僅靠「比對入侵痕跡(IOC)」,一旦攻擊者改掉痕跡就追不上了。這時起作用的,是靠行為察覺的 IOA。下面講解它的含義與用法(不會刊載攻擊步驟)。
IOC 與 IOA — 結果的痕跡 與 進行中的行為
IOC(入侵指標)=結果的痕跡
- 雜湊、IP、網域等事後的證據
- 可對已知的惡意機械比對=快
- 但攻擊者很容易改掉
- 本質上是追在後面
IOA(攻擊指標)=進行中的行為
- 「提權→橫向移動→對外外傳」等手法的流程
- 能在接近即時的階段察覺
- 是攻擊的本質,所以難以改變
- 需要理解機制,落地成本較重
為什麼行為難以改變
對攻擊者來說,檔案雜湊和 IP 是「一次性用品」。而**「怎麼打」這套手法的流程**,受目標(拿到權限、擴散、帶走)所束縛,因此沒那麼容易改變。
小團隊也能落地的用法
即便沒有專門的 EDR(監控端點行為的產品),**關注「與平時不同的舉動」**正是 IOA 的本質。
先了解「平時」
關注行為上的異常
察覺後先隔離再排查
與痕跡比對(IOC)雙輪並行
本站視角:察覺的能力,與不讓它發生的能力,是兩回事。兩者都要有
IOA 是「靠行為察覺」的強力思路,但本站建議不要只依賴「察覺」。偵測(IOA/IOC)是事故發生之後的事,真正的重點是從根本上不讓它發生、不讓它擴散的設計——最小權限、迅速打修補程式(CVE 監控)、抗釣魚的 MFA、不把機密以明文存放。話雖如此,完全的預防並不存在,所以預防(不讓它發生)與偵測(靠 IOA/IOC 察覺)要雙輪並行。基於行為的 IOA,其價值在於能比痕跡比對更早一步顯示異常。
接著讀
- 術語:什麼是 IOC(入侵指標) / 什麼是 CVE
- 速報:漏洞速報訂閱
FAQ
QIOA 和 IOC 有什麼區別?
IOC(入侵指標)是「入侵已經發生後留下的痕跡」——檔案雜湊、通訊目標 IP/網域等事後留存的證據。IOA(攻擊指標)則關注「正在進行的攻擊行為」——提權→橫向移動→對外外傳這類手法的流程。區別在於:IOC 是事後、靜態的,IOA 更接近即時、基於行為。
Q為什麼 IOA 更「長效」?
攻擊者可以一瞬就丟棄、更換檔案雜湊或 IP 位址(IOC 很快就過時)。而攻擊的「做法」本身(提權、橫向擴散、向外帶走的流程)是攻擊的本質,沒那麼容易改變。所以越關注行為=IOA,防禦就越持久。
Q小團隊也能用 IOA 嗎?
即使沒有高階 EDR 產品,這套思路依然能用。關注「與平時不同的舉動」正是 IOA 的本質。例如深夜的大量資料外傳、陌生程序常駐、平時不用的管理功能被連續執行、短時間內大量登入嘗試等。比起單個 IOC,這些往往能更早顯示攻擊的推進。