Polski
Kalendarz Kanały RSS Kontakt Ankiety
Szukaj
Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Home Słownik I Wskaźnik włamania (Indicator of Compromise, IoC)

Wskaźnik włamania (Indicator of Compromise, IoC)


Wskaźnik włamania to aktywności lub obiekty, które - obserwowane w sieci lub na urządzeniu - z dużym prawdopodobieństwem oznaczają nieautoryzowany dostęp do systemu. Innymi słowy, wskazują, że system został zaatakowany i/lub zainfekowany. Wskaźniki włamania są wykorzystywane do wykrywania szkodliwej aktywności na wczesnym etapie ataku, a także do zapobiegania znanym atakom.

Przykłady wskaźników włamania

Wskaźnikami włamania mogą być m.in. nastepujące działania/obiekty:

  • nietypowe wyszukiwania DNS,
  • podejrzane pliki, aplikacje i procesy,
  • adresy IP i domeny należące do botnetów lub serwerów kontrolowanych przez cyberprzestępców,
  • wiele prób dostępu do poszczególnych plików,
  • podejrzana aktywność na kontach administracyjnych lub użytkowników z prawami dostępu większymi niż standardowe,
  • nieoczekiwane uaktualnienia oprogramowania,
  • przesyłanie danych poprzez rzadko używane porty,
  • wykonywanie na stronach działań nietypowych dla ludzi,
  • sygnatura ataku lub skrót (hash) pliku znanego szkodliwego oprogramowania,
  • nietypowe rozmiary odpowiedzi HTML,
  • nieautoryzowana modyfikacja plików konfiguracyjnych, rejestrów lub ustawień urządzenia,
  • duża liczba nieudanych prób logowania.

Identyfikowanie i stosowanie wskaźników włamania

Analiza pomaga w ujawnieniu czynników, które można powiązać z określonym zagrożeniem, czyli wskaźników włamania dla określonego zagrożenia. Na przykład, jeżeli prowadzone prace cyberwywiadowcze wykażą obecność nowego szkodliwego oprogramowania, badacz przekaże wskaźniki włamania takie jak skróty plików, adresy serwerów cyberprzestępczych itd.

Następnie wskaźniki te zostaną użyte do wyszukiwania danego zagrożenia w infrastrukturze organizacji. Wykrycie wskaźnika włamania w systemie oznacza, że najprawdopodobniej jest on atakowany, co wymaga podjęcia szybkich przeciwdziałań.

Wskaźniki włamania są także dodawane do baz danych wykorzystywanych przez pasywne narzędzia monitorujące oraz oprogramowanie antywirusowe, które może blokować próby infekcji. Na przykład, rozwiązanie bezpieczeństwa może wykorzystywać sygnatury do rozpoznawania szkodliwego oprogramowania i blokowania możliwości jego uruchomienia na urządzeniu.

Wskaźniki włamania z punktu widzenia zwykłego użytkownika

Mimo że koncepcja wskaźników włamania jest raczej kojarzona w kontekście ochrony infrastruktury korporacyjnej, zwykli użytkownicy także mogą się z nimi zetknąć. Na przykład, wiele usług internetowych ostrzega właścicieli kont o próbach logowania z nietypowego urządzenia lub adresu IP zlokalizowanego w innym kraju. Użytkownicy powinni traktować takie komunikaty poważnie, sprawdzać podawane w nich informacje i jeżeli jedno z wymienionych działań rzeczywiście wygląda na podejrzane, natychmiast zmieniać swoje hasła.


Drukuj
Udostępnij
Kaspersky Lab
Kaspersky Lab
Wszystkie artykuły z analiz
Wszystkie posty z bloga

Analizy

Spam i phishing w 2018 r.

Cyberzagrożenia finansowe w 2018 r.

Ewolucja mobilnego szkodliwego oprogramowania w 2018 r.

Zagrożenia dla użytkowników stron dla dorosłych w 2018 roku

Ataki DDoS w IV kwartale 2018 r.

Blog

Zdalnie kontrolowane domowe ładowarki pojazdów elektrycznych – zagrożenia i luki w zabezpieczeniach

Czy wiesz, ile jesteś wart?

Badanie dot. aplikacji umożliwiających korzystanie ze wspólnych samochodów (car sharing)

Żadnej taryfy ulgowej dla szkodnika ExPetr

ExPetr/Petya/NotPetya jest programem Wiper, nie Ransomware

Kaspersky Anti-virus Logo

©Kaspersky Lab
Kaspersky Lab Polska Sp. z o.o.

kaspersky.pl

Produkty i Usługi

Sklep

Zagrożenia

Do pobrania

Pomoc techniczna

Partnerzy

O firmie

securelist.pl

Analizy

Statystyki

Encyklopedia

Słownik