Wskaźnik włamania (Indicator of Compromise, IoC)
Wskaźnik włamania to aktywności lub obiekty, które - obserwowane w sieci lub na urządzeniu - z dużym prawdopodobieństwem oznaczają nieautoryzowany dostęp do systemu. Innymi słowy, wskazują, że system został zaatakowany i/lub zainfekowany. Wskaźniki włamania są wykorzystywane do wykrywania szkodliwej aktywności na wczesnym etapie ataku, a także do zapobiegania znanym atakom.
Przykłady wskaźników włamania
Wskaźnikami włamania mogą być m.in. nastepujące działania/obiekty:
Identyfikowanie i stosowanie wskaźników włamania
Analiza pomaga w ujawnieniu czynników, które można powiązać z określonym zagrożeniem, czyli wskaźników włamania dla określonego zagrożenia. Na przykład, jeżeli prowadzone prace cyberwywiadowcze wykażą obecność nowego szkodliwego oprogramowania, badacz przekaże wskaźniki włamania takie jak skróty plików, adresy serwerów cyberprzestępczych itd.
Następnie wskaźniki te zostaną użyte do wyszukiwania danego zagrożenia w infrastrukturze organizacji. Wykrycie wskaźnika włamania w systemie oznacza, że najprawdopodobniej jest on atakowany, co wymaga podjęcia szybkich przeciwdziałań.
Wskaźniki włamania są także dodawane do baz danych wykorzystywanych przez pasywne narzędzia monitorujące oraz oprogramowanie antywirusowe, które może blokować próby infekcji. Na przykład, rozwiązanie bezpieczeństwa może wykorzystywać sygnatury do rozpoznawania szkodliwego oprogramowania i blokowania możliwości jego uruchomienia na urządzeniu.
Wskaźniki włamania z punktu widzenia zwykłego użytkownika
Mimo że koncepcja wskaźników włamania jest raczej kojarzona w kontekście ochrony infrastruktury korporacyjnej, zwykli użytkownicy także mogą się z nimi zetknąć. Na przykład, wiele usług internetowych ostrzega właścicieli kont o próbach logowania z nietypowego urządzenia lub adresu IP zlokalizowanego w innym kraju. Użytkownicy powinni traktować takie komunikaty poważnie, sprawdzać podawane w nich informacje i jeżeli jedno z wymienionych działań rzeczywiście wygląda na podejrzane, natychmiast zmieniać swoje hasła.
Analizy
Blog