网站的建设方法有哪些,防水网站的外链如何找,在线制作图片散发光芒,互联网站源码文章速览#xff1a;
网络安全中的IOC是什么#xff1f;IOC和IOA有什么区别#xff1f;IOC有哪些类型#xff1f;IOC的常见实例有哪些#xff1f;IOC解决方案和工具
近期#xff0c;Wireshark 大学和 虹科Allegro Packets联合举办了网络取证和入侵分析线上培训课程
网络安全中的IOC是什么IOC和IOA有什么区别IOC有哪些类型IOC的常见实例有哪些IOC解决方案和工具
近期Wireshark 大学和 虹科Allegro Packets联合举办了网络取证和入侵分析线上培训课程这是亚太地区的首次培训目的是为了帮助企业熟练运用Allegro流量分析仪和Wireshark准确识别失陷指标IoC。还将有机会与前黑帽Blackhat取证调查员Phill Shade一同探讨真实世界的网络取证案例研究哦。
本文先与大家探讨IOC的概念、类型、常见示例以及相关解决方案和工具同时比较IOC与IOA的区别并探讨高级网络和安全培训的重要性。 夏雨 资深网络工程师 网络工程师专攻网络通信负责网络流量监控的产品技术服务和售后服务经验丰富响应迅速。 一、网络安全中的IOC是什么
Indicators of CompromiseIOC也被称为失陷指标经常用于取证调查场景指的是网络攻击或安全漏洞导致的主机受损的证据比如恶意文件哈希值恶意软件的特征恶意的IP地址、URL、域名等被动识别的信标。这些指标是恶意行为者留下的有形线索或痕迹有助于企业识别、分析、调查和修复网络安全事件使企业能够迅速做出反应减轻漏洞造成的影响。
二、IOC和IOA有什么区别
攻击指标IOA和失陷指标IOC是网络安全中很有价值的概念但它们在侧重点、时间范围和使用方法上都有所不同。以下是 IOA 和 IOC 的主要区别
侧重点IOA 重点关注攻击者在持续网络攻击中使用的战术、技术和程序 (TTP)。它们通过识别表明存在恶意活动的可疑行为或模式帮助检测正在发生或即将发生的攻击。而 IOC 则侧重于识别表明系统或网络已被入侵的线索或证据。它们来自于观察到的恶意活动并提供识别成功入侵的信息。时间范围 IOA 通常在攻击的早期阶段使用以检测和应对正在发生的威胁。它们可帮助企业实时识别和缓解攻击从而实现主动防御。另一方面IOC 在攻击发生后使用。它们对于事件后调查和取证分析非常有价值可以确定入侵的范围、影响和根本原因。使用方法 IOA 具有前瞻性可帮助安全团队根据已知的攻击模式和技术识别潜在的威胁或攻击。它们重点关注攻击者的行为和活动以便在攻击得逞之前检测和预防攻击。而 IOC 是反应性的用于在攻击发生后识别是否存在漏洞。它们可帮助企业识别和应对安全事件评估危害程度并实施补救措施。范围 IOA 涵盖更广泛的潜在攻击场景和技术。它们使用行为分析、异常检测和启发式方法来识别潜在的恶意活动。而 IOC 通常基于与特定威胁或入侵相关的已知签名、模式或工具。它们包括与已知恶意实体相关的特定文件哈希值、IP 地址、URL 或模式等指标。
总之IOAs 侧重于通过识别正在进行的攻击中的可疑行为和活动来检测和预防攻击而 IOC 则用于通过分析入侵后留下的线索来追溯性地识别和调查安全事件。IOA 和 IOC 在增强组织的整体安全态势和事件响应能力方面都发挥着至关重要的作用。
三、IOC有哪些类型
安全团队依靠各种 IOC 来保护网络和端点系统。各种来源以不同的方式对 IOC 进行分类。有一种方法是将其分为三大类
基于网络型。基于网络的 IOC 包括异常流量模式或意外使用协议或端口等事件。例如访问某个特定网站的流量可能突然增加或者与已知恶意的 URL、IP 地址或域的连接出现意外。基于主机型。基于主机的 IOC 可揭示单个端点上的可疑行为。它们可能包括各种潜在威胁包括未知进程、可疑哈希文件或其他类型的文件、系统设置或文件权限的更改或文件名、扩展名或位置的更改。基于文件的 IOC 有时与基于主机的 IOC 分开处理。异常行为型。行为型 IOCs 反映的是整个网络或计算机系统的行为如反复尝试登录失败或在不寻常的时间登录这一类别有时被纳入其他类别。
通过使用各种类型的 IOC安全团队可以更有效地检测和应对安全漏洞并更积极地预防安全漏洞。
四、IOC 的常见示例有哪些
1、异常出站网络流量
离开网络的流量是 IT 团队用来识别潜在问题的一个指标。如果出站流量模式可疑异常IT 团队可以密切关注检查是否有问题。由于这种流量来自网络内部因此通常最容易监控如果立即采取行动就能阻止多种威胁。
2、网络钓鱼电子邮件
网络钓鱼电子邮件是攻击者获取敏感信息或在受害者系统中安装恶意软件的一种常见方式。要识别这些电子邮件可能很困难因为它们通常看起来像是来自可信来源的合法通信。但是如果发现任何可疑的电子邮件例如要求提供登录凭据或指向陌生网站的链接一定要谨慎并进一步调查。
3、特权用户账户活动异常
特权用户账户通常可以访问网络或应用程序的特殊或特别敏感的区域。因此如果发现异常情况就可以帮助 IT 团队在攻击过程中及早识别从而避免造成重大损失。异常情况可能包括用户试图提升特定账户的权限或使用该账户访问其他拥有更多权限的账户。
4、地理位置异常
如果有来自本企业通常不与之开展业务的国家的登录尝试这可能是潜在安全漏洞的迹象。这可能是其他国家的黑客试图进入系统的证据。
5、其他登录信号
当合法用户尝试登录时他们通常会在几次尝试后成功登录。因此如果现有用户多次尝试登录这可能表明有坏人试图侵入系统。此外如果用不存在的用户账户登录失败这可能表明有人在测试用户账户看其中一个账户是否能为他们提供非法访问。
6、数据库读取量激增
当攻击者试图外泄数据时他们的努力可能会导致读取量膨胀。当攻击者收集用户信息并试图提取时就会出现这种情况。
7、HTML 响应大小
如果典型的超文本标记语言HTML响应大小相对较小但注意到响应大小要大得多这可能表明数据已被外泄。当数据传输给攻击者时大量数据会导致更大的 HTML 响应大小。
8、对同一文件的大量请求
黑客经常反复尝试请求他们试图窃取的文件。如果同一文件被多次请求这可能表明黑客正在测试几种不同的文件请求方式希望找到一种有效的方式。
9、不匹配的端口应用流量
攻击者在实施攻击时可能会利用不明显的端口。应用程序使用端口与网络交换数据。如果使用的端口不正常这可能表明攻击者试图通过应用程序渗透网络或影响应用程序本身。
10、可疑的注册表或系统文件更改
Windows 注册表包含敏感信息例如操作系统和应用程序的配置设置和选项。不断修改注册表可能表明攻击者正在创建用于执行恶意代码的系统。恶意软件通常包含更改注册表或系统文件的代码。如果出现可疑更改则可能是 IOC。建立基线可以更容易地发现攻击者所做的更改。
11、DNS 请求异常
黑客经常使用命令与控制CC服务器通过恶意软件入侵网络。CC 服务器会发送命令以窃取数据、中断网络服务或用恶意软件感染系统。如果域名系统 (DNS) 请求异常特别是来自某个主机的请求这可能就是 IOC。
此外请求的地理位置可以帮助 IT 团队发现潜在问题尤其是当 DNS 请求异常国家或地区的合法用户时。
12、未知软件安装
系统上突然出现未知的文件、服务、进程或应用程序例如意外的软件安装。
五、IOC 解决方案和工具
企业需要制定强大的安全策略来有效识别和响应IOC例如
1、扩展检测和响应 (XDR)平台
XDR 使组织能够收集、分析和关联来自多个来源包括 IoC的安全数据以检测潜在威胁。
2、终端安全防护平台
这些平台允许安全团队收集、搜索和执行针对 IoC 的规则。例如Morphisec 它可识别并记录 IOC生成警报并生成报告使安全团队能够及时采取行动。同时Morphisec也可以阻止绕过基于签名或基于行为的检测的最危险攻击补充并增强下一代防病毒和终端检测与响应解决方案。
3、安装自动检查工具
反病毒和反恶意软件工具可以帮助检测和消除系统中被识别为 IoC 的恶意代理。不过即使使用了先进的工具也要记住零日攻击软件、硬件和安全社区未知的新攻击可能不会被这些工具检测到并造成严重破坏。因此不应完全依赖这些工具。
4、网络流量监控和分析工具
这些工具例如wireshark、虹科Allegro流量分析仪可以捕获和分析实时或历史网络流量检测异常的网络流量模式如大量的未经授权数据传输、异常的端口使用等同时能够帮助安全团队深入分析网络流量的协议识别异常或不正常的协议行为例如未经授权的协议使用或变种协议。通过监控流量并检查与已知恶意IP地址和域名的通信等等这些工具可以帮助识别可能的IoC。
5、紧跟技术前沿趋势和报告
从可靠的公开 IoC 信息源网站了解有关 IoC 的趋势和报告。此外公认的 IoC 的内部数据库可以集成到监控工具和 SIEM 中。
