什么是入侵指标 (IOC)?
入侵指标(IOC) 通常被视为“数字面包屑”。它们是显示正在进行的网络攻击的证据。此外,IOC 还可以提供网络攻击使用的工具、攻击者身份等信息的洞察。
关于入侵指标
安全团队使用入侵指标来查找恶意活动或威胁。这些指标可以被纳入到您企业的网络安全监控中。它们可帮助您阻止正在进行的网络攻击。此外,您还可以利用 IOC 来寻找方法来侦测并阻止勒索软件、恶意软件及其他网络威胁,在发生数据泄露前防范未然。
入侵指标如何运作?
当网络犯罪分子攻击您公司时,他们会留下数字足迹。例如,在网络攻击后,您的安全团队可能会在系统和日志文件中发现网络犯罪活动的痕迹。此时,您的团队可以从这些系统和文件中收集数字取证数据。通过这些数据,您的团队可以判断是否正在发生网络攻击或数据泄露,或者攻击是否已经发生。
您的安全团队可以在整个 IT 基础设施中寻找入侵指标。或者,您也可以雇佣托管式安全服务提供商 (MSSP) 代表您寻找 IOC。无论哪种情况,都可以使用先进的技术和工具对网络流量及其他来源进行扫描和分析,以寻找 IOC。一旦发现可疑活动,可以根据情况采取隔离措施。
入侵指标的类型
网络型
网络 IOC 包括异常的流量模式、与恶意 IP 地址或域的连接,或网络上其他可疑活动的迹象。入侵侦测系统 (IDS)、安全信息与事件管理 (SIEM) 系统及其他网络监控工具可用于侦测这些 IOC。
主机型
包括异常的文件活动、系统配置的变化以及计算机或系统上的其他可疑活动。您的企业可以通过端点侦测与响应 (EDR)、扩展式侦测与响应 (XDR) 及其他端点安全解决方案来侦测主机型 IOC。
文件型
文件型入侵指标表明存在着恶意系统文件或恶意软件。文件型 IOC 的示例包括可疑的哈希值、文件名和文件路径。EDR 和沙箱工具通常用于侦测文件型 IOC。
行为型
行为型入侵指标如多次登录尝试失败或异常的登录时间,这表明系统或网络中存在着可疑的用户活动。用户监控工具,如用户与实体行为分析 (UEBA) 解决方案,可用于识别行为型 IOC。
入侵指标的示例
- 网络流量的激增或减缓,或其他异常的外向网络流量活动
- 特定账户的用户访问权限提升,使用某个账户来访问其他账户以获得更多权限,或其他特权用户账户异常
- 来自您企业所在国家以外的账户登录
- 单一账户的多次登录尝试失败
- 多次请求访问同一文件
- 使用之前未有用过的网络端口
- 未经授权的注册表或系统文件更改
- 突然且无预警的域名系统 (DNS) 请求
入侵指标的生命周期
1.发现
您的企业可以通过以下方式发现入侵指标:
- 查看系统日志。
- 分析网络流量。
- 执行安全扫描。
- 从设备和软件中获取安全警报。
2.评估
您可以使用多种工具和技术来了解潜在威胁,包括:
- 网络流量分析
- 恶意软件分析
- 系统分析
- 威胁情报
3.共享
一旦获取到 IOC,您可以将其与员工、执法机构或行业内其他企业共享。这样做的话,您可以:
- 寻找新的防御威胁方法。
- 识别网络攻击的趋势和模式。
- 加速事件响应和修复进程。
4.部署
在此阶段,您可以部署安全控制措施,来提升整体网络安全状态。建立多层次的控制您可优化您的网络安全防护,甚有裨益。
5.侦测与响应
您可以使用多种工具和技术来监察 IOC。一旦侦测到 IOC,您可以:
- 隔离受影响的系统或网络,防止威胁蔓延。
- 阻断可疑网络流量、隔离受感染的系统,或采取其他措施应对威胁。
- 通知相关利益方事件的发生及正在采取的应对措施。
6.生命周期结束 (EOL)
当您成功缓解了 IOC,意味着它进入生命周期结束 (EOL) 阶段。导致 IOC 失效的原因包括:
- 技术变化:随着某些技术不再使用,IOC 可能会过时。
- 威胁态势变化:您所面临的威胁可随网络威胁态势持续变化。
- 安全性增强:随着您投资在先端的安全工具和技术,某些 IOC 可能变得多余或不必要。
什么是攻击指标 (IOA)?
攻击指标 (IOA) 是指显示网络犯罪分子有意图攻击您企业的证据。为了理解 IOA 如何运作,我们可以通过一个例子来说明。
在钓鱼攻击中,网络犯罪分子试图让目标点击链接或打开文档,从而感染其设备。他们必须找到潜在目标,并要考虑如何引起目标的注意。此外,犯罪分子还必须执行多个步骤,使受害者下载恶意软件。
攻击指标突出了网络犯罪分子在发起攻击过程中所采取的步骤。通过密切关注这些步骤,您的企业可以填补安全漏洞。最重要的是,您可以在网络攻击的早期阶段或攻击发生之前及时阻止。
攻击指标的示例
- 通常不会相互通信的公共服务器之间的通信
- 内部主机与位于贵公司所在国家以外的接收方之间的通信
- 与非标准端口的连接
- 恶意软件在从受感染设备中移除后几分钟内再次出现
- 用户登录来自多个地区
入侵指标与攻击指标的区别
入侵指标是显示网络攻击正在发生或已经发生的证据。一旦网络犯罪分子攻击您的企业,您可以侦测到 IOC。这些指标有助于您分析攻击的影响。
而攻击指标则是显示网络攻击可能即将发生的证据。 您可以在网络攻击或数据泄露发生之前侦测到 IOA。如果正确处理 IOA,您可以有效避免数据泄露。
监控入侵指标的好处
监控 IOC 帮助您快速识别并响应安全事件。如果这些事件没有得到及时处理,可能会对您的业务、员工和客户造成干扰。这些事件还可能损害您的品牌声誉,影响业务收入。还可能入侵到您企业的敏感数据,导致合规性问题和罚款。
监控入侵指标的挑战
寻找 IOC 是一种反应性方法——而非主动防御。您的企业必须等待网络威胁在 IT 基础设施中冒出,才能产生相应的 IOC。如果您希望采取主动的网络安全防护措施,可以投资更强大的网络安全防护产品和服务。通过这种方式,您可以利用 IOC 来补足您的整体网络安全策略。
IOC 管理最佳实践
- 建立身份辨识和访问管理 (IAM) 控制措施,帮助您快速轻易识别和管理对数据、系统和网络的访问权限。
- 对网络进行分段,确保如果网络犯罪分子侵入了您的某个网络,您可以降低其入侵到其他网络的风险。
- 利用威胁情报,及时掌握网络威胁态势,追踪当前和潜在的威胁,找到最佳防御策略。
- 利用托管式侦测与响应 (MDR)、EDR、XDR、威胁情报平台以及其他安全工具和技术来管理 IOC。
- 自动化 IOC 分析和关联,根据事件的严重性优先处理最紧急的警报,并立即响应关键威胁。
- 建立事件响应计划,着让您利用 IOC 来评估事件的严重性,并尽快高效地进行修复。
- 与 MSSP 合作,可分析您的网络安全状态,识别安全漏洞,帮助您找出应对当前和未来安全漏洞的最佳方法。
- 与行业伙伴共享 IOC,共同应对行业中的网络威胁。
- 定期检查 IOC,制定符合行业法规和公司需求的保留政策。
教育员工了解 IOC、其作用及运作原理,帮助员工更好地防范网络威胁。
相关安全主题:什么是网络安全中的蜜罐?