Оперативните екипи по сигурността са крайъгълният камък в борбата с киберпрестъпленията от последната миля във всяка организация. Ето защо те се нуждаят от възможно най-съвременните технологии. Но борбата с киберпрестъпниците не е просто въпрос на технология. Наличието на проактивно отношение срещу възможни кибератаки също е от ключово значение. Именно тук виждаме две основни концепции за всички екипи за операции по сигурността: IoC (индикатори за компрометиране) и IoA (индикатори за атака).
Каква е разликата? Изключващи се или допълващи се са те? Кога се използват? Кое е по-решаващо? По-долу ще анализираме двете понятия.
IoCs са индикаторите, които идентифицират присъствието на заплаха в компютъра, след като компрометирането вече е настъпило. Тоест те се използват за диагностициране на проблем със сигурността, който току-що се е случил в организацията. Това са доказателства, че компрометирането на сигурността се е случило или е било на път да се случи.
В тази връзка IoC се използват за идентифициране на файлове или артефакти, които преди това са били класифицирани като злонамерени: фишинг имейл, файл със зловреден софтуер, IP адрес, свързан с киберпрестъпления, рисков запис в регистъра и т.н. Ето защо IoC са полезни за компаниите, за да анализират щетите след или по време на компрометиране и да реагират, като смекчат последиците от него и елиминират заплахата.
IoC могат да бъдат полезни и за компаниите, които трябва точно да диагностицират случилото се, за да знаят къде точно е проблемът. експлоатираните уязвимости, след като са претърпели инцидент, за да ги отстранят и да предотвратят подобни атаки в бъдеще.
Търсенето на IoA има различна философия; IoA представляват максималните усилия на проактивността. Целта е да се предвиди компрометирането чрез разследване на подозрителни дейности, докато търсенето на IoCs има философия на реакция, като се търсят доказателства, че компрометирането съществува. С други думи, IoA не се намесват, когато атаката вече се е случила, а по-скоро когато тя се извършва или дори преди да се превърне в реален инцидент.
IoA покриват пропуските, оставени от IoC: те предупреждават за всеки опит за атака, независимо от метода, използван за заобикаляне на системата за сигурност на компанията. Това означава, че IoA откриват стъпки за атака, които не изискват зловреден софтуер, като например техники LotL (living-off-the-land).
Тези индикатори са резултат от работата на екипите за лов на заплахи, които използват най-модерните решения за киберсигурност, поддържани от AI/ML (изкуствен интелект/машинно обучение). Тези екипи проучват и анализират в дълбочина дейностите на системните процеси, като търсят аномални поведения или поведения, които могат да представляват риск за сигурността на организацията. Ако бъдат открити, IoA позволяват на организациите да действат, преди уязвимостта да бъде използвана и щетите да са станали окончателни.
Повтарящият се въпрос за индикаторите е кое е по-ефективно за защита на организацията – IoC или IoA? И двете техники са необходими и се допълват взаимно. Едно нещо обаче е ясно: проактивният подход на IoA винаги ще отиде една стъпка напред, когато става въпрос за избягване на инциденти със сигурността. Търсенето на IoC е отличен инструмент за анализиране на щетите след или по време на компрометиране и за реагиране чрез намаляване на последиците от него и премахване на заплахата.
IoCs се използват при разследвания, след като щетите са започнали, докато IoAs е част от предварително разследване и се извлича от позицията на киберустойчивост. Проблемът е, че повечето решения за киберсигурност се ограничават до IoCs при анализа, откриването и смекчаването на кибератаки. Следователно действията им срещу киберпрестъпленията ще бъдат ефективни само постфактум, след като щетите вече са нанесени. Освен това някои кибератаки, като например безфайловият зловреден софтуер, не могат да бъдат открити просто с IoC. По този начин процесът на профилиране и дефиниране, който предполагат IoA, става жизненоважен за защитата на корпоративната киберсигурност.
Услугите, предлагани от доставчиците на MDR (управлявано откриване и реагиране), са силно проактивни и се основават на ефективни технологии, експерти по киберсигурност и добре дефинирани и обучени процеси за защита на компаниите от съвременни заплахи. С помощта на усъвършенствани решения за сигурност, които анализират и профилират всички поведения в реално време, анализаторите по киберсигурност на MDR разследват IoA, търсейки възможни аномални поведения, които разкриват улики за дейности, свързани с киберзаплахи. Те също така използват търсенето на IoC, за да помогнат по време на фазата на разследване и реакция, като идентифицират използваните артефакти, използваните уязвимости и засегнатите активи.
Изводът е ясен: IoC са полезни и много необходими както за разкриване на компрометирането, (заплахата, която стои зад инцидента и неговото въздействие), така и за реагиране, като се елиминира опасността, спре се инцидентът и се смекчат последиците от него. Въпреки това всяка организация, която се интересува от проактивна защита, трябва да се съсредоточи върху разработването на стратегии за разследване, основани на откриването на IoA, за да открива необичайни дейности, бързо да разследва тези дейности и да реагира на заплахата възможно най-скоро, дори преди тя да се превърне в реален инцидент.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.