Nel mondo dell'analisi forense dei dati, comprendere i meccanismi alla base di un attacco informatico non è altro che risolvere un mistero criminale. Gli indicatori di compromesso (IoC) sono quegli indizi, elementi di prova che possono aiutare a scoprire le complesse violazioni dei dati odierne.
Gli IoC sono la più grande risorsa per gli esperti di sicurezza informatica quando cercano di risolvere e demistificare attacchi di rete, attività dannose o violazioni di malware. Effettuando una ricerca negli IoC, è possibile identificare tempestivamente le violazioni dei dati per mitigare gli attacchi.
Perché è importante monitorare gli indicatori di compromesso?
Gli IoC svolgono un ruolo fondamentale nell'analisi della sicurezza informatica. Non solo rivelano e confermano che si è verificato un attacco alla sicurezza, ma rivelano anche gli strumenti utilizzati per eseguire l'attacco.
Sono anche utili per determinare l'entità del danno causato da una compromissione e aiutano a stabilire parametri di riferimento per prevenire futuri compromessi.
Gli IoC vengono generalmente raccolti attraverso normali soluzioni di sicurezza come anti-malware e anti-virus software, ma alcuni strumenti basati sull'intelligenza artificiale possono essere utilizzati anche per raccogliere questi indicatori durante la risposta agli incidenti sforzi.
Leggi di più: Il miglior software gratuito per la sicurezza in Internet per Windows
Esempi di indicatori di compromesso
Rilevando attività e schemi irregolari, gli IoC possono aiutare a valutare se un attacco sta per verificarsi, se è già avvenuto e i fattori alla base dell'attacco.
Ecco alcuni esempi di IOC su cui ogni individuo e organizzazione dovrebbe tenere d'occhio:
Schemi dispari di traffico in entrata e in uscita
L'obiettivo finale della maggior parte degli attacchi informatici è acquisire dati sensibili e trasferirli in una posizione diversa. Pertanto, è fondamentale monitorare i modelli di traffico insoliti, in particolare quelli in uscita dalla rete.
Allo stesso tempo, dovrebbero essere osservati anche i cambiamenti nel traffico in entrata in quanto sono buoni indicatori di un attacco in corso. L'approccio più efficace consiste nel monitorare costantemente il traffico in entrata e in uscita per rilevare eventuali anomalie.
Discrepanze geografiche
Se gestisci un'attività o lavori per un'azienda limitata a una determinata posizione geografica ma improvvisamente vedi schemi di accesso provenienti da posizioni sconosciute, consideralo una bandiera rossa.
Gli indirizzi IP sono ottimi esempi di IoC in quanto forniscono utili elementi di prova per tracciare le origini geografiche di un attacco.
Attività utente con privilegi elevati
Gli account privilegiati hanno il livello di accesso più elevato a causa della natura dei loro ruoli. Agli autori delle minacce piace sempre cercare questi account per ottenere un accesso stabile all'interno di un sistema. Pertanto, qualsiasi cambiamento insolito nel modello di utilizzo degli account utente con privilegi elevati deve essere monitorato con le pinze.
Se un utente privilegiato utilizza il proprio account da una posizione e un orario anomali, è certamente un indicatore di compromissione. È sempre una buona pratica di sicurezza utilizzare il Principio del minimo privilegio durante la configurazione degli account.
Leggi di più: Qual è il principio del minimo privilegio e come può prevenire gli attacchi informatici?
Un aumento delle letture del database
I database sono sempre un obiettivo primario per gli attori delle minacce poiché la maggior parte dei dati personali e organizzativi viene archiviata in un formato di database.
Se vedi un aumento del volume di lettura del database, tienilo d'occhio perché potrebbe trattarsi di un utente malintenzionato che cerca di invadere la tua rete.
Tentativi di autenticazione elevati
Un numero elevato di tentativi di autenticazione, in particolare quelli falliti, dovrebbe sempre sollevare un sopracciglio. Se vedi un gran numero di tentativi di accesso da un account esistente o tentativi falliti da un account che non esiste, è molto probabile che si tratti di un compromesso in arrivo.
Modifiche insolite alla configurazione
Se sospetti un numero elevato di modifiche alla configurazione su file, server o dispositivi, è probabile che qualcuno stia tentando di infiltrarsi nella tua rete.
Le modifiche alla configurazione non solo forniscono una seconda backdoor agli attori delle minacce nella rete, ma espongono anche il sistema ad attacchi di malware.
Segni di attacchi DDoS
Un attacco Distributed Denial of Service o DDoS viene eseguito principalmente per interrompere il normale flusso di traffico di una rete bombardandola con un flusso di traffico Internet.
Pertanto, non c'è da meravigliarsi che frequenti attacchi DDoS vengano eseguiti dalle botnet per distrarre da attacchi secondari e dovrebbero essere considerati come un IoC.
Leggi di più: Nuovi tipi di attacchi DDoS e come influiscono sulla sicurezza
Modelli di traffico web con comportamenti disumani
Qualsiasi traffico web che non sembri normale comportamento umano dovrebbe essere sempre monitorato e indagato.
La scoperta e il monitoraggio degli IoC possono essere ottenuti tramite la caccia alle minacce. Gli aggregatori di log possono essere utilizzati per monitorare le discrepanze nei tuoi log e, una volta che segnalano un'anomalia, dovresti trattarli come un IoC.
Dopo aver analizzato un IoC, dovrebbe sempre essere aggiunto a una blocklist per prevenire future infezioni da fattori come indirizzi IP, hash di sicurezza o nomi di dominio.
I seguenti cinque strumenti possono aiutare a identificare e monitorare gli IoC. Tieni presente che la maggior parte di questi strumenti viene fornita con versioni della community e abbonamenti a pagamento.
- CrowdStrike
CrowdStrike è una società che previene le violazioni della sicurezza fornendo le migliori opzioni di sicurezza degli endpoint basate su cloud.
Offre una piattaforma Falcon Query API con una funzione di importazione che ti consente di recuperare, caricare, aggiornare, cercare ed eliminare indicatori di compromissione (IOC) personalizzati che desideri che CrowdStrike guardi.
2. Sumo Logic
Sumo Logic è un'organizzazione di analisi dei dati basata su cloud che si concentra sulle operazioni di sicurezza. L'azienda offre servizi di gestione dei registri che utilizzano big data generati da macchine per fornire analisi in tempo reale.
Utilizzando la piattaforma Sumo Logic, aziende e privati possono applicare configurazioni di sicurezza per ambienti multi-cloud e ibridi e rispondere rapidamente alle minacce rilevando gli IoC.
3. Akamai Bot Manager
I bot sono utili per automatizzare determinate attività, ma possono essere utilizzati anche per furti di account, minacce alla sicurezza e attacchi DDoS.
Akamai Technologies, Inc. è una rete globale di distribuzione dei contenuti, che offre anche uno strumento noto come Bot Manager che fornisce un rilevamento avanzato dei bot per trovare e prevenire gli attacchi bot più sofisticati.
Fornendo una visibilità granulare del traffico dei bot in entrata nella tua rete, Bot Manager ti aiuta a capire e monitorare meglio chi entra o esce dalla tua rete.
4. Proofpoint
Proofpoint è una società di sicurezza aziendale che fornisce protezione dagli attacchi mirati insieme a un solido sistema di risposta alle minacce.
Il loro sistema creativo di risposta alle minacce fornisce la verifica automatica dell'IoC raccogliendo analisi forensi degli endpoint da sistemi mirati, facilitando il rilevamento e la correzione dei compromessi.
Proteggi i dati analizzando il panorama delle minacce
La maggior parte delle violazioni della sicurezza e dei furti di dati lasciano tracce di breadcrumb e spetta a noi giocare ai detective della sicurezza e raccogliere gli indizi.
Fortunatamente, analizzando da vicino il nostro panorama delle minacce, possiamo monitorare e compilare un elenco di indicatori di compromissione per prevenire tutti i tipi di minacce informatiche attuali e future.
Hai bisogno di sapere quando la tua azienda è sotto attacco informatico? Hai bisogno di un sistema di rilevamento e prevenzione delle intrusioni.
Leggi Avanti
- Sicurezza
- Sicurezza in linea
- Violazione della sicurezza
- DDoS
Kinza è un'appassionata di tecnologia, una scrittrice tecnica e autoproclamata geek che risiede nella Virginia del Nord con suo marito e due figli. Con una laurea in reti informatiche e numerose certificazioni IT alle spalle, ha lavorato nel settore delle telecomunicazioni prima di avventurarsi nella scrittura tecnica. Con una nicchia nella sicurezza informatica e negli argomenti basati sul cloud, le piace aiutare i clienti a soddisfare le loro diverse esigenze di scrittura tecnica in tutto il mondo. Nel tempo libero le piace leggere narrativa, blog tecnologici, creare storie spiritose per bambini e cucinare per la sua famiglia.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!
Ancora un passo…!
Conferma il tuo indirizzo e-mail nell'e-mail che ti abbiamo appena inviato.