مفهوم IoC چیست و چه کاربردی دارد؟

IoC مخفف Indicators of Compromise در امنیت، بخش هایی از Forensic (پیگیری جرائم رایانه ای) را شامل می شود و داده های جمع آوری شده ای است که متخصصان امنیت سایبری و فناوری اطلاعات از آنها به عنوان شواهد برای شناسایی، اصلاح و پاسخ به نقض داده ها و حملات امنیتی استفاده می کنند.

در حالی که IoC ها شواهدی را درباره نقض داده هایی که قبلاً رخ داده است ارائه می دهند، آنها همچنین به سازمان ها کمک می کنند تا استراتژی هایی برای جلوگیری از حملات آینده تهیه کنند. IoC ها اطلاعات ارزشمندی درباره آنچه اتفاق افتاده است می دهند همچنین می توانند برای آمادگی در آینده و جلوگیری از حملات مشابه مورد استفاده قرار گیرند.

IoC چگونه کار می کند؟

همانطور که نویسندگان بدافزار و malware ها سعی در ایجاد نرم افزاری دارند که همیشه از ردیابی جلوگیری کند، هر برنامه رد پایی از خودش در شبکه باقی می گذارد. از این سرنخ ها می توان برای تعیین اینکه آیا شبکه مورد حمله قرار گرفته یا نقض داده رخ داده است استفاده کرد. محققان Forensic از این سرنخ ها برای جمع آوری شواهد پس از حمله سایبری برای تهیه اقدامات مقابله ای و پیگیری اتهامات کیفری علیه یک مهاجم استفاده می کنند. IoC همچنین مشخص می کند چه داده هایی به سرقت رفته و شدت حمله تا چه حد است.

IOC را به عنوان رد پایی در نظر بگیرید که توسط مهاجم پس از حمله سایبری بر جای مانده است. برنامه های Anti-malware می توانند تا حدی حادثه را متوقف کنند، اما IoC ها داده ها و پرونده هایی را که برای مهاجم قابل دسترسی است تعیین می کنند. آنها در یافتن آسیب پذیری ها و تهدیدها برای سرقت اطلاعات بسیار مهم هستند زیرا اطلاعاتی را در مورد راه های محافظت بهتر از شبکه در آینده به سازمان ارائه می دهند.

یشتر بخوانید: Network Forensic چیست؟

در اینجا برخی از IoC های رایج موجود در حال حاضر را بیان می کنیم:

ـ ترافیک شبکه خروجی غیرمعمول یا Unusual Outbound Network Traffic:

شاید یکی از رایج ترین نشانه های نقض امنیت، ناهنجاری در الگوها و حجم ترافیک داده ها در شبکه باشد. علاوه بر تجزیه و تحلیل ترافیکی که به شبکه شما وارد می شود، باید بر میزان و مدت ماندگاری داده ها درون شبکه نیز نظارت داشته باشید. تغییرات در ترافیک خروجی می تواند نشان دهنده حمله در شبکه شما باشد. بهترین روش این است که کلیه فعالیتهای موجود در شبکه را کنترل کنید، اعم از ورودی و خروجی.

ـ بی نظمی های جغرافیایی یا Geographical Irregularities:

اگر قبلاً ایمیلی از طرف سرویس دهنده ایمیل خود دریافت کرده اید که به شما هشدار می دهد که به صندوق پستی شما از کشوری دیگر دسترسی پیدا شده است، می فهمید که بی نظمی جغرافیایی چیست و IOC چقدر می تواند برای امنیت داده ها و اطلاعات شخصی شما مفید باشند.

پس تصور کنید IoC های نظارت بر بی نظمی های جغرافیایی چقدر می توانند برای مشاغل ارزشمند باشند. این بی نظمی ها در ترافیک ورودی می تواند شواهد مفیدی را در مورد کشش حمله مهاجمان از کشور یا قاره دیگر به شما ارائه دهد.

ـ دسترسی به حساب های کاربری ممتاز یا Anomalies with Privileged User Accounts:

امکان دسترسی به یک حساب کاربری با دسترسی بالا توسط یک مهاجم است. آنها معمولاً این کار را با ورود به حساب کاربری ادمین یا افزایش مجوزها برای حساب هایی که از قبل به آنها دسترسی دارند انجام می دهند. تغییرات در فعالیت حساب، مانند حجم اطلاعات دسترسی یافته یا تغییر یافته یا نوع سیستم قابل دسترسی، IoC های خوبی برای نظارت است.

ـ افزایش قابل توجه در پایگاه داده یا Substantial Rise in Database Read Volume:

اکثر سازمان ها محرمانه ترین اطلاعات شخصی خود را در قالب پایگاه داده ذخیره می کنند. به همین دلیل، پایگاه داده های شما همیشه هدف اصلی مهاجمان خواهند بود. افزایش میزان خواندن پایگاه داده نشانگر خوبی است که مهاجم در تلاش است به داده های شما نفوذ کند.

ـ درخواست های بیش از حد از پرونده های مهم یا Excessive requests on important files:

بدون داشتن یک حساب با دسترسی بالا، یک مهاجم مجبور می شود روش های مختلف را کشف کند و آسیب پذیری مناسب را برای دسترسی به پرونده ها پیدا کند. تلاش های دسترسی بسیار از همان IP یا منطقه جغرافیایی باید بررسی شود.

ـ تغییرات مشکوک در پیکربندی یا Suspicious configuration changes:

تغییر پیکربندی ها در فایل ها، سرورها و دستگاه ها می تواند به مهاجم درب ورودی دوم به شبکه را بدهد. این تغییرات همچنین می تواند آسیب پذیری هایی را ایجاد کند.

ـ سیل بازدید از سایت، مکان خاص یا Flooded traffic to a specific site or location:

یک حمله در دستگاه ها می تواند آنها را به یک botnet تبدیل کند. یک مهاجم سیگنالی را به دستگاه آسیب دیده ارسال می کند تا ترافیک را در یک هدف خاص جاری کند. فعالیت زیاد ترافیکی از چندین دستگاه به یک IP خاص می تواند به معنای این باشد که دستگاه های داخلی بخشی از DDoS هستند. وظیفه ی یک Forensic این است که تمام شواهد IoC را برای تعیین آسیب پذیری مورد استفاده قرار دهد.

بیشتر بخوانید: معرفی 7 نوع جدید DDoS Attack 

ـ خطاهای احراز هویت بالا یا High authentication failures:

 در تصاحب حساب، مهاجمان از اتوماسیون برای احراز هویت استفاده می کنند. میزان بالای تلاش برای احراز هویت می تواند نشانگر این باشد که یک مهاجم اعتبارنامه را به سرقت برده و در تلاش است تا حسابی را پیدا کند که به شبکه دسترسی داشته باشد.

استفاده از IoC Detection برای بهبود ردیابی:

پس از یک حادثه می توان از اقدامات امنیت سایبری IoC برای تعیین اشتباه استفاده کرد تا سازمان بتواند از هرگونه سوء استفاده در آینده از همان ناحیه جلوگیری کند. نظارت بر IoC، سازمان ها را قادر می سازد تا مسایل امنیتی را بهتر شناسایی و پاسخ دهند. جمع آوری و همبستگی IOC در زمان واقعی به این معنی است که سازمان ها می توانند با سرعت بیشتری حوادث امنیتی را که ممکن است توسط ابزارهای دیگر قابل شناسایی نباشند، شناسایی کنند و منابع لازم را برای انجام تجزیه و تحلیل Forensic از حوادث فراهم می کنند.

اگر تیم های امنیتی الگوهای IOC خاص را کشف کنند، می توانند ابزارها و سیاست های امنیتی خود را برای محافظت در برابر حملات آینده نیز به روز کنند. سازمان هایی که با دقت تمام IOC ها را رصد می کنند و با آخرین یافته ها و گزارش های IOC همگام می شوند می توانند میزان تشخیص و زمان پاسخ را به میزان قابل توجهی بهبود بخشند.