IoC или Индикатор компрометации — это механизм обнаружения вредоносных программ на основе сигнатур. Этот индикатор используется для известных вредоносных программ и для расследования вторжений в систему. Вы можете рассматривать это как базу знаний для следователей.
IoC позволяет единообразно документировать конкретную угрозу и облегчает автоматический обмен информацией об угрозах, позволяющей принять меры. Кроме того, он может работать с более сложными сигнатурами вредоносных программ, обнаруживая домены Md5, CC, вредоносные IP-адреса или ключи реестра, которые, как известно, используются для вредоносных программ.
Это больше ориентировано на обмен разведданными между предприятиями, агентствами и этическими хакерами для борьбы с действиями киберпреступников.
Все начинается с дальнейшего расследования, чтобы определить, что произошло и как. Этот отчет собирается, анализируется в среде IoC и создается запись, после чего ее можно развернуть в системе предотвращения вторжений, чтобы гарантировать, что такая же компрометация больше не повторится.
Это важная вещь в кибербезопасности. Хотя преступники постоянно изменяют и адаптируют вредоносное ПО, они, как правило, используют одни и те же инструменты и методы вредоносного ПО, такие как внедрение процессов, сброс учетных данных, кража токенов, перечисление хостов.
Задокументировав эти шаги в IOC, вы значительно повысите вероятность успешного обнаружения.
Это часть более широкой концепции Обмен информацией об угрозах, в которой используются два стандарта для моделирования и обмена информацией об угрозах.
Начнем с Stix, это язык для моделирования и представления информации о киберугрозах, а TAXII — это протокол для обмена информацией, в основном, он говорит, как передается информация. Таким образом, оба они устанавливают стандарт для кибернаблюдаемых, которые можно использовать для построения выражений IOC (включая доменные имена, IP-адреса, расширения файлов и т. д.).
Отлично, в этот момент мы можем среагировать и понять последствия вторжения, но не от точки зрения атакующего, а иногда этого недостаточно, поэтому IoA или Индикаторы вторжения Атака актуальна.
IoA – это механизм для обнаружения методов и намерений злоумышленника. Этот механизм решает и обнаруживает серьезные проблемы для традиционных средств защиты, таких как вторжения с использованием законных учетных данных и эксплойты нулевого дня.
В нескольких словах IoA обращается к атакующей стороне расследования, тесно связанной с фазой разведки в пен-тестировании.
Обнаружение вторжений вручную — сложная задача, эту практику также трудно сделать эффективно, но если инструменты правильные, автоматизация и аналитика с помощью ИИ могут привести к более быстрому обнаружению злоумышленников.
Хорошей охоты :)
