妥协指标:您是否已经被黑客入侵?

什么是妥协指标?

IoC 是攻击已经发生的标志; 这是发生违规行为的证据。 IoC 有许多不同的形式,知道要寻找什么有助于限制攻击的后果。

与其他类型的盗窃不同,成功的网络攻击很难被发现。 公司可能直到事件发生很久之后才意识到发生了数据泄露。 这可能会加剧成功黑客攻击的后果,并使您容易受到进一步的利用。

如果您不知道黑客入侵了您的服务器或数据库,则无法限制损失。 如果用户的信息被盗,您必须能够通知用户,但如果您不确定是否发生了违规行为,则不能这样做。

您还需要能够识别 IoC 以实施预防措施。 如果你有攻击的证据,你可以寻找任何可能促成攻击的弱点。 您甚至可以制定新的安全协议以在未来保持更好的保护。

妥协指标与攻击指标

IoC 有时会与攻击指标 (IoA) 混淆,但这些术语有两个不同的含义。 攻击发生在妥协之前。 注意到 IoA 将在攻击发生时对其进行标记,从而帮助技术人员实时对抗攻击。 找到 IoC 可以帮助您了解已经发生的事情。

当然,IoA 可能与 IoC 重叠。 注意到可疑数据库请求的激增将是 IoA,而事后记录激增的日志是 IoC。

妥协示例的指标

IoC 可以有多种形式,有些形式比其他形式更有说服力。 它们可能很微妙,因此理想情况下,您将能够与其他人证实一个 IoC。 以下是您在违规后可能遇到的五个最清晰的 IoC 示例。

  • 可疑的数据库查询

    公司数据库是网络犯罪分子最喜欢的目标。 它们包含有关客户、公司内部记录和密码的宝贵信息。 要访问此类数据库,用户会发送查询,因此如果您在这些通信中记录到异常高峰,则可能是 IoC。 在短时间内发生的大量来自同一设备的请求是一个明显的危险信号。

    如果 IoC 建议某个数据库遭到破坏,那么对其中包含的数据进行审计非常重要。 数据库是否包含用户数据或客户信息? 黑客是否可以访问信用卡详细信息或密码? 您越早确认违规行为,您就可以越早联系用户并防止进一步的损害。

  • 分散注意力的策略

    有时很明显发生了攻击,但动机并不立即明显。 看似毫无意义的 DDoS 操作是否会导致站点上的特定功能崩溃并造成轻微中断? 或者服务器上的其他地方是否发生了更严重的攻击? 你注意到的攻击可能是一种转移策略。

    应用层攻击是经典 example 这种方法。 如果您注意到一个,请在服务器或数据库区域的其他地方寻找 IoC,这些区域可能是更具诱惑力的目标。

  • 地理异常

    攻击者通常会通过外壳 IP 地址路由他们的流量来掩盖他们的真实位置。 这使得当局更难追踪他们,但它也可以作为一个有用的危险信号。

    如果您的核心用户群在美国,那么突然涌入的流量和来自迪拜用户的请求可能是发生攻击的有力指标。 跟踪大部分合法服务器流量的来源是值得的,这样您就可以注意到任何异常情况。

  • 登录尝试失败

    闯入网络或服务器通常涉及试错过程。 攻击者可能会在访问目标之前尝试多次登录或请求。 为了实现这一点,他们可能会使用暴力破解软件来生成并填充随机密码,直到找到匹配项。 登录尝试失败的激增可以证明有人试图强行进入公司帐户。 但是,它不会确认他们是否成功。

  • 可疑的 admin 活动

    如果攻击者针对服务器或网站发起操作,他们的第一个呼叫端口通常是管理帐户。 恶意行为者可以使用多种技术来获取这些配置文件:从伪装攻击到 SQL 注入。 然后他们可以利用这些帐户发动进一步的入侵。

    监控很重要 admin 帐户并定期检查异常活动。 您越早检测到个人资料中的异常行为,您就能越早撤销他们的管理访问权限。

防止违规

找到 IoC 很有用,但这只是解决方案的一半。 您应该努力在攻击发生之前对其进行反击。 以下是降低妥协风险的三个可行步骤:

  • 确保员工使用 VPN 来保护他们的设备。 这将加密他们的浏览活动并降低端点泄露的风险)。
  • 使用远程应用程序控制来限制公司硬件上的任何高风险活动,从而减少恶意软件感染的威胁。
  • 详细了解数据泄露的危险以及怎样防止它们。
  • 定期提高员工对最佳实践和更新安全协议的认识。 这将鼓励个人对借口诈骗或其他形式的社会工程保持警惕。

订阅订阅您已成功订阅我们的时事通讯!电子邮件无效订阅