I en verden af data-kriminalteknik er forståelse af mekanikken bag et cyberangreb ikke mindre end at løse et kriminelt mysterium. Indikatorer på kompromis (IoCs) er de ledetråde, bevismateriale, der kan hjælpe med at afdække de komplekse databrud i dag.
IoC'er er det største aktiv for cybersikkerhedseksperter, når de prøver at løse og de-mystificere netværksangreb, ondsindede aktiviteter eller malwareovertrædelser. Ved at søge gennem IoC'er kan databrud identificeres tidligt for at hjælpe med at afbøde angreb.
Hvorfor er det vigtigt at overvåge indikatorerne for kompromis?
IoC'er spiller en integreret rolle i cybersikkerhedsanalyse. Ikke blot afslører og bekræfter de, at der er sket et sikkerhedsangreb, men de afslører også de værktøjer, der blev brugt til at udføre angrebet.
De er også nyttige til at bestemme omfanget af den skade, et kompromis har forårsaget, og hjælpe med at oprette benchmarks for at forhindre fremtidige kompromiser.
IoC'erne samles generelt gennem normale sikkerhedsløsninger som anti-malware og anti-virus software, men visse AI-baserede værktøjer kan også bruges til at indsamle disse indikatorer under hændelsesrespons indsats.
Læs mere: Den bedste gratis internetsikkerhedssoftware til Windows
Eksempler på kompromisindikatorer
Ved at opdage uregelmæssige mønstre og aktiviteter kan IoC'er hjælpe med at måle, hvis et angreb er ved at ske, allerede er sket, og faktorerne bag angrebet.
Her er nogle eksempler på IOC'er, som hver enkelt person og organisation skal holde øje med:
Ulige mønstre af indgående og udgående trafik
Det ultimative mål for de fleste cyberangreb er at få fat i følsomme data og overføre dem til et andet sted. Derfor er det bydende nødvendigt at overvåge usædvanlige trafikmønstre, især dem der forlader dit netværk.
Samtidig skal ændringer i indgående trafik også overholdes, da de er gode indikatorer for et igangværende angreb. Den mest effektive tilgang er at konsekvent overvåge både indgående og udgående trafik for uregelmæssigheder.
Geografiske uoverensstemmelser
Hvis du driver en virksomhed eller arbejder for en virksomhed, der er begrænset til en bestemt geografisk placering, men pludselig ser loginmønstre, der stammer fra ukendte placeringer, skal du betragte det som et rødt flag.
IP-adresser er gode eksempler på IoC'er, da de giver nyttige beviser til at spore et angrebs geografiske oprindelse.
Brugeraktiviteter med højt privilegium
Privilegerede konti har det højeste niveau af adgang på grund af deres rolle. Trusselsaktører kan altid lide at følge disse konti for at få stabil adgang inde i et system. Derfor bør eventuelle usædvanlige ændringer i brugsmønsteret for brugerkonti med højt privilegium overvåges med et saltkorn.
Hvis en privilegeret bruger bruger deres konto fra en uregelmæssig placering og tid, er det bestemt en indikator for kompromis. Det er altid en god sikkerhedspraksis at anvende princippet om mindst privilegium, når du opretter konti.
Læs mere: Hvad er princippet om mindst privilegium, og hvordan kan det forhindre cyberangreb?
En stigning i databaselæsninger
Databaser er altid et primært mål for trusselaktører, da de fleste personlige og organisatoriske data er gemt i et databaseformat.
Hvis du ser en stigning i databasens læsevolumen, skal du holde øje med det, da det måske er en hacker, der prøver at invadere dit netværk.
En høj grad af godkendelsesforsøg
Et stort antal godkendelsesforsøg, især mislykkede, bør altid løfte et øjenbryn. Hvis du ser et stort antal loginforsøg fra en eksisterende konto eller mislykkede forsøg fra en konto, der ikke findes, er det højst sandsynligt et kompromis ved at blive.
Usædvanlige ændringer i konfigurationen
Hvis du har mistanke om et stort antal konfigurationsændringer på dine filer, servere eller enheder, er chancerne for, at nogen prøver at infiltrere dit netværk.
Konfigurationsændringer giver ikke kun en anden bagdør til trusselaktørerne i dit netværk, men de udsætter også systemet for malwareangreb.
Tegn på DDoS-angreb
Et Distribueret Denial of Service eller DDoS-angreb udføres hovedsageligt for at forstyrre den normale trafikflow i et netværk ved at bombardere det med en strøm af internettrafik.
Derfor er det ikke underligt, at hyppige DDoS-angreb udføres af botnets for at distrahere fra sekundære angreb og bør betragtes som en IoC.
Læs mere: Nye DDoS-angrebstyper og hvordan de påvirker din sikkerhed
Webtrafikmønstre med umenneskelig adfærd
Enhver webtrafik, der ikke virker som normal menneskelig adfærd, skal altid overvåges og undersøges.
Opdagelse og overvågning af IoC'er kan opnås ved trusseljagt. Logaggregatorer kan bruges til at overvåge dine logfiler for uoverensstemmelser, og når de først advarer om en anomali, skal du behandle dem som en IoC.
Efter analyse af en IoC skal den altid føjes til en blokliste for at forhindre fremtidige infektioner fra faktorer som IP-adresser, sikkerhedshash eller domænenavne.
De følgende fem værktøjer kan hjælpe med at identificere og overvåge IoC'erne. Bemærk, at de fleste af disse værktøjer leveres med fællesskabsversioner samt betalte abonnementer.
- CrowdStrike
CrowdStrike er et firma, der forhindrer sikkerhedsbrud ved at levere top-of-the-line, skybaserede slutpunktssikkerhedsindstillinger.
Det tilbyder en Falcon Query API-platform med en importfunktion, der giver dig mulighed for at hente, uploade, opdatere, søge og slette tilpassede indikatorer for kompromis (IOC'er), som du vil have CrowdStrike til at se.
2. Sumo Logic
Sumo Logic er en skybaseret dataanalyseorganisation, der fokuserer på sikkerhedsoperationer. Virksomheden tilbyder loghåndteringstjenester, der bruger maskindannede big data til at levere realtidsanalyse.
Ved at bruge Sumo Logic-platformen kan virksomheder og enkeltpersoner håndhæve sikkerhedskonfigurationer til multi-cloud- og hybridmiljøer og hurtigt reagere på trusler ved at opdage IoC'er.
3. Akamai Bot Manager
Bots er gode til automatisering af visse opgaver, men de kan også bruges til kontoovertagelser, sikkerhedstrusler og DDoS-angreb.
Akamai Technologies, Inc. er et globalt indholdsleveringsnetværk, der også tilbyder et værktøj kendt som Bot Manager, der giver avanceret bot-detektion for at finde og forhindre de mest sofistikerede bot-angreb.
Ved at give granulær synlighed i bot-trafikken, der kommer ind i dit netværk, hjælper Bot Manager dig med bedre at forstå og spore, hvem der kommer ind i eller forlader dit netværk.
4. Proofpoint
Proofpoint er et virksomheds sikkerhedsselskab, der leverer målangrebsbeskyttelse sammen med et robust trusselsresponssystem.
Deres kreative trusselsrespons-system giver automatisk IoC-verifikation ved at samle slutpunktsforensik fra målrettede systemer, hvilket gør det let at opdage og rette kompromiser.
Beskyt data ved at analysere dit trusselslandskab
De fleste sikkerhedskrænkelser og datatyverier efterlader spor af brødkrummer bagud, og det er op til os at spille sikkerhedspersoner og hente sporene.
Heldigvis ved at analysere vores trussellandskab nøje kan vi overvåge og sammensætte en liste over kompromisindikatorer for at forhindre alle typer nuværende og fremtidige cybertrusler.
Brug for at vide, hvornår din virksomhed er under cyberangreb? Du har brug for et system til påvisning og forebyggelse af indtrængen.
Læs Næste
- Sikkerhed
- Onlinesikkerhed
- Sikkerhedsbrist
- DDoS
Kinza er en teknologientusiast, teknisk forfatter og selvudråbt nørd, der bor i det nordlige Virginia med sin mand og to børn. Med en bachelor i computernetværk og adskillige it-certificeringer inden for sit bælte arbejdede hun i telekommunikationsindustrien, inden hun gik ud i teknisk skrivning. Med en niche inden for cybersikkerhed og skybaserede emner nyder hun at hjælpe kunder med at imødekomme deres forskellige tekniske skrivebehov over hele kloden. I sin fritid nyder hun at læse fiktion, teknologiblogs, udforme vittige børnehistorier og lave mad til sin familie.
Abonner på vores nyhedsbrev
Deltag i vores nyhedsbrev for tekniske tip, anmeldelser, gratis e-bøger og eksklusive tilbud!
Et trin mere !!!
Bekræft din e-mail-adresse i den e-mail, vi lige har sendt dig.
