妥协指标(IoC)是组织通过提供恶意活动早期预警信号来识别和减轻威胁的重要工具。 本指南涵盖了它们的定义、类型、用途以及如何利用它们来增强安全态势。
什么是妥协迹象?
妥协指标 (IOC) 是组织网络或系统内潜在漏洞的取证线索和证据。 IOC 为安全团队提供了发现和修复网络攻击的重要背景。
妥协指标(IoC)是指示潜在安全漏洞或网络攻击的信息,可帮助网络安全专业人员识别并有效应对。 这些可以包括文件、IP 地址、域名或注册表项。 IoC 有助于追踪攻击者、了解他们的方法并防止未来的攻击。 在当今的数字时代,组织在安全事件(例如数据泄露和系统泄露)造成重大损害之前检测和响应方面面临着重大挑战。
攻击者可以在不被发现的情况下留在受感染的网络上,因此监控受感染迹象至关重要。 了解 IOC、其计划、常见类型、示例和限制,并将其整合到响应计划中至关重要。
IoC 如何工作?
IoC 帮助组织使用元数据等攻击证据来检测和确认设备或网络上是否存在恶意软件。 安全专家利用这些证据来检测、调查和解决安全事件。
IoC 可以通过多种方式获取,包括:
- 观察:留意系统或设备中的异常行为或活动
- 分析:识别可疑活动的特征并评估其影响
- 签名:通过签名了解已知的恶意软件签名
妥协有哪四种类型?
1. 基于文件的指标 –
它们连接到特定的文件,例如哈希值或文件名。
2. 基于网络的指标 –
这些是连接到网络的指示符,例如域名或IP地址。
3. 行为指标 –
这些是与系统或网络行为相关的警告信号,例如异常网络活动或系统活动。
4. 基于工件的指标 –
这些是与黑客留下的证据相关的警告标志,例如配置文件或注册表项。
Ioc 的示例是什么?
安全团队寻找网络威胁和攻击的警告信号,包括妥协指标,例如:
- 入站和出站异常网络流量
- 地理异常,例如来自该组织不存在的国家或地区的流量
- 使用系统的未知程序
- 来自特权帐户或管理员帐户的异常活动,例如请求更多权限
- 访问请求或错误登录的增加可能是暴力攻击的迹象
- 异常行为,例如数据库卷增加
- 对同一文件的请求过多
- 对注册表或系统文件进行可疑更改。
- 不寻常的 DNS 请求和注册表配置
- 未经授权更改设置,例如移动设备配置文件
- 许多压缩文件或数据包位于意外或不正确的位置。
您如何识别这些指标?
快速 IOC 识别是多层安全策略的重要组成部分。 为了阻止网络攻击完全渗透您的系统,密切的网络监控是必要的。 因此,组织需要一个记录和报告外部和横向流量的网络监控工具。
组织可以通过监控 IOC 更好地快速、准确地识别问题。 此外,它还有助于快速响应事件以解决问题,并有助于计算机取证。 识别 IOC 通常表明已经发生了妥协,这是不幸的。 然而,采取这些预防措施可以减轻损坏的影响:
- 对网络进行分段,以防止恶意软件在网络受到威胁时横向传播。
- 禁用命令行脚本:恶意软件经常使用命令行工具在整个网络中传播。
- 限制帐户权限:IOC 经常包含具有可疑活动和请求的帐户。 基于时间的访问限制和权限控制有助于密封
最好的 5 个 IoC 扫描工具
#1. 拉斯特雷亚2r
Rastrea2r 是一款面向安全专业人员和 SOC 团队的基于命令的开源 IoC 扫描工具。 它支持 Microsoft Windows、Linux 和 Mac OS,创建快速系统快照、收集 Web 浏览器历史记录并提供内存转储分析功能。 此外,它还使用 HTTP 获取 Windows 应用程序并将结果推送到静态服务器。 但是,它需要系统依赖项,例如 yara-python、psutil、requests 和 Pyinstaller。
#2。 芬里尔
Fenrir 是一个 bash 脚本的 IoC 扫描器,它使用本机 Unix 和 Linux 系统工具,无需安装。 它支持各种排除并在 Linux、Unix 和 OS X 系统上运行。 此外,它还能发现奇怪的文件名、可疑字符串和 C2 服务器连接等 IoC。 安装很简单,只需下载、解压并运行./fenrir.sh。
#3。 洛基
Loki 是一款经典工具,用于使用各种技术检测 Windows 系统上的 IoC,例如哈希检查、文件名检查、完整文件路径/名称正则表达式匹配、YARA 规则和签名检查、C2 连接检查、Sysforensics 进程检查、SAM 转储检查和 DoublePulsar后门检查。 要进行测试,请下载最新版本,运行程序,选择目录,关闭应用程序,然后以管理员身份运行。 完成后,IoC 报告即可进行分析。
#4。 Lynis
Lynis 是一款免费的开源安全审核工具,可以帮助检测受损的 Linux/Unix 系统。 它执行深度扫描以评估系统硬度和潜在的安全漏洞。 它支持多个平台,并且不需要依赖项。 此外,它还包括多达 300 项安全测试、现代合规性测试以及包含建议、警告和关键项目的扩展报告日志。
安装非常简单:从 GitHub 下载软件包,使用“审核系统”选项运行该工具,它将在将结果报告到标准输出之前执行完整的系统安全审核。
#5。 绊
Tripwire 是适用于 Unix 和 Linux 系统的可靠开源安全和数据完整性工具。 它生成现有文件和目录的数据库,检查文件系统更改,并警告用户发生更改。 此外,它还可以配置规则以减少噪音并防止系统升级和修改。 请注意,可以使用 .deb 或 .rpm 格式的预编译包或通过下载源代码并编译来安装此工具。
威胁情报的妥协指标是什么?
IOC 通过识别和跟踪系统或网络违规或妥协对于威胁情报至关重要。 它们被收集、分析并用于检测、预防和响应安全威胁。 IOC 来自内部日志、外部源、开源情报和人类情报。
此外,威胁情报平台 (TIP) 可以管理和分析 IOC,自动进行数据收集和优先级排序,并增强对威胁的响应。 总体而言,IOC 对于有效的安全威胁检测和响应至关重要。
网络安全受损的迹象有哪些?
妥协指标 (IOC) 是表明系统或网络在网络安全方面已遭到破坏或妥协的工件或证据。 它们是网络安全的关键组成部分,可以来自各种来源,例如网络流量、系统日志、文件哈希、IP 地址和域名。
IOC 的示例包括恶意软件签名、可疑网络流量、异常用户行为、漏洞利用以及命令和控制基础设施。 分析 IOC 可以帮助网络安全团队了解威胁行为者使用的策略、技术和程序,从而使他们能够提高防御能力。 因此,组织可以使用 SIEM 系统、IDPS 和 TIP 等工具来收集、分析和响应 IOC,从而增强对网络威胁的防御。
参考文献:
