Глоссарий
Что такое IOA (Indicator of Attack) — обнаружение взлома по поведению, а не по следам
IOA (Indicator of Attack) обнаруживает взлом не по оставшемуся следу (IOC), а по поведению атаки в процессе. Отличие от IOC, почему поведение труднее изменить, чем след, и как даже небольшие команды могут это использовать — объяснено с точки зрения защиты.
Сопоставление одних лишь следов взлома (IOC) не успевает, как только злоумышленники меняют эти следы. Здесь помогают основанные на поведении IOA. Разберём значение и как их использовать (без шагов атаки).
IOC против IOA — след результата против поведения в процессе
IOC (Indicator of Compromise) = след результата
- Ретроспективное свидетельство: хеши, IP, домены
- Можно сопоставлять механически с известным вредоносным — быстро
- Но злоумышленники легко это меняют
- По своей сути реактивно
IOA (Indicator of Attack) = поведение в процессе
- Поток техники: повышение → горизонтальное перемещение → вывод данных
- Ловит ближе к реальному времени
- Трудно изменить (это суть атаки)
- Тяжелее внедрить — нужно понимание механики
Почему поведение трудно изменить
Для злоумышленника хеш файла или IP одноразовы. Но поток «как атаковать» привязан к цели (получить привилегии, распространиться, вывести данные), поэтому его непросто изменить.
Как это могут использовать даже небольшие команды
Даже без выделенного EDR (продукта, который мониторит поведение конечных точек) суть — отслеживать «поведение, отличающееся от нормального».
Знайте свою «норму»
Следите за поведенческими аномалиями
При срабатывании изолируйте и расследуйте
Держите это в паре с сопоставлением IOC
Мнение этого сайта: замечать и не-допускать — разные вещи; держите оба
IOA — мощная идея «замечать по поведению», но на этом сайте мы рекомендуем не опираться на одно лишь «замечание». Обнаружение (IOA/IOC) касается того, что после начала инцидента; настоящая цель — проектирование, которое не даёт ему начаться или распространиться: минимум привилегий, быстрые обновления (мониторинг CVE), устойчивая к фишингу MFA, никаких секретов в открытом виде. Поскольку идеальной профилактики не существует, профилактика (не-случается) и обнаружение (замечание через IOA/IOC) — два колеса. Основанные на поведении IOA добавляют ценность, отмечая аномалию на шаг раньше, чем сопоставление следов.
Читать дальше
- Глоссарий: Что такое IOC (Indicator of Compromise) · Что такое CVE
- Фид: Лента угроз
FAQ
QВ чём разница между IOA и IOC?
IOC (Indicator of Compromise) — ретроспективный след взлома: хеш файла, IP/домен назначения. IOA (Indicator of Attack) следит за поведением атаки в процессе — потоком повышения привилегий → горизонтального перемещения → вывода данных. IOC ретроспективны и статичны; IOA ближе к реальному времени и основаны на поведении.
QПочему IOA «служит дольше»?
Злоумышленники могут мгновенно сменить хеши файлов и IP (IOC быстро устаревают). Но способ работы атаки — получить привилегии, распространиться вбок, вывести данные — это суть атаки, и его непросто изменить. Поэтому чем больше вы следите за поведением (IOA), тем дольше держится ваша защита.
QМогут ли небольшие команды использовать IOA?
Даже без дорогого продукта EDR идея применима. Её суть — отслеживать «поведение, отличающееся от нормального»: массовую отправку данных в нестандартные часы, незнакомый резидентный процесс, повторяющееся использование админ-функций, которые вы обычно не трогаете, всплеск попыток входа. Они могут отметить ход атаки раньше, чем отдельный IOC.