لوگوی ارتباط افزار افق
منو
بستن
۰۲۱۹۱۳۰۵۹۷۹
٠٩٠٢٦٣٤٩٦١٦

IoC و IoA چیست؟ و چه تفاوت‌‌هایی دارند؟

IoC و IoA چیست؟ و چه تفاوت‌‌هایی دارند؟

فهرست مطالب

Indicator of Compromise & Attack

IoC: اساسا به مدارک منحصر به فردی از یک فعالیت مخرب شناخته شده اطلاق می‌شود. این مدارک شامل: آدرس آی پی، فایل، آدرس اینترنتی و یا هر نوع داده دیگری باشد که نشان دهنده هک شدن یک سیستم رایانه‌ای باشد. این مدارک به تیم‌های امنیتی و متخصصان سایبری در شناسایی و بررسی وقایع امنیتی که به وقوع پیوسته‌اند کمک می‌کند.

IoA: نشانگر رفتارهای مهاجم به جای تمرکز بر فایل‌ها و سایر جزئیات حملات است. در وقایع IoA رفتارهایی که یک هکر ممکن است در طول انجام حمله به سازمان از خود نشان دهد را شناسایی و در اختیار تیم‌های امنیتی قرار می‌دهد. این نشانگرها در پیشگیری از حملات آتی و یا متوقف کردن حملات در حال انجام تاثیر بسزایی دارد.

نمونه‌هایی از IoC

  • اشغال پهنای باند غیر عادی در ترافیک ورودی و یا خروجی از سازمان
  • فایل‌ها، برنامه‌ها و پردازه‌های غیر عادی در نقاط پایانی
  • فعالیت غیر عادی در حساب‌های کاربری ادمین و سایر اکانت‌ها با دسترسی بالا
  • فعالیت‌های غیر عادی مانند ترافیک ورودی از کشورهایی که سازمان فعالیتی در آنجا ندارد
  • لاگین، دسترسی و سایر فعالیت‌های مشکوک در شبکه که نشان دهنده حملات بورت فورس باشد
  • رشد غیر عادی در درخواست‌ها و افزایش خواندن فایل‌های سازمانی
  • ترافیک غیر عادی در پورت‌هایی که معمولا استفاده نمی‌شود
  • دستکاری فایل‌ها، سرویس DNS ، رجیستری و تنظیمات سیستمی کلاینت‌ها حتی در دستگاه‌های موبایلی
  • حجم زیادی از فایل‌های فشرده شده در مکان‌هایی که نباید باشند

IoA زیر ذره بین

تهدیدات سایبری مدرن روز به روز در حال پیچیده‌تر شدن هستند و توانایی شناسایی چنین تهدیداتی در مراحل اولیه بسیار با ارزش است. تیم‌های امنیتی از IoAها برای محافظت از سیستم‌ها و داده‌های حساس در برابر تهدیدات پیشرفته پایدار(APT) و آسیب پذیری‌های روز صفر استفاده می‌کنند. IoA نقش بسیار مهمی در شناسایی تهدیدات سایبری در مراحل ابتدایی حمله را بازی می‌کنند. وقتی سازمان مورد حمله سایبری قرار گرفته باشد هر ثانیه ارزشمند است و اگر تیم امنیتی بتواند از پیشروی مهاجمان در شبکه جلوگیری کند از خسارات و سرقت اطلاعات پیشگیری خواهند کرد.

انواع IoA

  • آنومالی در شبکه: پترن‌های غیر عادی در جریان داده‌ها یا ارتباط غیر منتظره با خارج از سازمان که نشان دهنده انحراف از هنجار را نشان می‌دهد. برای مثال: یک افزایش شدید و پیکان مانند در داده‌های انتقال داده شده به یک آدرس آی پی ناشناس می‌تواند یک پرچم قرمز باشد. مدیران شبکه باید در برابر چنین اتفاقاتی هوشیار باشند چرا که رخدادهای این شکلی اغلب مقدم بر اشکال آشکارتر حملات سایبری مانند، نقض اطلاعات یا نفوذ به سیستم هستند.
  • رفتارهای مشکوک کاربران: تیم‌های امنیتی باید فعالیت‌های کاربران را نیز زیر نظر داشته باشند مانند، ورود به حساب کاربری در ساعات غیر عادی، تلاش‌های مداوم برای دسترسی به ناحیه‌های ممنوعه و یا افزایش غیرمعمول دسترسی به داده‌ها. چنین فعالیت‌های ممکن است نشان از آن باشد که حساب کاربری یوزر لو رفته باشد و یا باید تهدید داخلی روبرو باشیم. مانیتورینگ مدوام رفتارهای کاربران در شناسایی IoA های اولیه بسیار با اهمیت است.
  • نشانگرهای سطح سیستم: چنین IoAهایی شامل تغییرات غیر عادی در یکپارچگی فایل، ویرایش غیرمجاز در پیکربندی سیستم و یا نصب نرم افزار ناشناخته در نقاط پایانی است. این نشانه‌ها معمولا اشاره به این موضوع دارند که یک مهاجم سعی در باز کردن جای پای خود در سیستم قربانی را دارد. تشخیص زود هنگام در سطح سیستم می‌تواند مانع از گسترش حمله و حرکت افقی مهاجم در سازمان شود.
تفاوت ioc و ioa

تفاوت IoC و IoA

همانگونه که توضیح داده شد، IoC مدارکی است که نشان دهنده حمله سایبری در حال انجام یا انجام شده است. از همان لحظه‌ای که یک حلمه سایبری به سازمان انجام می‌شود IoC ها قابل کشف هستند. این نشانگرها در آنالیز تاثیرات حمله و فارنزیک حلمه کمک کننده هستند. در مقابل IoA به عنوان نشانه‌های حمله هستند بدین معنا که، ممکن است در آینده بسیار نزدیک حمله‌ای به سازمان رخ دهد. با کمک IoA ها احتمال شناسایی حملات پیش از رخداد وجود خواهد داشت. با مدیریت مناسب IoA ها خواهید توانست از حملات سایبری جلوگیری کنید.

چگونه این اطلاعات را به دست آوریم؟

حال که با هر دو نشانگرها آشنا شدیم، باید بدانیم که چگونه می‌توانیم این اطلاعات را به دست بیاوریم. اطلاعات که IoC و IoA در اختیارمان می‌گذارند، توسط سیستم‌ها و ابزارهای امنیت سایبری جمع آوری می‌شوند. گزارشاتی که توسط SIEM، راهکارهای امنیت نقاط پایانی، فایروال، IPS، و سیستم نقاط پایانی تولید می‌شود شامل آن است. راهکارهای امنیت نقاط پایانی مبتنی بر هشدار مانند EDR و XDR قابلیت مدیریت و علاوه بر آن اجرا اسکن تحت عنوان IoC Scanner و IoA Scanner را نیز دارند. این ابزارها به تیم‌های SOC و سرویس‌ دهنده‌های MSSP در شکار و یافتن منشاء تهدیدات کمک می‌کند و جز ابزارهای پر کاربرد این تیم‌هاست.

0 دیدگاه

دیدگاهتان را بنویسید

Avatar placeholder

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *