Что такое IOC?

Чтобы обеспечить безопасность и поддержку работоспособности IT-инфраструктуры, важно знать, что происходит в сети, в которой работает компьютер. Это означает, что менеджеры и другие заинтересованные сотрудники должны знать, если происходит что-то необычное в корпоративной сети. Когда мы используем слово «необычное», мы имеем в виду любую потенциальную угрозу или подозрительную активность, которая может произойти или уже происходит в настоящий момент внутри корпоративной инфраструктуры.

До сих пор основной сервис, который могли бы предложить большинство компаний в сфере анализа безопасности, представлял собой подписку, в рамках которой нас бы предупреждали о последних угрозах, вредоносных программах, IP-адресах и сайтах с вредоносным контентом и т.д.  Добавление такой информации в систему безопасности периметра инфраструктуры позволяет инженерам заблаговременно спланировать свои действия и приготовиться к отражению угроз, а также помогает им обнаруживать и предотвращать любые угрозы, которым могут подвергнуться их компании. В IT-индустрии эти обновления очень распространены, и компании, не колеблясь, платят определенную сумму денег в обмен на предлагаемые последние обновления.

Благодаря такому сервису, легко предотвращать вредоносные уязвимости, но можем ли мы полностью защитить нашу инфраструктуру? Ответ: да, но стоимость таких сервисов намного выше, а время жизни их результатов достаточно короткое. Итак, что мы можем сделать, чтобы повысить надежность нашей защиты?

 Следующее поколение в обнаружении угроз 

Каждый день аналитики безопасности собирают воедино различные события, связанные с новыми угрозами. Когда речь идет о кибер-безопасности, таким аналитикам требуется более быстрый способ обмена информацией, связанной с инцидентом, и они должны иметь максимально короткое время ответа. В некоторых случаях достаточно простого наблюдения (IP-адрес, URL, хэш…), а некоторые инциденты могут быть достаточно сложными, требующими расширенного анализа и обратного инжиниринга. Когда все эти образцы собраны, то результат – это то, что мы называем Индикатор компрометации (IndicatorofCompromise, IOC). Это может звучать чуждо для многих из нас, но аналитики безопасности должны быть знакомы с понятием IOCи всеми его возможностями.

Так что же такое IOC?

В компьютерной среде индикатор компрометации (IOC) – это активность и/или вредоносный объект, обнаруженный в сети или на конечной точке. Мы можем идентифицировать эти индикаторы и, таким образом, сможем улучшить наши возможности по обнаружению будущих атак.

Выглядит просто, верно?

Если говорить об их использовании, то это не просто список индикаторов, а первичная информация об инциденте для анализа, исследования и/или реакции, что позволяет получить ответы на вопросы об инциденте: что, кто, почему, как, где и когда? Такой первичной информацией могут быть:

  • Письма с ложной информацией (фишинг)
  • Образцы вредоносного поведения
  • Обнаружение определенной уязвимости и действия для борьбы с нею
  • Список определенных подозрительных или вредоносных IP-адресов
  • Обмен политиками и образцами поведения, связанными с определенным инцидентом (автоматически или вручную), так что они могут использоваться третьими лицами.

Мы также можем использовать список стандартов для обнаружения индикаторов на основе потребностей (например, последующее обнаружение, определение характеристик или обмен).

Итак, это было краткое описание IOC. Мы продолжим исследовать этот вопрос в статьях, которые мы будем публиковать в будущем. Нашацельэтопомочьспециалистамбезопасностилучшепониматьследующее:

  • Какие стандарты существуют в настоящее время, чтобы помочь нам находить индикаторы IOC? Преимущества, примеры использования
  • Как мы можем охарактеризовать Индикатор компрометации?
  • Как мы можем обмениваться Индикаторами компрометации?
  • Точность IOC: качество, время жизни…

 

Оригинал статьи: IOC: a buzz word and a hot topic, but do we really know its capabilities?

 

Panda Security вРоссии

 +7(495)105 94 51, marketing@rus.pandasecurity.com

 http://www.pandasecurity.com


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Екатеринбург
+7(495)1059451
Информационные технологии

С момента своего создания в 1990 году, компания Panda Security стала одним из ведущих европейским транснациональным производителем передовых решений и сервисов информационной безопасности с опциями расширенной защиты, а также инструментов управления и контроля над компьютерами и ИТ-системами. Компания последовательно придерживается духа инноваций и отмечена рядом наиболее важных достижений в своей сфере.

Компания Panda Security – это лидирующий европейский EDR-производитель со 100% европейским составом акционеров, штаб-квартирой, технологиями и облачной платформой. Ее современная и эффективная модель информационной безопасности стала визитной карточкой, которая позволила компании получить многочисленные официальные сертификаты, такие как сертификация по общим критериям Common Criteria или сертификаты Национального криптологического центра (National Cryptology Center).

Компания имеет представительства в более чем 80 странах мира, а ее продуктами, переведенными на 23 языка, пользуются миллионы клиентов во всем мире.

https://www.cloudav.ru

 

 




Забыли пароль?
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>