Andmekohtuekspertiisi maailmas pole küberrünnaku mehaanika mõistmine sugugi väiksem kui kriminaalsuse lahendamine. Kompromissi indikaatorid (IoC) on need vihjed, tõendid, mis võivad aidata paljastada tänapäevaseid keerukaid andmerikkumisi.
Küberturvalisuse ekspertide jaoks on Interneti-põhine kinnisvara suurim vara võrgurünnakute, pahatahtlike tegevuste või pahavararikkumiste lahendamisel ja müstifitseerimisel. IoC kaudu otsides saab rünnakute leevendamiseks varakult tuvastada andmete rikkumised.
Miks on oluline jälgida kompromissnäitajaid?
Küberturvalisuse analüüsil on IoC-l lahutamatu roll. Nad mitte ainult ei paljasta ega kinnita turvarünnaku toimumist, vaid avalikustavad ka rünnaku korraldamiseks kasutatud tööriistad.
Need on abiks ka kompromissi tekitatud kahju ulatuse kindlaksmääramisel ning aitavad kehtestada võrdlusaluseid tulevaste kompromisside vältimiseks.
IoC-d kogutakse tavaliselt tavaliste turvalahenduste kaudu, näiteks pahavara- ja viirusetõrje tarkvara, kuid teatavaid tehisintellektil põhinevaid tööriistu saab kasutada ka nende näitajate kogumiseks intsidentidele reageerimise ajal jõupingutusi.
Loe rohkem: Parim tasuta Interneti-turvatarkvara Windowsi jaoks
Kompromissnäitajate näited
Ebakorrapäraste mustrite ja tegevuste avastamise abil saavad IoC-d hinnata, kas rünnak on toimumas, on juba juhtunud, ja rünnaku taga olevaid tegureid.
Siin on mõned näited ROKidest, millest iga üksikisik ja organisatsioon peaks vahelehte hoidma:
Sissetuleva ja väljamineva liikluse paarituid mustreid
Enamiku küberrünnakute lõppeesmärk on hankida tundlikud andmed kätte ja edastada need teise asukohta. Seetõttu on hädavajalik jälgida ebatavalisi liiklusmustreid, eriti neid, mis teie võrgust lahkuvad.
Samal ajal tuleks jälgida ka sissetuleva liikluse muutusi, kuna need on head näitajad pooleliolevast rünnakust. Kõige tõhusam lähenemisviis on nii sissetuleva kui ka väljuva liikluse järjepidev jälgimine anomaaliate suhtes.
Geograafilised lahknevused
Kui juhite äri või töötate kindlas geograafilises asukohas piiratud ettevõttes, kuid näete äkki tundmatutest asukohtadest pärinevaid sisselogimismustreid, pidage seda punaseks lipuks.
IP-aadressid on IoC-de suurepärased näited, kuna need pakuvad kasulikke tõendeid rünnaku geograafilise päritolu jälgimiseks.
Kõrge privileegiga kasutajate tegevused
Eelisõigusega kontodel on nende rollide olemuse tõttu kõrgeim juurdepääsutase. Ohutegijatele meeldib alati neile kontodele järele minna, et süsteemis püsivalt juurde pääseda. Seetõttu tuleks kõrge privileegiga kasutajakontode kasutamismustris esinevaid ebatavalisi muutusi soola abil jälgida.
Kui privilegeeritud kasutaja kasutab oma kontot anomaalsest asukohast ja ajast, on see kindlasti kompromissi näitaja. Alati on hea turvalisuse tava kasutada kontode loomisel vähim privileegi põhimõtet.
Loe rohkem: Mis on vähima privileegi põhimõte ja kuidas see küberrünnakuid ära hoida?
Andmebaasi lugemiste kasv
Andmebaasid on ohutegijate peamine sihtmärk, kuna enamik isiku- ja organisatsioonilisi andmeid salvestatakse andmebaasivormingus.
Kui näete andmebaasi lugemismahu kasvu, hoidke sellel silma peal, kuna see võib olla ründaja, kes üritab teie võrku tungida.
Autentimiskatsete kõrge määr
Suur hulk autentimiskatseid, eriti ebaõnnestunud, peaks alati kulmu kergitama. Kui näete suurt hulka sisselogimiskatseid olemasolevalt kontolt või ebaõnnestunud katseid kontolt, mida pole olemas, on see tõenäoliselt kompromiss tegemisel.
Ebatavalised konfiguratsioonimuudatused
Kui kahtlustate, et teie failides, serverites või seadmetes on palju muudatusi konfiguratsioonis, on tõenäoline, et keegi üritab teie võrku sisse tungida.
Konfiguratsioonimuudatused ei paku mitte ainult teist tagaust teie võrgu ohus osalejatele, vaid pakuvad ka süsteemi pahavararünnakutele.
DDoS-rünnakute tunnused
Jaotatud teenuse keelamise ehk DDoS-i rünnak toimub peamiselt võrgu normaalse liiklusvoo häirimiseks, pommitades seda Interneti-liikluse tulvaga.
Seetõttu pole ime, et robotivõrgud teevad sagedasi DDoS-rünnakuid sekundaarsete rünnakute hajutamiseks ja neid tuleks käsitleda IoC-na.
Loe rohkem: Uued DDoS-rünnakute tüübid ja kuidas need teie turvalisust mõjutavad
Ebainimliku käitumisega veebiliikluse mustrid
Igat veebiliiklust, mis ei tundu inimese normaalse käitumisena, tuleks alati jälgida ja uurida.
IoC-de avastamine ja jälgimine on võimalik ohujahi abil. Palgikogujaid saab kasutada teie logide lahknevuste jälgimiseks ja kui need anomaaliast teavitavad, peaksite neid käsitlema kui IoC-d.
Pärast IoC analüüsimist tuleb see alati lisada blokeerimisnimekirja, et vältida tulevasi nakkusi sellistest teguritest nagu IP-aadressid, turvasidemed või domeeninimed.
Järgmised viis tööriista võivad aidata IoC-sid tuvastada ja jälgida. Pange tähele, et enamikul neist tööriistadest on nii kogukonna versioonid kui ka tasulised tellimused.
- CrowdStrike
CrowdStrike on ettevõte, mis hoiab ära turvarikkumisi, pakkudes tipptasemel pilvepõhiseid lõpp-punktide turvavõimalusi.
See pakub Falcon Query API platvormi koos impordifunktsiooniga, mis võimaldab teil alla laadida, üles laadida, värskendada, otsida ja kustutada kohandatud kompromissindikaatoreid (IOC), mida soovite CrowdStrike'i vaadata.
2. Sumo loogika
Sumo Logic on pilvepõhine andmeanalüüsi organisatsioon, mis keskendub turvaoperatsioonidele. Ettevõte pakub logihaldusteenuseid, mis kasutavad reaalajas analüüsi tegemiseks masina loodud suuri andmeid.
Platvormi Sumo Logic kasutades saavad ettevõtted ja üksikisikud jõustada turvakonfiguratsioone mitme pilve ja hübriidkeskkondade jaoks ning reageerida kiiresti ohtudele, tuvastades Interneti-ühendused.
3. Akamai Boti juht
Robotid sobivad hästi teatud ülesannete automatiseerimiseks, kuid neid saab kasutada ka konto ülevõtmiseks, turvaohtude ja DDoS-rünnakute jaoks.
Akamai Technologies, Inc. on ülemaailmne sisuvõrk, mis pakub ka botihaldurina tuntud tööriista, mis pakub täiustatud botituvastust, et leida ja ennetada kõige keerukamaid botirünnakuid.
Pakkudes teie võrku siseneva robotiliikluse põhjalikku nähtavust, aitab botihaldur teil paremini mõista ja jälgida, kes teie võrku sisenevad või sealt lahkuvad.
4. Proofpoint
Proofpoint on ettevõtte turvaettevõte, mis pakub sihtmärkide rünnakute kaitset koos tugeva ohutõrjesüsteemiga.
Nende loominguline ohule reageerimise süsteem tagab automaatse Interneti-kinnituse, kogudes sihtpunktide kohtuekspertiisi sihitud süsteemidest, mis muudab kompromisside avastamise ja parandamise lihtsaks.
Andmete kaitsmine ohumaastiku analüüsimise abil
Suurem osa turvarikkumistest ja andmevargustest jätavad leivapuru jäljed ning meie asi on turvadetektiivide mängimine ja vihjete korjamine.
Õnneks saame oma ohumaastikku tähelepanelikult analüüsides jälgida ja koostada kompromissnäitajate loetelu, et vältida igat tüüpi praeguseid ja tulevasi küberohte.
Kas peate teadma, kui teie ettevõte on küberrünnaku all? Teil on vaja sissetungide tuvastamise ja ennetamise süsteemi.
Loe edasi
- Turvalisus
- Veebiturvalisus
- Turvarikkumine
- DDoS
Kinza on tehnoloogiaentusiast, tehnikakirjanik ja end geeks nimetanud geek, kes elab koos abikaasa ja kahe lapsega Põhja-Virginias. BS-ga arvutivõrkude alal ja arvukate IT-sertifikaatidega töötas ta enne tehnilist kirjutamist telekommunikatsioonitööstuses. Küberturvalisuse ja pilvepõhiste teemade niššiga aitab ta klientidel kogu maailmas täita oma erinevaid tehnilisi kirjutamisnõudeid. Vabal ajal meeldib talle lugeda ilukirjandust, tehnoloogiablogisid, meisterdada vaimukaid lastelugusid ja teha perele süüa.
Telli meie uudiskiri
Liituge meie uudiskirjaga, kus leiate tehnilisi näpunäiteid, ülevaateid, tasuta e-raamatuid ja eksklusiivseid pakkumisi!
Veel üks samm !!!
Palun kinnitage oma e-posti aadress meilis, mille me just saatsime.