中发现的上下文信息片段 forensic analysis 这可以提醒分析师注意过去/正在进行的攻击、网络破坏或恶意软件感染. 这些独特的线索-或工件-通常被视为恶意使用的IP地址, URLs, domains, or hashes. 它当然有助于提醒IOC,以便您知道可能出现了错误, 但国际石油公司往往缺乏能够赋予企业权力的背景 security operations center (SOC) 优先考虑并迅速采取行动以确保漏洞的安全.
尽管首字母缩略词IOC在网络安全社区广泛使用, “妥协迹象”这个短语通常指的是任何类型的威胁情报,可能表明一些不同寻常的事情. 除了上面提到的那些, 通常由IOC确定的场景包括网络流量的变化, ransomware attacks, or 身份和访问管理(IAM) anomalies.
当系统用超出正常基线范围的活动向自身发出信号时, 上下文信息可以帮助团队定义潜在攻击的类型,并改进安全操作,如反恶意软件程序和设备, alter SIEM 配置,并进行更彻底和有效的调查.
In fact, according to Forrester, 许多网络安全供应商现在正在将IOC安全情报馈送到许多企业功能中. 这有助于在安全工具中本地发现IOC,而不是使用单独的IOC提要.
识别ioc的过程是一个仔细研究分析和分析的过程 threat intelligence 识别异常行为,可能是邪恶的-或者可能什么都不是. 同样,分析师和调查人员需要在很大程度上依赖背景来取得重大进展.
That said, 并非所有识别即将达成妥协的早期指标的过程都是相同的,甚至是相似的. 它们将是特定于业务和用例的. 让我们来看看一些更常见的IOC识别方法:
因为国际石油公司本质上是线索——在一些之后 digital forensics 工作指向一些邪恶的东西,他们可以有很多形状和大小. 让我们来看看一些能够并且应该敲响警钟的ioc的例子:
在ioc和攻击指示器(ioa)之间有几个重叠的概念。. However, 它有助于放大关键差异,以理解为什么分析师将问题定义为IOC或IOA.
我们之前已经讨论过工件,但是添加一些上下文可能会有所帮助. 文物通常是历史性质的. 它们是已经发生的恶意事件的数字足迹, and are found by performing threat hunts based on specific intelligence. 安全分析人员和威胁猎人也可以利用外部构件库来熟悉在自己的网络中寻找什么.
在发现藏物并确定有潜在的破坏或持续的威胁之后, 团队可以将事件响应计划付诸实施. 安全从业者可以更快地了解到已经发生了妥协, 他们就能越快确定到底发生了什么, respond, 并且——希望——对未来要寻找的文物种类有更好的了解.
ioa有助于将攻击排除在组织的历史之外. 这些迹象表明,袭击可能迫在眉睫. 有了ioa,团队可以采取更多的进攻姿态,采取行动 扩展检测和响应(XDR) 随着攻击面进一步扩大,超越网络边界的威胁遥测.
Interpreted correctly, IOAs不仅可以帮助团队应对未来或正在进行的违规行为, 它们还可以帮助预测攻击者可能会做什么以及他们下一步可能去哪里. 这对于根据目标系统和试图访问和/或泄露的数据确定响应和补救工作的优先级非常有帮助.
The benefits of IOCs are many. 其中最主要的是,它们可以帮助公司修复漏洞,并可能提供有关攻击者行为类型的背景,以便在未来寻找. Let's take a look at a few others:
IOCs are important for an effective managed detection and response (MDR) 因为对于MDR提供商来说,能够在整个客户生态系统中识别ioc至关重要.
这有助于提供者发现攻击者行为的趋势, 在发现ioc时建立网络检测, tailor incident response plans, 并将这些信息传播给他们的客户群,以便这些单独的安全组织可以将IOC数据应用到他们自己的预防技术中.
对于MDR计划来说,考虑利用国际石油公司来通知违规响应所带来的效率提高和成本节约也很重要. 客户满意度也是一个增长动力, 特别是在成功实施MDR提供商推荐的计划之后,或者在提供商自动测试ioc并将其应用于客户日志以在网络中出现这些指标时创建警报之后.
所有这些因素结合起来有助于MDR提供商留住客户, improve their own operations, 并通过分享发现来加强更大的安全社区.