Что такое индикатор атаки (IOA)?
Индикаторы атаки (IOA) сосредоточены на определении намерений злоумышленника, независимо от вредоносного ПО или эксплойта, использованного в атаке. Как и сигнатуры AV, подход обнаружения на основе IOC не может обнаруживать растущие угрозы от вторжений без вредоносных программ и эксплойтов нулевого дня. В результате решения безопасности следующего поколения переходят на подход на основе IOA.
Что такое индикатор компрометации (IOC)?
Индикатор компрометации (IOC) часто описывается в мире криминалистики как доказательство на компьютере, указывающее на то, что безопасность сети была нарушена. Следователи обычно собирают эти данные после получения информации о подозрительном инциденте, по расписанию или после обнаружения необычных вызовов из сети. В идеале эта информация собирается для создания «умных» инструментов, которые в будущем смогут обнаруживать подозрительные файлы и помещать их в карантин.
Индикатор атаки — физический мир
Один из способов сфокусировать наше обсуждение на индикаторах атаки (IOA) — привести пример того, как преступник спланирует и предпримет ограбление банка в физическом мире.
Умный вор начал бы с «осмотра» банка, проведения разведки и понимания любых уязвимостей в защите. Как только он определит лучшее время и тактику для удара, он переходит к заходу в банк. Грабитель отключает систему безопасности, движется к хранилищу и пытается взломать комбинацию. Если ему это удается, он забирает добычу, убегает без происшествий и завершает миссию.
IOA — это ряд действий, которые грабитель банка должен продемонстрировать, чтобы добиться успеха в достижении своей цели. Он должен объехать банк (определив цель), припарковаться и войти в здание, прежде чем он сможет войти в хранилище. Если он не отключит систему безопасности, она сработает, когда он войдет в хранилище и возьмет деньги.
Конечно, такие действия, как движение вокруг банка, парковка и вход в банк сами по себе не указывают на то, что атака неизбежна. Более того, открытие банковского хранилища и снятие наличных не обязательно является IOA… если физическое лицо имеет право доступа к хранилищу. Определенные комбинации действий вызывают IOA.
Индикатор атаки — Cyber World
Давайте рассмотрим пример из кибермира. IOA представляет собой серию действий, которые преступник должен выполнить, чтобы добиться успеха. Если мы разберем наиболее распространенную и до сих пор наиболее успешную тактику решительных хакеров — целевую фишинговую рассылку, — мы сможем проиллюстрировать этот момент.
Успешное фишинговое письмо должно убедить жертву щелкнуть ссылку или открыть документ, который заразит машину. После компрометации злоумышленник автоматически выполнит другой процесс, спрячется в памяти или на диске и будет сохранять постоянство при перезагрузке системы. Следующий шаг — установить контакт с пунктом управления и контроля, сообщив его кураторам, что он ожидает дальнейших инструкций.
IOA касается выполнения этих шагов, намерений преступника и результатов, которых он пытается достичь. IOA не сосредоточены на конкретных инструментах, которые он использует для достижения своих целей.
Отслеживая эти точки выполнения, собирая индикаторы и используя их с помощью решений безопасности, мы можем определить, как субъект успешно получает доступ к сети, и мы можем сделать вывод о его намерениях. Никаких предварительных знаний об инструментах или вредоносных программах (также известных как индикаторы компрометации) не требуется.
Сравнение IOA с IOC
Возвращаясь к аналогии с грабителем банков, представьте, если бы мы искали только IOC. В доказательствах предыдущего ограбления камера видеонаблюдения позволила нам определить, что грабитель банка водит фиолетовый фургон, носит синюю кепку и использует дрель и жидкий азот, чтобы проникнуть в хранилище.
Хотя мы пытаемся отслеживать и наблюдать за этими уникальными характеристиками, что происходит, когда тот же человек вместо этого водит красную машину, носит шапку и использует лом, чтобы получить доступ к хранилищу? Какой будет результат? Грабитель снова добился успеха, потому что мы, группа наблюдения, полагались на индикаторы, отражающие устаревший профиль (IOC).
Помните, что IOA отражает ряд действий, которые субъект (грабитель) должен выполнить, чтобы добиться успеха: войти в банк, отключить системы сигнализации, войти в хранилище и т. д.
IOA — это регистратор в реальном времени
Побочным продуктом подхода IOA является возможность точно собирать и анализировать то, что происходит в сети в режиме реального времени. Сама природа наблюдения за поведением по мере его выполнения эквивалентна наблюдению за видеокамерой и доступом к регистратору полетных данных в вашей среде.
Возвращаясь к физическому миру, когда детектив прибывает на место преступления с оружием, телом и кровью, они обычно спрашивают, есть ли у кого-нибудь видео того, что произошло. Кровь, тело и пистолет - это IOC, которые необходимо реконструировать вручную, и они являются артефактами на определенный момент времени. Проще говоря, IOA предоставляют контент для видеожурналов.
В киберпространстве показать вам, как злоумышленник проскользнул в вашу среду, получил доступ к файлам, сбросил пароли, перемещался в боковом направлении и в конечном итоге извлекал ваши данные — это сила IOA.
Пример IOA из реального мира
В следующем примере показано, как действия одного конкретного злоумышленника ускользнули даже от средств защиты конечных точек.
Этот преступник использует следующие приемы:
- Вредоносное ПО в памяти — никогда не записывает на диск
- Известный и приемлемый ИТ-инструмент — Windows PowerShell с кодом командной строки
- Очищает журналы после себя, не оставляя следов
Давайте рассмотрим проблемы, с которыми сталкиваются другие решения для конечных точек:
Антивирус — поскольку вредоносное ПО никогда не записывается на диск, большинство антивирусных решений, настроенных на сканирование по требованию, не будут предупреждены. Сканирование по требованию запускается только при записи или доступе к файлу.
Кроме того, большинство проактивных организаций выполняют полное сканирование только раз в неделю из-за влияния на производительность конечного пользователя. Если защитники выполняли это полное сканирование и если поставщик антивируса смог просканировать память с обновленной подписью, они могут выдать предупреждение об этой активности.
Решения AV 2.0 — это решения, использующие машинное обучение и другие методы для определения того, является ли файл хорошим или плохим. PowerShell — это законный инструмент администрирования системы Windows, который не идентифицируется (и не должен быть) как вредоносный. Таким образом, эти решения не будут предупреждать клиентов о таком поведении.
Внесение в белый список — рowershell.exe является известным ИТ-инструментом, и ему будет разрешено выполняться в большинстве сред, что позволяет избежать проблем с решениями для внесения в белый список, которые могут быть на месте.
Решения для сканирования IOC — поскольку этот злоумышленник никогда не записывает на диск и очищает все после завершения своей работы, что нам искать? IOC являются известными артефактами, и в этом случае больше нет артефактов для обнаружения.
Более того, большинство решений, основанных на криминалистике, требуют периодических «зачисток» целевых систем, и если преступник может вести свои дела между зачистками, он останется незамеченным.
Сосредоточив внимание на тактике, методах и процедурах целевых злоумышленников, решение безопасности может определить, кто является противником, к чему он пытается получить доступ и почему. Оно использует, в том числе, обработку потока событий (ESP) для обнаружения вредоносного поведения. К тому времени, когда вы обнаружите индикаторы компрометации, ваша организация, вероятно, уже подверглась взлому и может потребоваться дорогостоящее реагирование на инциденты для устранения ущерба.
Записывая и собирая индикаторы атаки и используя их с помощью решений по обеспечению безопасности, вы даете своей команде возможность просматривать действия в режиме реального времени и реагировать в настоящем. Доступ к вашему собственному сетевому бортовому самописцу позволяет избежать многих трудоемких задач, связанных с «сборкой деталей» постфактум. Предоставление службам быстрого реагирования инструментов, необходимых для реконструкции места преступления, обеспечивает экономичный и упреждающий подход к противостоянию современным постоянным угрозам.
Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.