Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Wskaźnik włamania (Indicator of Compromise, IoC)


Wskaźnik włamania to aktywności lub obiekty, które - obserwowane w sieci lub na urządzeniu - z dużym prawdopodobieństwem oznaczają nieautoryzowany dostęp do systemu. Innymi słowy, wskazują, że system został zaatakowany i/lub zainfekowany. Wskaźniki włamania są wykorzystywane do wykrywania szkodliwej aktywności na wczesnym etapie ataku, a także do zapobiegania znanym atakom.

Przykłady wskaźników włamania

Wskaźnikami włamania mogą być m.in. nastepujące działania/obiekty:

  • nietypowe wyszukiwania DNS,
  • podejrzane pliki, aplikacje i procesy,
  • adresy IP i domeny należące do botnetów lub serwerów kontrolowanych przez cyberprzestępców,
  • wiele prób dostępu do poszczególnych plików,
  • podejrzana aktywność na kontach administracyjnych lub użytkowników z prawami dostępu większymi niż standardowe,
  • nieoczekiwane uaktualnienia oprogramowania,
  • przesyłanie danych poprzez rzadko używane porty,
  • wykonywanie na stronach działań nietypowych dla ludzi,
  • sygnatura ataku lub skrót (hash) pliku znanego szkodliwego oprogramowania,
  • nietypowe rozmiary odpowiedzi HTML,
  • nieautoryzowana modyfikacja plików konfiguracyjnych, rejestrów lub ustawień urządzenia,
  • duża liczba nieudanych prób logowania.

Identyfikowanie i stosowanie wskaźników włamania

Analiza pomaga w ujawnieniu czynników, które można powiązać z określonym zagrożeniem, czyli wskaźników włamania dla określonego zagrożenia. Na przykład, jeżeli prowadzone prace cyberwywiadowcze wykażą obecność nowego szkodliwego oprogramowania, badacz przekaże wskaźniki włamania takie jak skróty plików, adresy serwerów cyberprzestępczych itd.

Następnie wskaźniki te zostaną użyte do wyszukiwania danego zagrożenia w infrastrukturze organizacji. Wykrycie wskaźnika włamania w systemie oznacza, że najprawdopodobniej jest on atakowany, co wymaga podjęcia szybkich przeciwdziałań.

Wskaźniki włamania są także dodawane do baz danych wykorzystywanych przez pasywne narzędzia monitorujące oraz oprogramowanie antywirusowe, które może blokować próby infekcji. Na przykład, rozwiązanie bezpieczeństwa może wykorzystywać sygnatury do rozpoznawania szkodliwego oprogramowania i blokowania możliwości jego uruchomienia na urządzeniu.

Wskaźniki włamania z punktu widzenia zwykłego użytkownika

Mimo że koncepcja wskaźników włamania jest raczej kojarzona w kontekście ochrony infrastruktury korporacyjnej, zwykli użytkownicy także mogą się z nimi zetknąć. Na przykład, wiele usług internetowych ostrzega właścicieli kont o próbach logowania z nietypowego urządzenia lub adresu IP zlokalizowanego w innym kraju. Użytkownicy powinni traktować takie komunikaty poważnie, sprawdzać podawane w nich informacje i jeżeli jedno z wymienionych działań rzeczywiście wygląda na podejrzane, natychmiast zmieniać swoje hasła.