「到底被沒被入侵,看哪裡才能知道?」——那個線索就是 IOC(入侵指標)。本文從防禦視角講解它的含義與種類、用法,以及不可過度依賴的理由(不涉及攻擊手法)。
IOC 的主要種類
按「痕跡留在哪裡」大致分為 4 類。
| 種類 | 例子 | 在哪裡比對 |
|---|---|---|
| 網路類 | 攻擊者伺服器的 IP/網域、C2 的 URL | 防火牆/代理/DNS 紀錄 |
| 檔案類 | 惡意軟體的 SHA-256 雜湊、特徵性檔名 | EDR/防毒軟體/檔案清單 |
| 主機類 | 可疑的登錄檔機碼、陌生的常駐程序 | 作業系統紀錄・程序清單 |
| 行為類 | 與平時不同的時間/國家的登入、突發的大量通訊 | 認證紀錄・通訊量監控 |
IOC 與 IOA — 「痕跡」與「行為」
常被拿來對比的是 IOA(Indicator of Attack=攻擊指標)。理解了二者的區別,就能看清 IOC 的長處與短處。
IOC(入侵指標)=結果的痕跡
- 已經發生之事的證據(雜湊・IP 等)
- 能對已知惡意機械地命中=快
- 但攻擊者可以輕易更換(用完即棄)
- 本質上是事後追溯
IOA(攻擊指標)=進行中的行為
- 「權限提升→橫向移動→對外傳送」等手法的流程
- 能在接近即時的階段察覺
- 比痕跡更難更換(因為它是攻擊的本質)
- 需要理解其機理,因此落地較重
對攻擊者而言的「更換難易度」(痛苦金字塔)
同樣是 IOC,攻擊者更換它的成本(=我們卡住它時的效果)也天差地別。越往下越容易更換,越往上越難更換。
也就是說,雜湊和 IP 的比對見效快,但代價是很快就會過時。越是連手法(對方會怎麼打過來)都理解到位地去防備,防禦就越能持久。
小團隊也能做的 IOC 用法
即使沒有專門的 EDR 或威脅情資訂閱,現實中也有可以做的事。
從可信來源取得 IOC
與自己的紀錄・相依套件比對
一旦命中就隔離並調查
記錄自己環境的 IOC 並橫向排查
本站的觀點:IOC 是「火災過後的焦痕」。真正的關鍵是不會著火的設計
IOC 比對很重要,但它是確認火災發生之後留下的焦痕的工作。等到能找到痕跡時,早就已經被入侵了。所以本站把 IOC 比對作為「排查工具」保留在手,而把著力點放在從源頭上就不會著火的設計上——最小權限・迅速打修補程式(CVE 監控)・抗釣魚 MFA・不要把機密以明文存放,這些根本性的對策。依賴事後痕跡比對的防禦,永遠會慢半拍。用痕跡去「察覺」的能力,和不讓痕跡留下的「防住」的能力,兩者並舉才是正解。
接下來閱讀
- 術語:什麼是 CVE(洞的識別碼) / 什麼是勒索軟體 / 什麼是釣魚
- 復原:備份與復原基礎
FAQ
QIOC 是什麼?
它是 Indicator of Compromise(入侵指標)的縮寫,指已經發生的入侵所留下的「痕跡」。具體來說,是指可疑檔案的雜湊值、攻擊者的通訊對端 IP 位址或網域、惡意 URL、異常的程序或登錄檔變更等。把這些作為一份已知惡意清單保留下來,再與自己的紀錄和終端比對,用來發現『是否有被入侵的跡象』。
QIOC 和 CVE 有什麼區別?
CVE 是『哪裡有洞(漏洞的識別碼)』,IOC 是『是否有被入侵的痕跡(攻擊的證據)』,二者是兩回事。CVE 是打修補程式的對象,IOC 是用來確認『是否已經被踩過』的比對材料。按順序來說,先用 CVE 把洞堵上,再用 IOC 檢查是否被踩過。
Q只看 IOC 就能守住嗎?
守不住。IOC 本質上是「事後追溯」,攻擊者可以輕易地把檔案雜湊或 IP 用完即棄、隨意更換。IOC 比對在『是否命中已知惡意』的最終確認上有效,但真正的關鍵是不會著火的設計(最小權限・及時打修補程式・抗釣魚 MFA),以及對比痕跡更難更換的「行為」的監控。