28 Марта, 2016

Что такое IOC?

Panda Security в России и СНГ


Чтобы обеспечить безопасность и поддержку работоспособности IT-инфраструктуры, важно знать, что происходит в сети, в которой работает компьютер. Это означает, что менеджеры и другие заинтересованные сотрудники должны знать, если происходит что-то необычное в корпоративной сети. Когда мы используем слово «необычное», мы имеем в виду любую потенциальную угрозу или подозрительную активность, которая может произойти или уже происходит в настоящий момент внутри корпоративной инфраструктуры.

До сих пор основной сервис, который могли бы предложить большинство компаний в сфере анализа безопасности, представлял собой подписку, в рамках которой нас бы предупреждали о последних угрозах, вредоносных программах, IP-адресах и сайтах с вредоносным контентом и т.д.  Добавление такой информации в систему безопасности периметра инфраструктуры позволяет инженерам заблаговременно спланировать свои действия и приготовиться к отражению угроз, а также помогает им обнаруживать и предотвращать любые угрозы, которым могут подвергнуться их компании. В IT-индустрии эти обновления очень распространены, и компании, не колеблясь, платят определенную сумму денег в обмен на предлагаемые последние обновления.

Благодаря такому сервису, легко предотвращать вредоносные уязвимости, но можем ли мы полностью защитить нашу инфраструктуру? Ответ: да, но стоимость таких сервисов намного выше, а время жизни их результатов достаточно короткое. Итак, что мы можем сделать, чтобы повысить надежность нашей защиты?

Следующее поколение в обнаружении угроз

Каждый день аналитики безопасности собирают воедино различные события, связанные с новыми угрозами. Когда речь идет о кибер-безопасности, таким аналитикам требуется более быстрый способ обмена информацией, связанной с инцидентом, и они должны иметь максимально короткое время ответа. В некоторых случаях достаточно простого наблюдения (IP-адрес, URL, хэш…), а некоторые инциденты могут быть достаточно сложными, требующими расширенного анализа и обратного инжиниринга. Когда все эти образцы собраны, то результат – это то, что мы называем Индикатор компрометации ( Indicator of Compromise , IOC ). Это может звучать чуждо для многих из нас, но аналитики безопасности должны быть знакомы с понятием IOC и всеми его возможностями.

Так что же такое IOC ?

В компьютерной среде индикатор компрометации ( IOC ) – это активность и/или вредоносный объект, обнаруженный в сети или на конечной точке. Мы можем идентифицировать эти индикаторы и, таким образом, сможем улучшить наши возможности по обнаружению будущих атак.


Выглядит просто, верно?

Если говорить об их использовании, то это не просто список индикаторов, а первичная информация об инциденте для анализа, исследования и/или реакции, что позволяет получить ответы на вопросы об инциденте: что, кто, почему, как, где и когда? Такой первичной информацией могут быть:
  • Письма с ложной информацией (фишинг)
  • Образцы вредоносного поведения
  • Обнаружение определенной уязвимости и действия для борьбы с нею
  • Список определенных подозрительных или вредоносных IP-адресов
  • Обмен политиками и образцами поведения, связанными с определенным инцидентом (автоматически или вручную), так что они могут использоваться третьими лицами.
Мы также можем использовать список стандартов для обнаружения индикаторов на основе потребностей (например, последующее обнаружение, определение характеристик или обмен).

Итак, это было краткое описание IOC.  Мы продолжим исследовать этот вопрос в статьях, которые мы будем публиковать в будущем. Наша цель – это помочь специалистам безопасности лучше понимать следующее:
  • Какие стандарты существуют в настоящее время, чтобы помочь нам находить индикаторы IOC? Преимущества, примеры использования…
  • Как мы можем охарактеризовать Индикатор компрометации?
  • Как мы можем обмениваться Индикаторами компрометации?
  • Точность IOC: качество, время жизни…

Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com