tag

威胁情报

该标签下有 3 篇文章

什么是 IOA（攻击指标）— 不靠痕迹，而靠“正在进行的攻击行为”来察觉

IOA（攻击指标）是靠攻击的“行为”（提权→横向移动→外部外传等手法的流程）来察觉的思路，与事后痕迹 IOC 成对。哈希和 IP 攻击者一瞬就能改，但手法（行为）难以改变＝IOA 更长效。即便规模小，只要关注“与平时不同的举动”也能靠近这一思路。

IOC（失陷指标）是入侵留下的痕迹＝已知恶意的文件哈希、通信对端 IP/域名、URL、异常进程等。其价值在于能机械地检测并拦截已知的坏东西。但它是攻击者可以随手丢弃、随意更换的事后线索，所以 IOC 比对只是“最后的比对材料”，并非万能。真正的关键是不会着火的设计（最小权限・打补丁・MFA）。

C2 是被入侵的终端回连攻击者服务器（回调/信标）、用于接收命令与外传数据的远程操控通道，处于入侵「之后」的阶段。检测的关键是外向的可疑定期通信与已知的恶意目的地。防御靠出口（egress）控制·DNS 监控·IOC/IOA 比对·最小权限。在入侵调查中，确认「不存在常驻 C2」也很重要。