threat intelligence
3 статей с этим тегом
Что такое IOA (Indicator of Attack) — обнаружение взлома по поведению, а не по следам
IOA (Indicator of Attack) обнаруживает взлом по поведению атаки в процессе (повышение привилегий → горизонтальное перемещение → вывод данных). Это противоположность ретроспективного IOC. Злоумышленники мгновенно меняют хеши и IP, но техника (поведение) трудно меняется — поэтому IOA служат дольше. Даже небольшие команды могут подойти к этому, отслеживая поведение, отличающееся от нормального.
Что такое IOC (Indicator of Compromise) — следы, выдающие взлом
IOC (Indicator of Compromise) — это след, который оставляет взлом: известные вредоносные хеши файлов, IP/домены злоумышленника, URL, необычные процессы. Его ценность — механически обнаруживать/блокировать известное вредоносное. Но это реактивная улика, которую злоумышленники меняют дёшево, поэтому сопоставление IOC — финальная проверка, а не лекарство. Реальная защита — проектирование, которое не горит (минимум привилегий, обновления, MFA).
Что такое C2 (command and control) — канал, через который злоумышленники управляют устройством после взлома
C2 — канал, через который скомпрометированное устройство «звонит обратно» на сервер злоумышленника (beacon), чтобы получать команды и выводить данные — стадия после взлома. Ключи к обнаружению — подозрительный периодический исходящий трафик и известные вредоносные адреса. Защита: фильтрация исходящего трафика, мониторинг DNS, сопоставление с IOC/IOA, минимум привилегий. Подтверждение «нет резидентного C2» — важная часть расследования инцидента.