了解 IoA 和 IoC
我们先来简单看看这两个指标的定义。
IoC 是什么?
入侵指标 (IoC) 指的是在网络或设备上发现的数据物件,可作为系统疑遭入侵的证据:例如,不属于系统目录的文件或可疑 IP 地址。IoC 是“确凿证据”,即已遭受损害的事后指标。网络安全专业人员利用 IoC 来调查事件造成的影响,并训练他们的工具和技术,以更好地检测和隔离日后可能出现的威胁。
IoC 的一些常见示例:
·异常 DNS 查找
·可疑文件、应用程序和进程
·属于僵尸网络或恶意软件命令和控制(C&C 或 C2)服务器的 IP 地址和域名
·已知恶意软件的攻击签名或文件哈希值
·异常大小的 HTML 响应
·对配置文件、寄存器或设备设置的未经授权修改
IoA 是什么?
攻击指标 (IoA) 是攻击者可能企图破坏系统的预警信号。它将各种数据片段(包括未知属性、IoC 和上下文信息,例如组织风险和情报)构建成潜在威胁的动态实时态势图。IoA 并非为了识别特定的恶意工具,而是通过关注所有攻击者为破坏系统而必须采取的步骤(例如侦察、初始访问、执行)来识别攻击者的战略意图。IoA 对于检测新的、复杂的网络攻击形式(例如无恶意软件入侵和零日攻击)至关重要。
IoA 的一些常见示例:
从本质上看,列出典型的 IoA 不如 IoC 直接,因为 IoA 是含有上下文的综合性信息片段组合。但有些特定的行为可以作为攻击者企图渗透系统的指标:
·多次访问一个文件
·管理员或特权用户账户出现可疑活动
·意外的软件更新
·通过很少使用的端口传输数据
·网站上出现非典型的人为行为
·多次登录尝试失败
·站内主机与恶名昭著的互联网资源或与业务范围之外的国家/地区进行通信
IoC 和 IoA:两者有什么区别?
IoC 和 IoA 可通过以下四种简单的方法进行区分:
具体工具与动机:
IoC 专注于攻击者为实现其意图而使用的特定文件和采取的行动,而 IoA 则专注于这些意图本身。IoC 关注“如何?”,而 IoA 关注“为什么?”。
恶意与不一定恶意
IoC 本身代表的是恶意行为,因为它们是安全性已遭到破坏的证据,所以怎么可能是善意的呢?另一方面,IoA 代表的是根据上下文被判定为具有威胁性的行为。
例如,端口扫描本身不是恶意活动;无害的扫描器可能会执行端口扫描以检查一切是否正常。但是,如果还有其他上下文数据,例如表明站内主机使用非典型端口与站外主机通信的日志,那么这就是 IoA:在侦察阶段,无害的端口扫描器可能成为潜在攻击者,扫描您的网络是否存在任何漏洞。
静态与动态
IoC 被称为“静态”指标,因为网络攻击的构成元素(例如,后门、C&C 连接、IP 地址、事件日志、哈希值)不会随时间变化。这是标准威胁情报的基本概念:使用此类已知恶意构成元素的数据库来识别传入威胁。
但如果您面临的是未知的新型威胁和不熟悉的构成元素,或者确实是无恶意的攻击,该怎么办?IoC 发挥不了作用,因为匹配不到任何恶意行为。但无论是否使用了新构成元素(或根本不使用),攻击者在实施网络攻击的整个过程中必须经历一系列类似的阶段。IoA 旨在识别这些潜在的、稳定的攻击模式,因此可以检测出全新的威胁。
因此,IoA 被称为“动态”指标:在整个攻击阶段和切换攻击手段的过程中,网络犯罪活动是动态的,而 IoA 检测方法可以实时识别和跟踪这些正在发生的行为。
被动与主动
IoC 是被动的:破坏行为已经发生,而 IoC 就像是犯罪现场留下的线索。不幸的是,这有点太晚了,可能需要付出高昂的成本来应对破坏事件,修复造成的损坏并恢复系统。
另一方面,IoA的作用体现在攻击的初始阶段;它们是可能发生攻击的预警信号。因此,识别 IoA 可以让安全团队主动拦截和阻止攻击,防患于未然。这显然对保护系统的安全更为有利,因为组织可以避免代价高昂的破坏行为,而安全团队也不必花时间在事后取证调查中“拼凑”各条线索。
简单来说,两者的区别在于:IoC 是破坏已经发生的证据,而 IoA 是破坏可能发生的证据。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/26520.html