TOP-10 IOC Trustwave

TOP-10 IOC Trustwave

TOP-10 индикаторовкомпрометации(IOC) по версии Trustwaveи рекомендации по реагированию на них


1. Аномальная активность учетной записи. Отключить илиcудалить ненужные учетные записи. Использовать сложные пароли и двухфакторную аутентификацию.

2. Подозрительный исходящий трафик. Закрыть ненужные порты.

3. Появление новых и/или подозрительных файлов. Сделать копию подозрительных файлов для их последующего анализа, а затем удалить или поместить файлы в карантин.

4. Географические аномалии в учетных записях (прим. авт. – вход в систему cip, находящего в другой стране/регионе). Отключить или удалить соответствующие учетные записи. По возможности отключить удаленный доступ к системе.

5. Подозрительные изменения в реестре Windows. Сделать образ системы для последующего анализа. Полное восстановление системы.

6. Признаки, указывающие на подделку логов.Сделать резервную копию логов, проверить их на наличие фальсификациии оповестить соответствующих сотрудников.

7. Признаки, указывающие на вмешательство в работу антивируса. Обновить и запустить антивирусное сканирование, сделать резервное копирование логов антивируса и просмотреть их.

8. Аномальная активность служб(добавление служб, остановка или приостановка). Удалить или отключитьаномальныеслужбыисвязанныес ними исполняемые файлы.

9. Сбои при обработке платежей(электронная коммерция).Просмотр  и восстановление программного обеспечения платежного шлюза до заводских настроек. Убедиться, что никакой вредоносный код не был добавлен в программу электронной коммерции.

10. Несанкционированный доступ к консоли администрирования или панели веб-администратора (электронная коммерция). Изменить пароль в соответствии с требованиями к стойкости пароля. Разрешить доступ только из доверенной сети.

Alt text

Сергей Сторчак

Персональный блог Сергея Сторчака