应所带来的效率提高和成本节约也很重要. 客户满意度也是一个增长动力, 特别是在成功实施MDR提供商推荐的计划之后,或者在提供商自动测试ioc并将其应用于客户日志以在网络中出现这些指标时创建警报之后.

所有这些因素结合起来有助于MDR提供商留住客户, improve their own operations, 并通过分享发现来加强更大的安全社区.

Read More