13 May, 2022

[:tr]IoC (Indicator Of Compromise) Nedir?[:en]What is IoC (Indicator Of Compromise)?[:]

[:tr]

Basit bir şekilde IoC, herhangi bir siber saldırı sonucu zarar gelmeden önce güvenlik tehditlerini, veri ihlallerini, içeriden gelen tehditleri ve daha fazlasını belirlemeye yardımcı olan, kurumun ağındaki tutarsızlıkları veya olağan dışı faaliyetlerin gösteren, güvenlik ihlaline işaret eden kanıtlar olarak ifade edebiliriz.

Siber güvenlik olayı esnasında, uzlaşma göstergeleri (IoC), bir veri ihlalinin ipuçları ve kanıtlarıdır. Bu kanıtlar sadece bir saldırının gerçekleştiğini değil, aynı zamanda saldırıda hangi araçların kullanıldığını ve bun saldırıların arkasında kimin olduğunu da ortaya çıkarabilir.

IoC’ler yalnızca yaklaşan saldırılar için bir uyarı işareti olarak hareket etmekle kalmaz, aynı zamanda olanları analiz etmeye de yardımcı olur. IoC verileri, şüpheli bir olayı veya network üzerindeki paket akışından sonra toplanır.

IoC’ler, bir uzlaşmanın bir kuruluşu ne ölçüde etkilediğini belirlemek ve saldırı yüzeyinin gelecekteki saldırılardan korumasına yardımcı olmak amacıyla öğrenilen dersleri toplamak için de kullanılabilir. Göstergeler genellikle kötü amaçlı yazılımdan koruma ve virüsten koruma sistemleri de dahil olmak üzere yazılımlardan toplanır, ancak olay yanıtı sırasında göstergeleri toplamak ve düzenlemek için diğer yapay IoC siber güvenlik araçları kullanılabilir.

IoC’lar uzmanlar tarafından, kötü niyetli faaliyetleri tespit etmesine yardımcı olmaktadır. Network içerisinde zararlı faaliyetleri erken fark edip müdahale kısa bir süre içerisinde gerçekleştirilebilir.

IoC’leri takip etmek, kurumun güvenlik olaylarını tespit etme ve bunlara yanıt verme konusunda daha iyi performans göstermesine olanak tanır. IoC’ler sağladığı verilerle, uzmanlar tarafından bilgiye dayalı kararları daha hızlı ve daha doğru bir şeklide verebilmesine yardımcı olur.

ioc 1

 

IoC olabilecek veriler;

  • Ayrıcalıklı kullanıcıların anormal işlemleri
  • Deviant DNS istekleri
  • Web trafiğinin çok fazla artış olması
  • Veri tabanı okumanın artmış olması
  • HTML yanıt boyutlarının büyümesi
  • Aynı dosya üzerinde normalden fazla istek
  • Registry’de olağan dışı değişiklikler
  • Sistemde bilinmeyen dosyalar, uygulamalar ve işlemler
  • Brute Force saldırılarını gösteren ağ trafiği
  • Ip adreslerinin farklı coğrafyalardan gelmesi

IOC Biçimleri

  • MISP Malware Information Sharing Platform & Threat Sharing format- MISP çekirdek formatı dahil MISP projesinde kullanılan özellikler.
  • Mitre Cyber Observable eXpression (CybOX™)- Bu site arşivlenmiş CybOX belgelerini içerir.
  • Mitre Malware Attribute Enumeration and Characterization (MAEC™) – Kötü amaçlı yazılımları anlamak için bir şema.
  • Mitre Structured Threat Information eXpression (STIX™)- Siber tehdit istihbaratı için yapılandırılmış bir dil.
  • Yara-Kötü amaçlı yazılım araştırmacıları (ve diğer herkes) için kalıp eşleştirme.
  • İsviçre bıçağı. mandiant/OpenIOC_1.1- Bu depo, revize edilmiş bir şema, iocterms dosyası ve OpenIOC 1.1 adını verdiğimiz revize edilmiş OpenIOC sürümünün taslağının temelini oluşturan diğer destekleyici belgeleri içerir.

Uzlaşma Göstergesinin Kaynağı (IoC):

Uzlaşma göstergeleri birçok kaynaktan gelebilir ve bunlar iki dış ajans veya iç kaynak kategorisine girer.

Dış Kaynaklar:

Dış kaynaklar ticari veya endüstri kaynakları veya IOC kovası ve MISP gibi çevrimiçi olarak alabileceğiniz ücretsiz IoC kaynakları olabilir.

Örneğin. Ticari IoC kaynaklarına örnek olarak virüsten koruma veya kötü amaçlı yazılımdan koruma satıcılarınız verilebilir ve bunların hepsinde kullanılan büyük bir IoC kitaplığı veya koleksiyonu bulunur. Kullanabileceğimiz önemli ücretsiz IoC kaynaklarından bazıları Malware Information Sharing Platform, MISP ve AlienVault OTX’dir birçok farklı alanda harika bir kaynak olan ayrıca, kendi IoC’lerinizi oluşturmanıza ve bunları topluluk genelinde paylaşmanıza olanak tanıyan özel bir IOC Kovaları da vardır.

İç Kaynaklar:

IoC’leri analiz etmemize ve gerçekten tespit etmemize izin veren günlükleri ve olayları toplayabilmemizin birkaç farklı yolu vardır. Bunlar ticari olarak temin edilebilen sistemlerden, bazı kullanımı ücretsiz sistemlerden gelebilir. (Dahili günlükler ve olay görüntüleyicileri gibi). Önemli olanlardan bazıları olağandışı giden ağ trafiğini ve coğrafi anormallikleri içerecektir. Buna örnek olarak, yabancı konumlardan oturum açan veya bir tür riskli oturum açma etkinliği gerçekleştiren hesap kullanıcılarınız gösterilebilir, bir kez daha, kullanıcı hesaplarınızdan birine karşı monte edilebilecek potansiyel bir saldırıya bakarak IoC çoklu oturum açma hatalarını da tespit edebilirsiniz, veri tabanı okuma hacmindeki artış veya HTML yanıtı boyutundaki anormallikler, olağandışı DNS istekleri ve şüpheli dosya ve kayıt defteri değişiklikleri gibi trafikteki anormallikleri de tespit edebilirsiniz.

Neden IOC Kullanılmalı?

IOC’ler, güvenlik operasyon merkezlerinin küresel tehdit ortamında neler olup bittiğini bilmeleri için daha fazla bağlam sağlar ve iç ağlarını bu tür ağlar için tarama yeteneği sağlar. Bu, geçmiş tarama yapabilmenize ve neye odaklanacağınızı bilmek için kaynaklara öncelik vermenize yardımcı olur, hızlanmanıza olanak tanır.

Uzlaşma Göstergeleri (IoC) Nasıl Çalışır?

Kötü amaçlı yazılım yazarları her zaman algılanmaktan kaçınan bir yazılım oluşturmaya çalışsalar da her uygulama ağdaki varlığına dair kanıt bırakır. Bu ipuçları, ağın saldırı altında olup olmadığını veya bir veri ihlali meydana gelip gelmediğini belirlemek için kullanılabilir. Adli araştırmacılar bu ipuçlarını, bir siber güvenlik olayından sonra karşı önlemler hazırlamak ve bir saldırgana karşı cezai suçlamalarda bulunmak için kanıt toplamak için kullanırlar.

Uzlaşma göstergelerini, bir siber güvenlik olayından sonra bir saldırganın bıraktığı izleri olarak düşünün. Kötü amaçlı yazılımdan koruma uygulamaları olayı kısmen durdurabilir, ancak güvenlik ihlali göstergeleri saldırganın erişebileceği verileri ve dosyaları belirler. Saldırganlar tarafından veri çalmak için kullanılan güvenlik açıklarını ve istismarları bulmada çok önemlidirler, çünkü kuruluşa gelecekte ağı daha iyi korumanın yolları hakkında bilgi verirler.

ioc 2

Uzlaşma Göstergelerinin Türleri:

IoC’ler iki ana kategoriye ayrılır:

Ağ Tabanlı Göstergeler

Ağ tabanlı göstergeler. Bunlar, ağ bağlantısıyla ilgili her şeyi ifade eder. Bir web sitesinin URL’si kötü amaçlı bir göstergedir. Bir alan adı aynı zamanda bir Uzlaşma Göstergesi olarak da düşünülebilir. Bir bulaşma senaryosu, belirli bir etki alanı için yapılan tüm isteklerin kötü amaçlı bir web sitesine yönlendirilmesini içerebilir. IP adresleri URL’lere alternatif olarak kullanılabilir. Örneğin, ikinci aşama kötü amaçlı yazılımları indirmek için kullanılmak üzere kötü amaçlı komut dosyalarının içine gömülebilirler. 

Örnekler:

  1. URL
  2. İnternet Sitesi
  3. Alan
  4. IP adresi

Ana Bilgisayar Tabanlı Göstergeler

İkinci önemli kategori, bir bilgisayar sisteminin kendisinde bulunabilen bu eserler olan ana bilgisayar tabanlı göstergelerdir. Windows türü kötü amaçlı yazılımlar, bilgisayar yeniden başlatıldıktan sonra bile otomatik olarak yürütülmek üzere belirli konumları kullanır. Özel bir gösterge türü dosya karmalarıdır. Bunlar, dosyaları içeriklerine göre benzersiz bir şekilde tanımlamamıza yardımcı olur. Örnekler:

  1. Dosya Adı
  2. Yol
  3. Dosya Parmak İzi veya Karma
  4. Dosya Uzantısı
  5. Dosya Konumu

Uzlaşma Göstergelerine Örnekler Nelerdir?

BT ve bilgi güvenliği ekiplerinizin göz önünde bulundurması gereken çeşitli uzlaşma göstergeleri vardır. Aşağıda uzlaşmanın en belirgin 15 göstergesini bulabilirsiniz.

  1. Ayrıcalıklı Kullanıcı Etkinliğinde Bulunan Anormallikler
  2. Oturum açma etkinliğinde kırmızı bayraklar bulundu
  3. Sapkın DNS istekleri
  4. İnsan dışı davranışlara sahip web trafiği
  5. Giden ağ trafiğinde olağandışı etkinlik
  6. Coğrafi anormallikler
  7. Artırılmış veri tabanı okuma hacmi
  8. Olağandışı HTML yanıt boyutları
  9. Mobil cihaz profillerindeki değişiklikler
  10. DDoS etkinliğinin belirtileri
  11. Yanlış yerleştirilmiş veri paketleri
  12. Çakışan bağlantı noktası-uygulama trafiği
  13. Aynı dosya için normalden daha fazla istek
  14. Kayıt defteri ve/veya sistem dosyalarında olağandışı değişiklikler
  15. Sistemlerin aniden yamalanması

Uzlaşma göstergeleri (IoC) ve saldırı göstergeleri (IoA)

IoA ile karşılaştırıldığında IoC nedir? Siber güvenlik olaylarının birkaç aşaması vardır. Ancak soruşturmalar açısından iki ana endişe var: Saldırı devam ediyor mu, yoksa konu kontrol altına alındı mı? Araştırmacılar, her iki soruyu da cevaplamak için bir saldırganın bıraktığı uzlaşma göstergelerini kullanır.

Olay yanıtı sırasında kullanılan IoC güvenliği, bir saldırının kapsamını ve ihlal edilen verileri belirlemek için kullanılır. Saldırı göstergeleri (IoA), bir saldırının devam edip etmediğini ve daha fazla hasara neden olmadan önce içermesi gerekip gerekmediğini belirlemek için kullanılır.

Hem IoC siber araçları hem de IoA araçları, araştırmacılara bir saldırının durumu hakkında ipuçları veren kanıtlar ve meta verilerle çalışır. Uzlaşma göstergeleri, bir saldırı kontrol altına alındıktan sonra, kuruluşun nerede, ne ve nasıl olduğunu bilmesi gerektiğinde kullanılır. Saldırı göstergeleri, etkin olabilecek ve kontrol altına alınması gereken mevcut bir saldırıya odaklanır.

Son derece gizli kötü amaçlı yazılımlar için, yöneticiler farkında olmadan önce bir uzlaşma aylarca sürebilir. IoAs, şüphelerin doğru mu yoksa yanlış pozitif mi olduğunu belirlemeye yardımcı olacaktır.

ioc-3

Uzlaşma Göstergeleri (IoC) ile Saldırı Göstergeleri (IoA) Arasındaki Fark Nedir?

Uzlaşma göstergeleri güvenlik olaylarının ve uzlaşmaların tespitine hizmet ederken, saldırı göstergeleri saldırganın niyetinin tespitine hizmet eder. Saldırıyı başarılı bir şekilde kontrol altına almak ve durdurmak için, saldırganın neyi başarmaya çalıştığını bilmek önemlidir. Bu nedenle saldırı göstergeleri önemlidir.

Uzlaşma göstergeleri, BT uzmanlarının ve siber güvenlik ekiplerinin herhangi bir izinsiz girişi tespit etmesine yardımcı olur, ancak bu izinsiz girişi durdurmak için güvenlik ekiplerinizin saldırganın ne planladığını bilmesi gerekir. Saldırganın bir sonraki adımını ve niyetini bilmek, güvenlik ekibine üstünlük sağlar. 

Bu nedenle, uzlaşma göstergeleri tarafından toplanan veriler, saldırı göstergeleri tarafından desteklenmelidir.

ioc-4

Uzlaşma göstergelerinin örnekleri ve türleri

Büyük ağlarda binlerce IOC olabilir. Bu nedenle, çoğu kanıt, adli araştırmacıların verileri düzenlemesine yardımcı olmak için IoC, SIEM sistemlerine toplanır ve yüklenir. Kanıtlar çok sayıda yerden gelebilir, ancak IoC olarak kullanılabilecek birkaç keşif öğesi:

  • Olağandışı giden trafik: Saldırganlar, saldırgan tarafından kontrol edilen bir sunucuya veri toplamak ve göndermek için kötü amaçlı yazılım kullanır. Yoğun olmayan saatlerde giden trafik veya şüpheli bir IP ile iletişim kuran trafik, bir IoC güvenlik tehdidine işaret edebilir.
  • Hassas verilerdeki yüksek ayrıcalıklı kullanıcı etkinliği düzensizlikleri: Güvenliği ihlal edilmiş kullanıcı hesapları, hassas verilere erişmek için kullanılır. Bir saldırganın, temel izinlere sahip standart kullanıcı hesaplarından kilitlenmiş olan verilere erişmesi için yüksek ayrıcalıklı bir kullanıcı hesabı gereklidir. Yoğun olmayan saatlerde veya nadiren erişilen dosyalarda hassas verilere erişen yüksek ayrıcalıklı bir kullanıcı hesabı, kimlik bilgilerinin kimlik avına uğradığını veya çalındığını gösterebilir.
  • Garip coğrafi bölgelerden gelen etkinlikler: Çoğu kuruluş, hedeflenen bir bölgeden gelen trafiğe sahiptir. Devlet destekli saldırılar ve kuruluşun hedeflenen coğrafi alanının dışındaki ülkelerden gelenler, normal bölgelerin dışından trafik göstergeleri oluşturur.
  • Yüksek kimlik doğrulama hataları: Hesap ele geçirme işlemlerinde, saldırganlar kimlik avı kimlik bilgilerini kullanarak kimlik doğrulaması yapmak için otomasyonu kullanır. Yüksek oranda kimlik doğrulama girişimi, bir saldırganın kimlik bilgilerini çaldığını ve ağa erişim sağlayan bir hesap bulmaya çalıştığını gösterebilir.
  • Veri tabanı okumalarında artış: İster SQL eklenmesi ister bir yönetici hesabı kullanılarak veri tabanına doğrudan erişim olsun, veri tabanı tablolarındaki verilerin dökümü bir saldırganın veri çaldığını gösterebilir.
  • Önemli dosyalarda aşırı istekler: Yüksek ayrıcalıklı bir hesap olmadan, saldırgan farklı açıklardan yararlanma girişimlerini araştırmak ve dosyalara erişmek için doğru güvenlik açığını bulmak zorunda kalır. Aynı IP veya coğrafi bölgeden çok sayıda erişim girişimi gözden geçirilmelidir.
  • Şüpheli yapılandırma değişiklikleri: Dosya, sunucu ve aygıtlardaki yapılandırmaların değiştirilmesi saldırgana ağda ikinci bir arka kapı sağlayabilir. Değişiklikler, kötü amaçlı yazılımların yararlanabileceği güvenlik açıkları da ekleyebilir.
  • Belirli bir siteye veya konuma taşan trafik: Cihazlardaki bir uzlaşma onları bir botnet’e dönüştürebilir. Bir saldırgan, güvenliği ihlal edilmiş cihaza belirli bir hedefe trafik taşması için bir sinyal gönderir. Birden fazla cihazdan belirli bir IP’ye yüksek trafik etkinliği, dahili cihazların dağıtılmış hizmet reddinin (DDoS) bir parçası olduğu anlamına gelebilir.

ioc-5

Bir uzlaşma göstergesi, bu göstergelerden biri veya birkaçı olarak tanımlanabilir. Bir adli araştırmacının işi, hangi güvenlik açığından yararlanıldığını belirlemek için tüm IoC kanıtlarını incelemektir.

Yanıtı İyileştirmek için IoC Güvenlik Algılamasını Kullanma

Bir olaydan sonra, IoC siber güvenlik önlemleri, neyin yanlış gittiğini belirlemek için kullanılabilir, böylece kuruluş aynı güvenlik açığından gelecekteki istismarlardan kaçınabilir.

Bazı durumlarda, kuruluşlar doğru kaynakları düzgün bir şekilde günlüğe kaydedemez ve izleyemez. Bu gözetim, onları bir soruşturmadan sonra tespit edilmekten kaçınabilecek bir saldırgana açık bırakır. Bir saldırıyı tespit etmek için önce ağda izleme uygulamak önemlidir, ancak araştırmalar için günlükler ve denetim izleri de aynı derecede önemlidir.

IoC veri noktaları, bir araştırma sırasında yanıt süresini azaltmak için gerçek zamanlı olarak toplanabilir. SIEM’ler, gürültüyü bir saldırıyı ve saldırı vektörlerini tanımlamak için gereken değerli kanıtlardan ayırmak için kullanılır. Mevcut olay müdahale prosedürlerini belgelemek, bir soruşturma için gereken süreyi de azaltabilir. Bu prosedürler, onları iyileştirmek için bir uzlaşmadan sonra gözden geçirilmelidir.

Olay yanıtı sırasında, “öğrenilen dersler” aşaması son adımdır. IOC’ler, bu aşamada, hangi siber güvenlik savunmalarının bir saldırganı durdurmak için yanlış yapılandırıldığını veya yetersiz olduğunu belirlemek için yararlı olacaktır. Kuruluşun ne kadar kapsamlı günlükleri ve denetim izleri varsa, olay müdahalesi sırasında soruşturmaları o kadar etkili olur.


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.


 

 [:en]

In simple terms, IoC can be expressed as evidence of a security breach, indicating inconsistencies or unusual activity in the organization’s network, that helps identify security threats, data breaches, insider threats, and more before harm can come from any cyberattack.

During a cybersecurity incident, indicators of compromise (IoC) are clues and evidence of a data breach. This evidence can reveal not only that an attack took place, but also what tools were used in the attack and who was behind these attacks.

IoCs not only act as a warning sign for impending attacks, but also help analyze what is happening. IoC data is collected after a suspicious event or packet flow over the network.

IoCs can also be used to determine the extent to which a compromise affects an organization and collect lessons learned to help protect the attack surface from future attacks. Indicators are often collected from software, including anti-malware and antivirus systems, but other artificial IoC cybersecurity tools can be used to collect and organize indicators during incident response.

IoCs are helped by experts to detect malicious activity. It is possible to detect malicious activities in the network early and intervene in a short time.

Tracking IoCs allows the organization to better perform at detecting and responding to security events. With the data it provides, IoCs help experts make informed decisions faster and more accurately.

ioc 1

Data that can be IoC;

  • Abnormal actions of privileged users
  • Deviant DNS requests
  • Excessive increase in web traffic
  • Increased database reading
  • Growing HTML response sizes
  • More than normal requests on the same file
  • changes to the registry.
  • Unknown files, apps and processes on the system.
  • Network traffic showing Brute Force attacks
  • IP addresses from different geographies

IOC Formats

  • MISP Malware Information Sharing Platform & Threat Sharing format – Features used in the MISP project, including the MISP kernel format.
  • Miter cyber observable eXpression (CybOX ™)- This site contains archived CybOX documentation.
  • Miter malware attribute Enumeration and Characterization (MAEC™) – A scheme for understanding malware.
  • Miter structured Threat Information eXpression (STIX™) – A structured language for cyber threat intelligence.
  • Wound – Pattern matching for malware researchers (and everyone else)
  • Swiss knife. mandiant /OpenIOC_1.1- This repository contains a revised schema, iocterms file, and other supporting documents that form the basis of the outline of the revised OpenIOC version we call OpenIOC 1.1.

Source of Compromise Indicator (IoC):

Reconciliation indicators can come from many sources and they fall into two categories of external agencies or internal sources.

External Agencies:

Outside agencies can be commercial or industry sources, or free IoC resources you can get online like the IOC bucket and MISP.

For example. Examples of commercial IoC resources are your antivirus or anti-malware vendors, and they all have a large library or collection of IoCs used. Some of the important free IoC resources we can use are Malware Information Sharing Platform or MISP and AlienVault OTX is a great resource in many different areas and there is also a dedicated IOC Buckets that lets you create your own IoCs and share them across the community.

Internal Resources:

There are several different ways we can collect logs and events that allow us to analyze and actually detect IoCs. These can come from commercially available systems, some free-to-use systems. (Like internal logs and event viewers). Some of the important ones will include unusual outgoing network traffic and geographic anomalies. An example of this would be your account users logging in from foreign locations or performing some kind of risky login activity, once again you can also detect IoC single sign-on failures by looking at a potential attack against one of your user accounts, increase in database read volume or You can also detect anomalies in traffic such as HTML response size anomalies, unusual DNS requests, and suspicious file and registry changes.

Why Use the IOC?

IOCs provide more context for security operations centers to know what is going on in the global threat landscape and the ability to scan their internal networks for such networks. This allows you to get up to speed so you can do history browsing and prioritize resources, so you know what to focus on.

Indicators of Consensus (IoC) Work?

Although malware authors always try to create software that avoids detection, every application leaves evidence of its presence on the network. These clues can be used to determine if the network is under attack or if a data breach has occurred. Forensic investigators use these clues to prepare countermeasures after a cybersecurity incident and gather evidence to file criminal charges against an attacker.

Think of compromise indicators as traces left by an attacker after a cybersecurity incident. Anti-malware applications can partially stop the event, but security breach indicators determine data and files that an attacker can access. They are especially important in finding vulnerabilities and exploits used by attackers to steal data because they inform the organization about ways to better protect the network in the future.

ioc 2

Types of Compromise Indicators:

IoCs fall into two main categories:

Network Based Indicators

Network-based indicators. These refer to everything related to the network connection. The URL of a website is a malicious indicator. A domain name can also be thought of as a Compromise Indicator. An infection scenario might involve redirecting all requests for a particular domain to a malicious website. IP addresses can be used as alternatives to URLs. For example, they can be embedded in malicious scripts to be used to download second-stage malware.

Examples:

  1. URL
  2. Web site
  3. Domain
  4. IP address

Host Based Indicators

The second important category is host-based indicators, these artifacts that can be found in a computer system itself. Windows-type malware uses certain locations to execute automatically even after the computer restarts. A special type of indicator is file hashes. These help us uniquely identify files based on their content. Examples:

  1. File name
  2. Path
  3. File Fingerprint or Hash
  4. File extention
  5. File location

What Are Examples of Compromise Indicators?

There are several indicators of compromise that your IT and information security teams should consider. Below you can find the 15 most obvious indicators of reconciliation.

  1. Anomalies Found in Privileged User Activity
  2. Red flags found on login event
  3. Perverted DNS requests
  4. Web traffic with inhuman behavior
  5. Unusual activity in outgoing network traffic
  6. geographic abnormalities
  7. Increased database read volume
  8. Unusual HTML response sizes
  9. Changes to mobile device profiles
  10. DDoS activity
  11. Misplaced data packets
  12. Conflicting port-application traffic
  13. More requests than usual for the same file
  14. Unusual changes to registry and/or system files
  15. Sudden patching of systems

Compromise indicators (IoC) and attack indicators (IoA)

What is IoC compared to IoA? Cybersecurity incidents have several stages. But in terms of investigations, there are two main concerns: Is the attack ongoing, or has the matter been brought under control? Researchers use indicators of compromise left by an attacker to answer both questions.

IoC security used during the incident response is used to determine the scope of an attack and data breached. Attack indicators (IoA) are used to determine whether an attack is underway and should contain it before it can cause more damage.

Both IoC cyber tools and IoA tools work with evidence and metadata that give researchers clues about the status of an attack. Compromise indicators are used when, after an attack is under control, the organization needs to know where, what, and how. Attack indicators focus on an existing attack that may be active and needs to be contained.

For highly secretive malware, a compromise can take months before administrators realize it. IoAs will help determine whether the suspicions are true or false positives.

ioc-3

Indicators of Compromise (IoC) and Indicators of Attack (IoA)?

Compromise indicators serve to detect security events and compromises, while attack indicators serve to detect attacker intent. To successfully contain and stop the attack, it is important to know what the attacker is trying to achieve. This is why attack indicators are important.

Compromise indicators help IT professionals and cybersecurity teams detect any intrusion, but to stop this intrusion, your security teams need to know what the attacker is planning. Knowing the attacker’s next move and intent gives the security team an edge.

Therefore, the data collected by the compromise indicators should be supported by the attack indicators.

ioc-4

Examples and types of consensus indicators

Large networks can have thousands of IOCs. Therefore, most evidence is collected and uploaded to IoC, SIEM systems to help forensic investigators organize the data. Evidence can come from a multitude of places, but here are a few items of discovery that can be used as an IoC:

  • Unusual outbound traffic: Attackers use malware to collect and send data to an attacker-controlled server. Outbound traffic during off-peak hours or traffic communicating with a questionable IP can indicate an IoC security threat.
  • High-privilege user activity irregularities on sensitive data: Compromised user accounts are used to access sensitive data. A high-privilege user account is required for an attacker to access data that has been locked from standard user accounts with basic permissions. A high-privilege user account accessing sensitive data during off-peak hours or infrequently accessed files could indicate that their credentials were phishing or stolen.
  • Activity from strange geographic regions: Most organizations have traffic from a targeted region. State-sponsored attacks and those from countries outside of the organization’s targeted geographic area generate traffic indications outside of normal zones.
  • High authentication errors: In account hijacking, attackers use automation to authenticate using phishing credentials. A high rate of authentication attempts may indicate that an attacker has stolen credentials and is trying to find an account that gains access to the network.
  • In database reads: Whether it is adding SQL or accessing the database directly using an administrator account, dumping data in database tables can indicate that an attacker has stolen data.
  • Excessive requests to important files: Without a high privilege account, an attacker would have to investigate different exploit attempts and find the right vulnerability to access files. Multiple access attempts from the same IP or geographic region should be reviewed.
  • Suspicious configuration changes: Changing configurations on files, servers, and devices can provide an attacker with a second backdoor on the network. Changes can also add vulnerabilities that malware can exploit.
  • Traffic overflowing to a specific site or location: A compromise on devices can turn them into a botnet. An attacker sends a signal to the compromised device to overflow traffic to a specific destination. High traffic activity from multiple devices to a given IP can mean that internal devices are part of a distributed denial of service (DDoS).

ioc-5

A consensus indicator can be defined as one or more of these indicators. A forensic investigator’s job is to examine all IoC evidence to determine which vulnerability has been exploited.

IoC Security Detection to Improve Response

After an incident, IoC cybersecurity measures can be used to identify what went wrong so the organization can avoid future exploits of the same vulnerability.

In some cases, organizations cannot properly log and monitor the right resources. This surveillance leaves them open to an attacker who can avoid detection after an investigation. It is important to first implement network monitoring to detect an attack, but logs and audit trails are equally important for investigations.

IoC data points can be collected in real time during an investigation to reduce response time. SIEMs are used to separate noise from the valuable evidence needed to identify an attack and its attack vectors. Documenting existing incident response procedures can also reduce the time required for an investigation. These procedures should be reviewed after a compromise to improve them.

During incident response, the “lessons learned” phase is the final step. The IOCs will be helpful at this stage to determine which cybersecurity defenses are misconfigured or insufficient to stop an attacker. The more extensive logs and audit trails an organization has, the more effective its investigations will be during incident response.


To request a quotation for the following: Cyber Security, Digital Transformation, MSSP, Penetration Testing, KVKK, GDPR, ISO 27001 and ISO 27701, please click here.


 [:]

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram