Skip to main content

Wskaźniki Kompromitacji (IoC)

Indicators of Compromise (IoCs) to specyficzne artefakty danych lub inne cechy, które wskazują, że system został skompromitowany. Zazwyczaj są one pogrupowane w listę, która może być odczytywana i uzupełniana przez oprogramowanie zabezpieczające, takie jak program antywirusowy lub firewall. Typowe wskaźniki obejmują nietypowy ruch sieciowy, niespodziewanie zasobożerne procesy lub nieznane wcześniej wpisy w rejestrze.

Wskaźniki Kompromitacji (IoC) występują w następujących obszarach

Wskaźniki kompromitacji systemu informatycznego występują w następujących obszarach:
[su_list icon=”icon: hand-o-right” icon_color=”#187bc0″ indent=”-5″]

  • Sieć
  • Logi
  • Pliki
  • Rejestr
  • Zarządzanie użytkownikami
  • Procesy
[/su_list]

Ogólnie rzecz biorąc, każde nietypowe działanie jest rejestrowane przez system i sprawdzane przez używane oprogramowanie ochronne w odniesieniu do znanej listy wskaźników naruszenia (IoC). Na przykład:

[su_list icon=”icon: commenting-o” icon_color=”#187bc0″ indent=”-5″]
  • Czy w sieci występuje niezwykły ruch pomiędzy określonymi adresami IP i portami?
  • Czy występują nietypowe żądania <a href=”https://www.pcmag.com/encyclopedia/term/dns#:~:text=(Domain%20Name%20System)%20The%20Internet’s,server%20associated%20with%20that%20name.”>DNS</a>? </li>.
    <li>Czy wpisy w rejestrze mogą być zauważalne?</li>
    <li>Czy działania na koncie administratora są niezwykłe?</li>
    <li>Czy były jakieś niezwykłe <a href=”https://www.computerhope.com/jargon/u/update.htm#:~:text=An%20update%20is%20new%2C%20improved,publisher%20free%20of%20additional%20charge.”>aktualizacje oprogramowania</a>?</li>.
    </ul>
    </rdshortcodesu_list>.
    <h2>Automatyczne wyszukiwanie wskaźników kompromisu (IoCs)</h2>.
    Oczywiste jest, że system powinien być w stanie automatycznie wyszukiwać odpowiednie wskaźniki. W tym celu opracowano specjalne formaty, które są w stanie dostarczyć odpowiednich informacji. Najczęściej stosowane są <strong>OpenIOC, jak również <a href=”https://stixproject.github.io/about/#:~:text=Structured%20Threat%20Information%20Expression%20(STIX,analyzed%20in%20a%20consistent%20manner.”>STIX</a></strong>. Nowoczesne skanery antywirusowe i zapory sieciowe praktycznie zawsze radzą sobie z tymi formatami. Ponadto, dostępnych jest wiele darmowych narzędzi, które użytkownicy mogą wykorzystać do skanowania w poszukiwaniu wskaźników. Na przykład,“Loki” jest popularny jako odpowiednie narzędzie.

    Wskaźniki kompromitacji vs. Wskaźniki ataku

    Wskaźniki kompromitacji systemu różnią się od wskaźników ataku. W tym miejscu język jest nieco mylący: Wskaźniki Kompromisu są poważniejsze. W takim przypadku system mógł już zostać zaatakowany lub skutecznie przeniknięty przez złośliwe oprogramowanie. Z kolei wskaźniki ataku (IoAs) wskazują po prostu, że może istnieć trwająca próba skompromitowania systemu. Obrona przed trwającym atakiem jest nadal możliwa.

    Często zadawane pytania (FAQs) dotyczące wskaźników kompromisu

    Jak wiarygodne są wskaźniki?

    To się różni. Na przykład duży ruch w sieci może mieć również nieszkodliwe przyczyny, takie jak tworzenie kopii zapasowej. Z kolei nietypowe wartości hash są stosunkowo wiarygodnym sygnałem kompromitacji.

    Jak często powinieneś skanować w poszukiwaniu wskaźników?

    Idealnie, powinieneś mieć skaner działający w tle, który sprawdza wskaźniki w regularnych odstępach czasu. Należy to robić co najmniej raz w tygodniu. Nowe dane powinny być natychmiast sprawdzane w sposób standaryzowany.

    Dalsze linki


    Masz jeszcze jakieś pytania?

    Prosimy o kontakt z nami


Dalsze treści