I världen av dataforensik är det inte mindre än att lösa ett brottmysteri att förstå mekaniken bakom en cyberattack. Indikatorer för kompromiss (IoCs) är de ledtrådar, bevis som kan hjälpa till att avslöja dagens komplexa dataintrång.
IoCs är den största tillgången för cybersäkerhetsexperter när de försöker lösa och de-mystifiera nätverksattacker, skadlig verksamhet eller skadlig programvara. Genom att söka igenom IoC kan dataöverträdelser identifieras tidigt för att mildra attacker.
Varför är det viktigt att övervaka indikatorerna för kompromiss?
IoC spelar en integrerad roll i cybersäkerhetsanalys. Inte bara avslöjar och bekräftar de att en säkerhetsattack har inträffat utan de avslöjar också de verktyg som användes för att utföra attacken.
De hjälper också till att fastställa omfattningen av den skada som en kompromiss har orsakat och hjälper till att upprätta riktmärken för att förhindra framtida kompromisser.
IoC: erna samlas i allmänhet genom normala säkerhetslösningar som anti-malware och antivirus programvara men vissa AI-baserade verktyg kan också användas för att samla in dessa indikatorer under incidentrespons ansträngningar.
Läs mer: Den bästa gratis programvaran för internetsäkerhet för Windows
Exempel på indikatorer på kompromiss
Genom att upptäcka oregelbundna mönster och aktiviteter kan IoC hjälpa till att mäta om en attack är på väg att hända, redan har hänt och faktorerna bakom attacken.
Här är några exempel på IOC som varje individ och organisation bör hålla koll på:
Udda mönster för inkommande och utgående trafik
Det slutgiltiga målet för de flesta cyberattacker är att få tag i känslig data och överföra den till en annan plats. Därför är det absolut nödvändigt att övervaka ovanliga trafikmönster, särskilt de som lämnar ditt nätverk.
Samtidigt bör även förändringar i inkommande trafik observeras eftersom de är goda indikatorer på en pågående attack. Det mest effektiva tillvägagångssättet är att konsekvent övervaka både inkommande och utgående trafik för avvikelser.
Geografiska avvikelser
Om du driver ett företag eller arbetar för ett företag som är begränsat till en viss geografisk plats men plötsligt ser inloggningsmönster som kommer från okända platser, betrakta det som en röd flagga.
IP-adresser är bra exempel på IoC: er eftersom de ger användbara bevis för att spåra det geografiska ursprunget till en attack.
Användaraktiviteter med högt privilegium
Privilegierade konton har den högsta åtkomstnivån på grund av deras rollers karaktär. Hotaktörer gillar alltid att följa dessa konton för att få stadig tillgång inuti ett system. Därför bör alla ovanliga förändringar i användningsmönstret för användarkonton med hög privilegium övervakas med salt.
Om en privilegierad användare använder sitt konto från en avvikande plats och tid, är det verkligen en indikator på kompromiss. Det är alltid en bra säkerhetspraxis att använda principen om minst privilegium när du skapar konton.
Läs mer: Vad är principen om minst privilegium och hur kan det förhindra cyberattacker?
En ökning i databasläsningar
Databaser är alltid ett primärt mål för hotaktörer eftersom de flesta personliga och organisatoriska data lagras i ett databasformat.
Om du ser en ökning av databasens läsvolym ska du hålla ett öga på det eftersom det kan vara en angripare som försöker invadera ditt nätverk.
Ett högt autentiseringsförsök
Ett stort antal autentiseringsförsök, särskilt misslyckade, bör alltid höja ögonbrynet. Om du ser ett stort antal inloggningsförsök från ett befintligt konto eller misslyckade försök från ett konto som inte existerar, är det troligtvis en kompromiss.
Ovanliga konfigurationsändringar
Om du misstänker ett stort antal konfigurationsändringar på dina filer, servrar eller enheter är det troligt att någon försöker infiltrera ditt nätverk.
Konfigurationsändringar ger inte bara en andra bakdörr till hotaktörerna i ditt nätverk, utan de utsätter också systemet för attacker mot skadlig programvara.
Tecken på DDoS-attacker
En Distributed Denial of Service eller DDoS-attack utförs främst för att störa det normala trafikflödet i ett nätverk genom att bombardera det med en flod av internettrafik.
Därför är det inte konstigt att frekventa DDoS-attacker utförs av botnät för att distrahera från sekundära attacker och bör betraktas som en IoC.
Läs mer: Nya DDoS-attacktyper och hur de påverkar din säkerhet
Webbtrafikmönster med omänskligt beteende
All webbtrafik som inte verkar som normalt mänskligt beteende bör alltid övervakas och undersökas.
Att upptäcka och övervaka IoC kan uppnås genom hotjakt. Loggaggregatorer kan användas för att övervaka dina loggar för avvikelser och när de varnar för en avvikelse, ska du behandla dem som en IoC.
Efter att ha analyserat en IoC bör den alltid läggas till i en blocklista för att förhindra framtida infektioner från faktorer som IP-adresser, säkerhetshash eller domännamn.
Följande fem verktyg kan hjälpa till att identifiera och övervaka IoC: erna. Observera att de flesta av dessa verktyg kommer med communityversioner samt betalda prenumerationer.
- CrowdStrike
CrowdStrike är ett företag som förhindrar säkerhetsöverträdelser genom att tillhandahålla toppmoderna molnbaserade slutpunktssäkerhetsalternativ.
Det erbjuder en Falcon Query API-plattform med en importfunktion som låter dig hämta, ladda upp, uppdatera, söka och ta bort anpassade indikatorer för kompromiss (IOC) som du vill att CrowdStrike ska titta på.
2. Sumo Logic
Sumo Logic är en molnbaserad dataanalysorganisation som fokuserar på säkerhetsåtgärder. Företaget erbjuder logghanteringstjänster som använder maskingenererad big data för att leverera realtidsanalys.
Genom att använda Sumo Logic-plattformen kan företag och privatpersoner genomdriva säkerhetskonfigurationer för multimoln- och hybridmiljöer och snabbt svara på hot genom att upptäcka IoC.
3. Akamai Bot Manager
Bots är bra för att automatisera vissa uppgifter men de kan också användas för kontoövertaganden, säkerhetshot och DDoS-attacker.
Akamai Technologies, Inc. är ett globalt innehållsleveransnätverk som också erbjuder ett verktyg som kallas Bothanteraren som tillhandahåller avancerad botdetektering för att hitta och förhindra de mest sofistikerade botattackerna.
Genom att ge detaljerad synlighet i bottrafiken som går in i ditt nätverk hjälper Bothanteraren dig att bättre förstå och spåra vem som går in i eller lämnar ditt nätverk.
4. Bevis
Proofpoint är ett företagssäkerhetsföretag som tillhandahåller målattackskydd tillsammans med ett robust hot response-system.
Deras kreativa hot response-system ger automatisk IoC-verifiering genom att samla slutpunktsforensik från riktade system, vilket gör det enkelt att upptäcka och fixa kompromisser.
Skydda data genom att analysera ditt hotlandskap
De flesta säkerhetsöverträdelser och datastölder lämnar spår av brödsmulor och det är upp till oss att spela säkerhetsdetektiver och ta ledtrådarna.
Lyckligtvis, genom att analysera vårt hotlandskap noggrant, kan vi övervaka och sammanställa en lista med kompromissindikatorer för att förhindra alla typer av nuvarande och framtida cyberhot.
Behöver du veta när ditt företag är under cyberattack? Du behöver ett system för upptäckt och förebyggande av intrång.
Läs Nästa
- säkerhet
- Onlinesäkerhet
- Säkerhetsintrång
- DDoS
Kinza är en teknikentusiast, teknisk författare och självutnämnd nörd som bor i norra Virginia med sin man och två barn. Med en BS i datanätverk och många IT-certifieringar inom ramen arbetade hon inom telekommunikationsindustrin innan hon gick in i tekniskt skrivande. Med en nisch inom cybersäkerhet och molnbaserade ämnen tycker hon om att hjälpa kunder att uppfylla sina olika tekniska skrivkrav över hela världen. På fritiden tycker hon om att läsa skönlitteratur, teknologibloggar, skapa snygga barnberättelser och laga mat för sin familj.
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!
Ett steg till…!
Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.