什么是IOC?应该如何识别和响应?

近期,Wireshark大学和虹科AllegroPackets联合举办了网络取证和入侵分析线上培训课程,这是亚太地区的首次培训,目的是为了帮助企业熟练运用Allegro流量分析仪和Wireshark,准确识别失陷指标(IoC)。还将有机会与前黑帽(Blackhat)取证调查员PhillShade一同探讨真实世界的网络取证案例研究哦。

夏雨

资深网络工程师

网络工程师,专攻网络通信,负责网络流量监控的产品技术服务和售后服务,经验丰富,响应迅速。

一、网络安全中的IOC是什么

IndicatorsofCompromise(IOC),也被称为失陷指标,经常用于取证调查场景,指的是网络攻击或安全漏洞导致的主机受损的证据,比如恶意文件哈希值,恶意软件的特征,恶意的IP地址、URL、域名等被动识别的信标。这些指标是恶意行为者留下的有形线索或痕迹,有助于企业识别、分析、调查和修复网络安全事件,使企业能够迅速做出反应,减轻漏洞造成的影响。

二、IOC和IOA有什么区别

总之,IOA侧重于通过识别正在进行的攻击中的可疑行为和活动来检测和预防攻击,而IOC则用于通过分析入侵后留下的线索来追溯性地识别和调查安全事件。IOA和IOC在增强组织的整体安全态势和事件响应能力方面都发挥着至关重要的作用。

三、IOC有哪些类型

基于网络型。基于网络的IOC包括异常流量模式或意外使用协议或端口等事件。例如,访问某个特定网站的流量可能突然增加,或者与已知恶意的URL、IP地址或域的连接出现意外。

基于主机型。基于主机的IOC可揭示单个端点上的可疑行为。它们可能包括各种潜在威胁,包括未知进程、可疑哈希文件或其他类型的文件、系统设置或文件权限的更改,或文件名、扩展名或位置的更改。基于文件的IOC有时与基于主机的IOC分开处理。

通过使用各种类型的IOC,安全团队可以更有效地检测和应对安全漏洞,并更积极地预防安全漏洞。

四、IOC的常见示例有哪些

1、异常出站网络流量

2、网络钓鱼电子邮件

3、特权用户账户活动异常

特权用户账户通常可以访问网络或应用程序的特殊或特别敏感的区域。因此,如果发现异常情况,就可以帮助IT团队在攻击过程中及早识别,从而避免造成重大损失。异常情况可能包括用户试图提升特定账户的权限,或使用该账户访问其他拥有更多权限的账户。

4、地理位置异常

6、数据库读取量激增

当攻击者试图外泄数据时,他们的努力可能会导致读取量膨胀。当攻击者收集用户信息并试图提取时,就会出现这种情况。

7、HTML响应大小

如果典型的超文本标记语言(HTML)响应大小相对较小,但注意到响应大小要大得多,这可能表明数据已被外泄。当数据传输给攻击者时,大量数据会导致更大的HTML响应大小。

8、对同一文件的大量请求

黑客经常反复尝试请求他们试图窃取的文件。如果同一文件被多次请求,这可能表明黑客正在测试几种不同的文件请求方式,希望找到一种有效的方式。

9、不匹配的端口应用流量

攻击者在实施攻击时可能会利用不明显的端口。应用程序使用端口与网络交换数据。如果使用的端口不正常,这可能表明攻击者试图通过应用程序渗透网络或影响应用程序本身。

10、可疑的注册表或系统文件更改

Windows注册表包含敏感信息,例如操作系统和应用程序的配置设置和选项。不断修改注册表可能表明攻击者正在创建用于执行恶意代码的系统。恶意软件通常包含更改注册表或系统文件的代码。如果出现可疑更改,则可能是IOC。建立基线可以更容易地发现攻击者所做的更改。

11、DNS请求异常

黑客经常使用命令与控制(C&C)服务器通过恶意软件入侵网络。C&C服务器会发送命令以窃取数据、中断网络服务或用恶意软件感染系统。如果域名系统(DNS)请求异常,特别是来自某个主机的请求,这可能就是IOC。

此外,请求的地理位置可以帮助IT团队发现潜在问题,尤其是当DNS请求异常国家或地区的合法用户时。

12、未知软件安装

系统上突然出现未知的文件、服务、进程或应用程序,例如意外的软件安装。

五、IOC解决方案和工具

企业需要制定强大的安全策略来有效识别和响应IOC,例如:

1、扩展检测和响应(XDR)平台

2、终端安全防护平台

这些平台允许安全团队收集、搜索和执行针对IoC的规则。例如Morphisec,它可识别并记录IOC,生成警报并生成报告,使安全团队能够及时采取行动。同时Morphisec也可以阻止绕过基于签名或基于行为的检测的最危险攻击,补充并增强下一代防病毒和终端检测与响应解决方案。

3、安装自动检查工具

反病毒和反恶意软件工具可以帮助检测和消除系统中被识别为IoC的恶意代理。不过,即使使用了先进的工具,也要记住零日攻击(软件、硬件和安全社区未知的新攻击)可能不会被这些工具检测到,并造成严重破坏。因此,不应完全依赖这些工具。

4、网络流量监控和分析工具

5、紧跟技术前沿趋势和报告

从可靠的公开IoC信息源网站了解有关IoC的趋势和报告。此外,公认的IoC的内部数据库可以集成到监控工具和SIEM中。

Allegro网络万用表是一款功能强大的实时网络万用表,用于检测网络问题。它测量从第2层到第7层的许多性能参数,用于故障排除和网络分析。Allegro彻底改变了网络分析的市场,用移动设备分析大量的数据包,提供了一个结合以前解决方案优势的调试工具。

艾体宝公司(itbigtec.com)是一家前瞻性的技术企业,专注于提供尖端的数据存储、数据智能、全面的安全与合规性,以及高效的网络监控与优化服务解决方案。我们的使命是通过技术创新,赋能企业在复杂的数字化转型浪潮中实现卓越的运营。

THE END
1.IP网络主动测评系统——XVision(1)可视:网络端到端质量、业务系统服务健康度、网络节点响应健康度可视化 (2)可知:网络及服务异常状况尽快知晓 (3)可诊:丰富网络诊断手段,提高诊断效率 3.分布部署、集中控制,便于运维管理 基于WEB的控制平台本地或者云部署+主动监测探针分布式部署 4.主动监测探针形态 (1)硬件探针 (2)软件探针 5.主动监测模式灵https://zhuanlan.zhihu.com/p/538880817
2.终端检测响应平台安全接入终端检测响应平台,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统http://www.gianttecloud.com/index.php?a=show&catid=61&id=19
3.终端检测响应平台EDR终端安全是影响信息系统安全的根源。从攻击者的角度来看,无论发起多么复杂的攻击,在网络中经历多少环节,采用多少高级技术,这些攻击动作必须通过某一个或多个终端才能完成。企业级用户急需更加有效应对未知威胁的下一代终端安全。 产品概述 终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端http://www.huawenit.cn/product/31.html?productCateId=10
4.终端检测响应平台EDR深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终http://www.haihuiit.com/chanpinzhongxin/anquan/shenxinfu/741.html
5.终端检测响应平台安装教程操作方法操作指南服务师生终端检测响应平台安装教程 打开浏览器在地址栏输入ip地址:202.193.128.12,然后点击下方下载链接下载。(如有提示您与该网站的连接不是私密连接,存在安全隐患。直接点击忽略警告,如下图) 点击保存或者直接打开(浏览器不同下载方式不同) 找到下载文件双击打开运行安装。https://xdjy.gltu.edu.cn/fwss/czzn/czzn2/content_48123
6.终端检测响应EDR深信服edr监控员工终端检测响应平台(EDR) EDR是深信服公司提供的一套终端安全解决方案,方案有云端、轻量级的端点安全软件(Agent)和管理平台软件(MGR)共同组成。 云端主要负责平台的升级、病毒库的升级、云查杀。 MGR负责管理维护所有Agent终端。支持统一的终端资产管理、终端病毒查杀、终端合规检查、支持对安全事件的一键隔离处置,以及热点https://blog.csdn.net/qq_42095742/article/details/103475606
7.终端威胁检测与响应(EDR)技术研究及发展研判国内外的安全公司(尤其是综合性的大公司)也都纷纷布局终端威胁检测与响应产品,国内有深信服的终端检测响应平台EDR、天融信的TopEDR、奇安信的天擎,国外有Comodo的Comodo Advanced Endpoint Protection(AEP)、卡巴斯基的Kaspersky Endpoint Detetion And Response (KEDR)、CrowdStrike的Falcon Host等。 https://www.secrss.com/articles/25676
8.深信服入侵防御设备EDR(深信服终端检测响应平台软件V3.0)V3.04、基于勒索病毒攻击过程,建立多维度立体防护机制,提供事前入侵防御-事中反加密-事后检测响应的完整防护体系,展示勒索病毒处置情况,对勒索病毒及变种实现专门有效防御。 5、支持客户端的错峰升级或灰度升级,可根据实际情况控制客户端同时升级的最大数量,避免大量终端程序同时更新造成网络拥堵或I/O风暴。 https://www.nmglyxx.cn/product/show/210.html
9.深信服务终端检测响应平台软件EDRV3.0型号: 编号:999005 品牌:深信 单位:套 ¥88636.36 数量:库存充足 编号:999005 品牌:深信 型号: 名称: 规格: 单位:套 描述: 颜色: 价格对比图 年度价格比对https://www.fulloffice.cn/detail/product-999005.html
10.成都市第四人民医院服务器终端检测与响应平台系统采购项目市场我院拟对适用于医院的服务器终端检测与响应平台系统开展市场调研,公开征集相关资料。请具备合格资质,具有同类项目供应经验和服务能力的厂商将相关资料按要求,在规定的时间内将电子资料发至我院指定邮箱。 一、报名时间: 2024年8月14日——2024年8月16日(3个工作日) https://www.cd-psychologist.com/4120/news/shichangdiaoyan/2024/0814/28374.html
11.深信服EDR终端检测与响应平台软件V3.0参数配置规格性能功能苏宁易购为您提供最全的深信服EDR终端检测与响应平台软件V3.0参数配置、规格、性能、功能等详细信息。想了解更多深信服EDR终端检测与响应平台软件V3.0相关信息,请关注苏宁易购。https://www.suning.com/itemcanshu/0000000000/12385538964.html
12.未来智安XDR扩展威胁检测响应系统平台HW、重保演习、平时威胁检测快速响应:全面统一的基于流量和终端的威胁检测能力,通过平台强大的关联分析引擎结合终端、流量侧数据精准定位攻击事件并配合SOAR及WarRoom模块实现威胁事件快速研判处置和安全运维人员协同联动。 海量威胁告警治理:利用平台自研的告警治理引擎,结合异构数据中终端侧和流量侧告警数据,提取其中的可关联https://www.ncsti.gov.cn/kjdt/ztbd/gjjcyfw/rengongzhineng/rengongzhinengkjcgzs/202205/t20220510_77633.html
13.深信服科技(SANGFOR)EDR(深信服终端检测响应平台软件V3.0)行情电脑、办公>服务产品>电脑软件>深信服科技(SANGFOR) >深信服科技EDR自营 深信服科技(SANGFOR)京东自营旗舰店 登录查看更多图片 > 深信服科技(SANGFOR)EDR(深信服终端检测响应平台软 京东价 ¥ 促销 展开促销 配送至 --请选择-- 支持 加入购物车 https://item.jd.com/100026906881.html
14.EDR解决方案FortiEDR终端检测和响应解决方案终端检测和响应解决方案 FortiEDR 为用户提供与 Fortinet Security Fabric 和其他安全产品无缝集成的自动化终端安全解决方案 免费产品演示 概述 FortiEDR 可自动高效地实时识别和拦截各类漏洞利用行为。作为 Fortinet SecOps 平台重要组件之一,FortiEDR 可主动缩小攻击面,防止恶意软件感染,快速检测并消除潜在威胁,并支持通过https://www.fortinet.com/cn/products/endpoint-security/fortiedr
15.深信服EDR终端检测与响应(杀毒)深信服终端安全检测响应平台-EDR 新时代下企业级终端安全面临严峻挑战 相较于个人终端而言,企业终端、数据等资产价值更高,由终端、服务器等不同软硬件所组成办公局域网,带来更为复杂的病毒来源、感染、传播途径,正因此企业用户面临更为严峻的终端安全挑战,对防护、管理、应用等多方面提出更高要求。 https://www.jinset.com/productinfo/1877457.html
16.防火墙等保一体机(含硬件平台+日志审计系统+终端检测与响应南京途天信息科技025-86883033是南京MAXHUB代理商,南京深信服金牌代理,江苏天融信代理商,销售MAXHUB会议平板、深信服、天融信安全设备。产品涵盖:南京天融信防火墙、南京深信服防火墙、南京等保设备、等保二级、等保三级设备、IDS、IPS、日志审计、上网行为管理、网络管http://njttu.com/page10?product_id=404
17.全面围剿挖矿病毒,深信服解决您“快速检测轻量部署的”燃眉之急终端检测响应平台EDR+挖矿处置专项安全服务 一旦在用户网络中发现挖矿病毒,深信服建议用户在网络中部署终端检测响应平台EDR,通过结合深信服挖矿处置专项安全服务,以“工具+服务”的方式实现全网挖矿病毒处置工作。 挖矿病毒的处置主要包括Linux系统与Windows系统的处置: https://www.51cto.com/article/692875.html
18.SASE终端安全检测与响应SASE 服务将终端安全检测与响应能力在云上以服务化模式交付,通过云安全访问服务(Sangfor Access)来落地实现,提供SaaS化的终端安全管理平台。企业无需部署传统安全设备,只需在终端上部署轻量级终端安全软件,按需订阅终端安全检测与响应服务,即可实时掌握和处置全网终端安全威胁和风险。 https://www.ecloud.hk/service-81.html
19.哪些勒索病毒检测工具适合企业使用?深信服终端检测与响应平台(EDR)是中国深信服公司推出的一款专业的终端安全产品。它采用了先进的勒索病毒检测和防御技术,能够有效保护企业终端的安全。 功能类型:深信服EDR提供了全面的终端安全防护功能,包括病毒查杀、系统监控、网络防护等。它采用了基于行为分析的检测技术,能够实时监控和分析终端的运行状态,及时发现和处理https://www.banlikanban.com/info/tool/toolbag/7344.html