Търсене
Close this search box.

Оперативните екипи по сигурността са крайъгълният камък в борбата с киберпрестъпленията от последната миля във всяка организация. Ето защо те се нуждаят от възможно най-съвременните технологии. Но борбата с киберпрестъпниците не е просто въпрос на технология. Наличието на проактивно отношение срещу възможни кибератаки също е от ключово значение. Именно тук виждаме две основни концепции за всички екипи за операции по сигурността: IoC (индикатори за компрометиране) и IoA (индикатори за атака).

Каква е разликата? Изключващи се или допълващи се са те? Кога се използват? Кое е по-решаващо? По-долу ще анализираме двете понятия.

 

IoCs (индикатори за компрометиране)

IoCs са индикаторите, които идентифицират присъствието на  заплаха в компютъра, след като компрометирането вече е настъпило. Тоест те се използват за диагностициране на проблем със сигурността, който току-що се е случил в организацията. Това са доказателства, че компрометирането на сигурността се е случило или е било на път да се случи.

В тази връзка IoC се използват за идентифициране на файлове или артефакти, които преди това са били класифицирани като злонамерени: фишинг имейл, файл със зловреден софтуер, IP адрес, свързан с киберпрестъпления, рисков запис в регистъра и т.н. Ето защо IoC са полезни за компаниите, за да анализират щетите след или по време на компрометиране и да реагират, като смекчат последиците от него и елиминират заплахата.

IoC могат да бъдат полезни и за компаниите, които трябва точно да диагностицират случилото се, за да знаят къде точно е проблемът. експлоатираните уязвимости, след като са претърпели инцидент, за да ги отстранят и да предотвратят подобни атаки в бъдеще.

IoA (индикатори за атака)

Търсенето на IoA има различна философия; IoA представляват максималните усилия на проактивността. Целта е да се предвиди компрометирането чрез разследване на подозрителни дейности, докато търсенето на IoCs има философия на реакция, като се търсят доказателства, че компрометирането съществува. С други думи, IoA не се намесват, когато атаката вече се е случила, а по-скоро когато тя се извършва или дори преди да се превърне в реален инцидент.

IoA покриват пропуските, оставени от IoC: те предупреждават за всеки опит за атака, независимо от метода, използван за заобикаляне на системата за сигурност на компанията. Това означава, че IoA откриват стъпки за атака, които не изискват зловреден софтуер, като например техники LotL (living-off-the-land).

Тези индикатори са резултат от работата на екипите за лов на заплахи, които използват най-модерните решения за киберсигурност, поддържани от AI/ML (изкуствен интелект/машинно обучение). Тези екипи проучват и анализират в дълбочина дейностите на системните процеси, като търсят аномални поведения или поведения, които могат да представляват риск за сигурността на организацията. Ако бъдат открити, IoA позволяват на организациите да действат, преди уязвимостта да бъде използвана и щетите да са станали окончателни.

Значението на проактивността

Повтарящият се въпрос за индикаторите е кое е по-ефективно за защита на организацията – IoC или IoA? И двете техники са необходими и се допълват взаимно. Едно нещо обаче е ясно: проактивният подход на IoA винаги ще отиде една стъпка напред, когато става въпрос за избягване на инциденти със сигурността. Търсенето на IoC е отличен инструмент за анализиране на щетите след или по време на компрометиране и за реагиране чрез намаляване на последиците от него и премахване на заплахата.

IoCs се използват при разследвания, след като щетите са започнали, докато IoAs е част от предварително разследване и се извлича от позицията на киберустойчивост. Проблемът е, че повечето решения за киберсигурност се ограничават до IoCs при анализа, откриването и смекчаването на кибератаки. Следователно действията им срещу киберпрестъпленията ще бъдат ефективни само постфактум, след като щетите вече са нанесени. Освен това някои кибератаки, като например безфайловият зловреден софтуер, не могат да бъдат открити просто с IoC. По този начин процесът на профилиране и дефиниране, който предполагат IoA, става жизненоважен за защитата на корпоративната киберсигурност.

Услугите, предлагани от доставчиците на MDR (управлявано откриване и реагиране), са силно проактивни и се основават на ефективни технологии, експерти по киберсигурност и добре дефинирани и обучени процеси за защита на компаниите от съвременни заплахи. С помощта на усъвършенствани решения за сигурност, които анализират и профилират всички поведения в реално време, анализаторите по киберсигурност на MDR разследват IoA, търсейки възможни аномални поведения, които разкриват улики за дейности, свързани с киберзаплахи. Те също така използват търсенето на IoC, за да помогнат по време на фазата на разследване и реакция, като идентифицират използваните артефакти, използваните уязвимости и засегнатите активи.

Заключение

Изводът е ясен: IoC са полезни и много необходими както за разкриване на компрометирането, (заплахата, която стои зад инцидента и неговото въздействие), така и за реагиране, като се елиминира опасността, спре се инцидентът и се смекчат последиците от него. Въпреки това всяка организация, която се интересува от проактивна защита, трябва да се съсредоточи върху разработването на стратегии за разследване, основани на откриването на IoA, за да открива необичайни дейности, бързо да разследва тези дейности и да реагира на заплахата възможно най-скоро, дори преди тя да се превърне в реален инцидент.

Източник: watchguard.com

Подобни публикации

9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
8 декември 2024

Off topic: Не яжте!

Хората, които си купуват нови електронни устройства, имат една пост...
Бъдете социални
Още по темата
09/12/2024

QR кодовете заобикалят изол...

Mandiant е идентифицирала нов метод за...
05/12/2024

КиберНЕсигурните служители ...

Проучване, проведено сред повече от 14...
04/12/2024

Проект на SecureG и CTIA за...

В стремежа си да убеди потребителите,...
Последно добавени
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!