У свету форензике података, разумевање механике која стоји иза сајбер напада није ништа мање од решавања мистерије злочина. Индикатори компромиса (ИоЦ) су они трагови, докази који могу помоћи у откривању сложених данашњих повреда података.

ИоЦ-ови су највећа предност стручњака за сајбер безбедност када покушавају да реше и демистификују мрежне нападе, злонамерне активности или кршења злонамерног софтвера. Претрагом кроз ИоЦ-ове могу се рано утврдити кршења података која помажу у ублажавању напада.

Зашто је важно пратити показатеље компромиса?

ИоЦ играју интегралну улогу у анализи кибернетичке сигурности. Они не само да откривају и потврђују да се догодио безбедносни напад већ откривају и алате који су коришћени за извршење напада.

Такође су корисне у одређивању обима штете коју је компромис проузроковао и помажу у постављању мерила за спречавање будућих компромиса.

ИоЦ-ови се обично прикупљају путем уобичајених безбедносних решења као што су анти-малваре и анти-вирус софтвер, али одређени алати засновани на АИ такође се могу користити за прикупљање ових индикатора током реаговања на инцидент Напори.

Опширније: Најбољи бесплатни софтвер за Интернет заштиту за Виндовс

Примери индикатора компромиса

Откривањем неправилних образаца и активности, ИоЦ могу помоћи у процени да ли ће се напад већ догодити и факторима који стоје иза напада.

Ево неколико примера МОК-а на којима би сваки појединац и организација требало да води рачуна:

Непарни обрасци долазног и одлазног саобраћаја

Крајњи циљ већине сајбер напада је дохватити осетљиве податке и пренети их на друго место. Стога је неопходно надгледати необичне обрасце промета, посебно оне који напуштају вашу мрежу.

Истовремено, промене у долазном саобраћају такође треба посматрати јер су они добри показатељи напада у току. Најефикаснији приступ је доследно надгледање аномалија како у долазном тако и у одлазном саобраћају.

Географске разлике

Ако водите посао или радите за компанију ограничену на одређену географску локацију, али изненада видите обрасце за пријаву пореклом са непознатих локација, сматрајте то црвеном заставицом.

ИП адресе су сјајни примери ИоЦ-а јер пружају корисне доказе за тражење географског порекла напада.

Активности високих привилегија

Привилеговани налози имају највиши ниво приступа због природе својих улога. Актери претњи увек воле да иду за овим рачунима како би стекли сталан приступ унутар система. Стога, све необичне промене у начину коришћења високо привилегованих корисничких налога треба надгледати са резервом.

Ако привилеговани корисник користи свој рачун са необичне локације и времена, онда је то сигурно показатељ компромиса. Увек је добра безбедносна пракса користити принцип најмање привилегије приликом постављања рачуна.

Опширније: Шта је принцип најмање привилегија и како може спречити цибераткацкс?

Повећање читања базе података

Базе података су увек главна мета за актере претњи, јер се већина личних и организационих података чува у формату базе података.

Ако приметите повећање обима читања базе података, припазите на то јер би то могао бити нападач који покушава да нападне вашу мрежу.

Висока стопа покушаја аутентификације

Велики број покушаја аутентификације, посебно неуспелих, увек треба да подигне обрву. Ако видите велики број покушаја пријаве са постојећег налога или неуспелих покушаја са налога који не постоји, онда је то највероватније компромис у настајању.

Необичне промене конфигурације

Ако сумњате на велики број промена конфигурације у датотекама, серверима или уређајима, постоји велика вероватноћа да неко покушава да се инфилтрира у вашу мрежу.

Промене у конфигурацији не само да пружају позадинску заштиту актерима претње у вашој мрежи, већ и излажу систем нападима злонамерног софтвера.

Знаци ДДоС напада

Дистрибуирани напад ускраћивања услуге или ДДоС напад углавном се изводи да би се пореметио нормалан проток промета мреже бомбардирајући је поплавом интернет промета.

Стога није ни чудо што ботне мреже изводе честе ДДоС нападе да би одвратили пажњу од секундарних напада и треба их сматрати ИоЦ-ом.

Опширније: Нове врсте ДДоС напада и како утичу на вашу сигурност

Обрасци веб промета са нељудским понашањем

Сваки веб саобраћај који се не чини нормалним људским понашањем увек треба надгледати и истражити.

Откривање и надгледање ИоЦ-а може се постићи ловом на претње. Сакупљачи дневника могу се користити за надгледање ваших евиденција на одступања и када упозоре на аномалију, тада бисте их требали третирати као ИоЦ.

Након анализе ИоЦ-а, увек га треба додати на листу блокирања како би се спречиле будуће заразе факторима као што су ИП адресе, безбедносни хешеви или имена домена.

Следећих пет алата може помоћи у идентификовању и праћењу ИоЦ-а. Имајте на уму да већина ових алата долази са верзијама заједнице, као и уз претплате уз плаћање.

  1. ЦровдСтрике

ЦровдСтрике је компанија која спречава нарушавање безбедности пружањем врхунских сигурносних опција заснованих на облаку.

Нуди Фалцон Куери АПИ платформу са функцијом увоза која вам омогућава да преузмете, отпремите, ажурирате, претражите и избришете прилагођене индикаторе компромиса (ИОЦ) које желите да ЦровдСтрике гледа.

2. Сумо Логиц

Сумо Логиц је организација за аналитику података заснована на облаку која се фокусира на сигурносне операције. Компанија нуди услуге управљања дневницима које користе машински генерисане велике податке за испоруку анализе у реалном времену.

Коришћењем Сумо Логиц платформе, предузећа и појединци могу применити безбедносне конфигурације за мулти-цлоуд и хибридна окружења и брзо одговорити на претње откривањем ИоЦ-а.

3. Акамаи Бот Манагер

Ботови су добри за аутоматизацију одређених задатака, али се такође могу користити за преузимање рачуна, претње безбедности и ДДоС нападе.

Акамаи Тецхнологиес, ​​Инц. је глобална мрежа за испоруку садржаја која такође нуди алат познат као Бот Манагер који пружа напредно откривање ботова за проналажење и спречавање најсофистициранијих бот напада.

Пружајући прецизну видљивост бот саобраћаја који улази у вашу мрежу, Бот Манагер вам помаже да боље разумете и пратите ко улази или напушта вашу мрежу.

4. Проофпоинт

Проофпоинт је сигурносна компанија у предузећу која пружа заштиту од циљаних напада заједно са робусним системом за одговор на пријетње.

Њихов систем креативног реаговања на претње пружа аутоматску ИоЦ верификацију прикупљањем форензике крајњих тачака од циљаних система, што олакшава откривање и поправљање компромиса.

Заштитите податке анализом пејзажа претњи

Већина кршења безбедности и крађе података остављају трагове мрвица иза себе, а на нама је да се играмо сигурносних детектива и пронађемо трагове.

Срећом, пажљивом анализом нашег окружења претњи, можемо надгледати и саставити листу показатеља компромиса како бисмо спречили све врсте тренутних и будућих сајбер претњи.

Емаил
9 најбољих система за откривање и спречавање провале који повећавају вашу цибер сигурност

Требате знати када је ваше предузеће под кибернетадом? Потребан вам је систем за откривање и спречавање упада.

Прочитајте следеће

Повезане теме
  • Сигурност
  • Безбедност на мрежи
  • Безбедност повреде
  • ДДоС
О аутору
Кинза Иасар (Објављено 15 чланака)

Кинза је технолошки ентузијаст, технички писац и самопрозвани штребер који са супругом и двоје деце борави у Северној Вирџинији. Са дипломом рачунарских мрежа и бројним ИТ сертификатима, радила је у индустрији телекомуникација пре него што се упустила у техничко писање. Са нишом у сајбер-безбедности и темама заснованим на облаку, она ужива помажући клијентима да испуне њихове разнолике техничке захтеве за писање широм света. У слободно време ужива читајући белетристику, технолошке блогове, смишљајући духовите дечије приче и кувајући за своју породицу.

Још од Кинзе Иасар

Претплатите се на наш билтен

Придружите се нашем билтену за техничке савете, прегледе, бесплатне е-књиге и ексклузивне понуде!

Још један корак…!

Молимо потврдите своју адресу е-поште у е-поруци коју смо вам управо послали.

.