Търсене
Close this search box.

Дешифриране на „азбуката“ на киберсигурността: IoCs и IoA

Оперативните екипи по сигурността са крайъгълният камък в борбата с киберпрестъпленията от последната миля във всяка организация. Ето защо те се нуждаят от възможно най-съвременните технологии. Но борбата с киберпрестъпниците не е просто въпрос на технология. Наличието на проактивно отношение срещу възможни кибератаки също е от ключово значение. Именно тук виждаме две основни концепции за всички екипи за операции по сигурността: IoC (индикатори за компрометиране) и IoA (индикатори за атака).

Каква е разликата? Изключващи се или допълващи се са те? Кога се използват? Кое е по-решаващо? По-долу ще анализираме двете понятия.

 

IoCs (индикатори за компрометиране)

IoCs са индикаторите, които идентифицират присъствието на  заплаха в компютъра, след като компрометирането вече е настъпило. Тоест те се използват за диагностициране на проблем със сигурността, който току-що се е случил в организацията. Това са доказателства, че компрометирането на сигурността се е случило или е било на път да се случи.

В тази връзка IoC се използват за идентифициране на файлове или артефакти, които преди това са били класифицирани като злонамерени: фишинг имейл, файл със зловреден софтуер, IP адрес, свързан с киберпрестъпления, рисков запис в регистъра и т.н. Ето защо IoC са полезни за компаниите, за да анализират щетите след или по време на компрометиране и да реагират, като смекчат последиците от него и елиминират заплахата.

IoC могат да бъдат полезни и за компаниите, които трябва точно да диагностицират случилото се, за да знаят къде точно е проблемът. експлоатираните уязвимости, след като са претърпели инцидент, за да ги отстранят и да предотвратят подобни атаки в бъдеще.

IoA (индикатори за атака)

Търсенето на IoA има различна философия; IoA представляват максималните усилия на проактивността. Целта е да се предвиди компрометирането чрез разследване на подозрителни дейности, докато търсенето на IoCs има философия на реакция, като се търсят доказателства, че компрометирането съществува. С други думи, IoA не се намесват, когато атаката вече се е случила, а по-скоро когато тя се извършва или дори преди да се превърне в реален инцидент.

IoA покриват пропуските, оставени от IoC: те предупреждават за всеки опит за атака, независимо от метода, използван за заобикаляне на системата за сигурност на компанията. Това означава, че IoA откриват стъпки за атака, които не изискват зловреден софтуер, като например техники LotL (living-off-the-land).

Тези индикатори са резултат от работата на екипите за лов на заплахи, които използват най-модерните решения за киберсигурност, поддържани от AI/ML (изкуствен интелект/машинно обучение). Тези екипи проучват и анализират в дълбочина дейностите на системните процеси, като търсят аномални поведения или поведения, които могат да представляват риск за сигурността на организацията. Ако бъдат открити, IoA позволяват на организациите да действат, преди уязвимостта да бъде използвана и щетите да са станали окончателни.

Значението на проактивността

Повтарящият се въпрос за индикаторите е кое е по-ефективно за защита на организацията – IoC или IoA? И двете техники са необходими и се допълват взаимно. Едно нещо обаче е ясно: проактивният подход на IoA винаги ще отиде една стъпка напред, когато става въпрос за избягване на инциденти със сигурността. Търсенето на IoC е отличен инструмент за анализиране на щетите след или по време на компрометиране и за реагиране чрез намаляване на последиците от него и премахване на заплахата.

IoCs се използват при разследвания, след като щетите са започнали, докато IoAs е част от предварително разследване и се извлича от позицията на киберустойчивост. Проблемът е, че повечето решения за киберсигурност се ограничават до IoCs при анализа, откриването и смекчаването на кибератаки. Следователно действията им срещу киберпрестъпленията ще бъдат ефективни само постфактум, след като щетите вече са нанесени. Освен това някои кибератаки, като например безфайловият зловреден софтуер, не могат да бъдат открити просто с IoC. По този начин процесът на профилиране и дефиниране, който предполагат IoA, става жизненоважен за защитата на корпоративната киберсигурност.

Услугите, предлагани от доставчиците на MDR (управлявано откриване и реагиране), са силно проактивни и се основават на ефективни технологии, експерти по киберсигурност и добре дефинирани и обучени процеси за защита на компаниите от съвременни заплахи. С помощта на усъвършенствани решения за сигурност, които анализират и профилират всички поведения в реално време, анализаторите по киберсигурност на MDR разследват IoA, търсейки възможни аномални поведения, които разкриват улики за дейности, свързани с киберзаплахи. Те също така използват търсенето на IoC, за да помогнат по време на фазата на разследване и реакция, като идентифицират използваните артефакти, използваните уязвимости и засегнатите активи.

Заключение

Изводът е ясен: IoC са полезни и много необходими както за разкриване на компрометирането, (заплахата, която стои зад инцидента и неговото въздействие), така и за реагиране, като се елиминира опасността, спре се инцидентът и се смекчат последиците от него. Въпреки това всяка организация, която се интересува от проактивна защита, трябва да се съсредоточи върху разработването на стратегии за разследване, основани на откриването на IoA, за да открива необичайни дейности, бързо да разследва тези дейности и да реагира на заплахата възможно най-скоро, дори преди тя да се превърне в реален инцидент.

Източник: watchguard.com

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
05/04/2024

Как и защо да правите резер...

Защитата на данните продължава да бъде...
29/03/2024

Надпреварата за нулеви дни ...

Според Google напредналите противници все повече...
27/03/2024

Какво представлява защитата...

Киберпрестъпниците все по-често използват нови стратегии...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!