IoC چیست

Indicators of Compromise یا شاخص‌های سازش، اطلاعاتی در مورد یک نقض امنیتی خاص هستند که می‌توانند به تیم‌های امنیتی کمک کنند تا تشخیص دهند که آیا حمله‌ای رخ داده است یا خیر. این داده‌ها می‌توانند شامل جزئیاتی در مورد حمله، مانند نوع بدافزار مورد استفاده، آدرس‌های IP مربوطه و سایر جزئیات فنی باشند.

تیم‌های امنیتی اغلب از هر دو IoA و IoC برای شناسایی رفتار مهاجم استفاده می‌کنند.

IoC چگونه کار می‌کند؟

به سازمان‌ها کمک می‌کنند تا وجود نرم‌افزارهای مخرب را در یک دستگاه یا شبکه پیدا کرده و تأیید کنند. حملات، ردپایی از شواهد، مانند متا دیتاها، از خود به جا می‌گذارند. مدیران امنیت می‌توانند از این شواهد برای شناسایی، بررسی و رسیدگی به رخدادهای امنیتی استفاده کنند.

شاخص‌های سازش را می‌توان از طریق روش‌های مختلفی به دست آورد، از جمله:

مشاهده(Observation): مشاهده فعالیت یا رفتار غیرعادی در سیستم‌ها یا دستگاه‌ها

تحلیل(Analysis): تحلیل فعالیت های مشکوک و تأثیر آن

امضاها(Signatures): شناسایی امضاهای بد‌افزارهای مخرب شناسایی شده

انواع رایج IoC چیست؟

انواع مختلفی از IoC وجود دارد که می‌توان از آنها برای تشخیص حوادث امنیتی استفاده کرد. عبارتند از:

• IoC های مبتنی بر شبکه(Network-based IoCs)، مانند آدرس‌های IP، دامنه‌ها یا URL های مخرب، می‌توانند شامل الگوهای ترافیک شبکه، فعالیت غیرمعمول پورت، اتصالات شبکه به میزبان‌های مخرب شناخته شده یا الگوهای استخراج داده‌ها نیز باشند.
• IoC های مبتنی بر میزبان(Host-based IoCs) مربوط به فعالیت در یک ایستگاه کاری یا سرور هستند. نام فایل‌ها یا هش‌ها، کلیدهای رجیستری یا فرآیندهای مشکوکی که روی میزبان اجرا می‌شوند، نمونه‌هایی از IoC های مبتنی بر میزبان هستند.
• IoC های مبتنی بر فایل(File-based IoCs) شامل فایل‌های مخرب مانند بدافزار یا اسکریپت‌های خطرناک هستند.
• نوع دیگر IoC های رفتاری(Behavioral IoCs) هستند که انواع مختلفی از رفتارهای مشکوک، از جمله رفتار عجیب کاربر، الگوهای ورود به سیستم، الگوهای ترافیک شبکه و تلاش‌های احراز هویت را پوشش می‌دهند.
• IoC های فراداده‌ای(Metadata IoCs) مربوط به متادیتاهای مرتبط با یک فایل یا داکیومنت؛ مانند نویسنده، تاریخ ایجاد یا جزئیات نسخه هستند.

شاخص‌های سازش در مقابل شاخص‌های حمله(Indicators of compromise vs. indicators of attack)

IoC ها شبیه شاخص‌های حمله (IoA) هستند، با این حال، کمی متفاوت هستند. IoA ها بر احتمال اینکه یک عمل یا رویداد ممکن است به عنوان یک تهدید مطرح شود، تمرکز دارند.

برای مثال، یک IoA نشان می‌دهد که یک گروه تهدید شناخته‌شده احتمال بالایی برای راه‌اندازی حمله‌ی انکار سرویس توزیع‌شده (DDOS) علیه یک وب‌سایت دارد. در این شرایط، یک IoC ممکن است نشان دهد که شخصی به سیستم یا شبکه دسترسی پیدا کرده و حجم زیادی از داده‌ها را منتقل کرده است.

تیم‌های امنیتی اغلب از هر دو IoA و IoC برای شناسایی رفتار مهاجم استفاده می‌کنند. به عنوان مثال دیگر، یک IoC ترافیک شبکه‌ی غیرمعمول را شناسایی می‌کند، در حالی که IoA پیش‌بینی می‌کند که ترافیک بالای شبکه ممکن است نشان‌دهنده‌ی یک حمله‌ی DDoS در آینده باشد. هر دو شاخص به ارائه بینش مهمی در مورد تهدیدات و آسیب‌پذیری‌های بالقوه در شبکه‌ها و سیستم‌ها کمک می‌کنند.

شاخص‌های بهترین شیوه‌های نفوذ(Indicators of compromise best practices)

شاخص‌های بهترین شیوه‌های نفوذ (IoC) چندین تکنیک را پوشش می‌دهند، از جمله استفاده از ابزارهای خودکار و دستی برای نظارت، شناسایی و تجزیه و تحلیل شواهد حملات سایبری.

با ظهور فناوری‌های جدید و بردارهای حمله، به‌روزرسانی منظم رویه‌های IoC بسیار مهم است. با به‌روز ماندن در رویه‌ها و انجام بهترین شیوه‌های IoC، سازمان‌ها می‌توانند از چشم‌انداز تهدید جلوتر باشند و خود را در برابر فعالیت‌های مخرب محافظت کنند.