Индикатор компрометации - Indicator of compromise

Индикатор взлома (IoC) в компьютерная экспертиза это артефакт, наблюдаемый на сеть или в Операционная система что с большой уверенностью указывает на компьютерное вторжение.[1]

Виды индикации

Типичные IoC: сигнатуры вирусов и IP-адреса, MD5 хеши из вредоносное ПО файлы или URL-адреса или доменные имена из ботнет серверы управления и контроля. После того, как IoC были идентифицированы с помощью процесса реакция на инцидент и компьютерная криминалистика, их можно использовать для раннего обнаружения будущих попыток атак с помощью системы обнаружения вторжений и антивирусная программа.

Автоматизация

Существуют инициативы по стандартизации формата дескрипторов IoC для более эффективной автоматизированной обработки.[2][3] Обмен известными индикаторами обычно происходит внутри отрасли, где Протокол светофора используется.[4][5][6][7][8][9][10]

Смотрите также

Рекомендации

  1. ^ Граджидо, Уилл (3 октября 2012 г.). «Понимание индикаторов взлома (IoC), часть I». RSA. Архивировано из оригинал 14 сентября 2017 г.. Получено 5 июня, 2019.
  2. ^ «Формат обмена описанием объекта инцидента». RFC 5070. IETF. Декабрь 2007 г.. Получено 2019-06-05.
  3. ^ «Введение в STIX». Получено 2019-06-05.
  4. ^ "FIRST объявляет о выпуске протокола светофора (TLP) версии 1.0". Форум групп реагирования на инциденты и безопасности. Получено 2019-12-31.
  5. ^ Луийф, Эрик; Кернкамп, Аллард (март 2015 г.). «Обмен информацией о кибербезопасности» (PDF). Глобальная конференция по киберпространству 2015. Toegepast Natuurwetenschappelijk Onderzoek. Получено 2019-12-31.
  6. ^ Стиквоорт, Дон (11 ноября 2009 г.). «ISTLP - Протокол обмена информацией о светофоре» (PDF). Надежный продюсер. Национальный координационный центр безопасности инфраструктуры. Получено 2019-12-31.
  7. ^ «Разработка политик защиты критических информационных инфраструктур» (PDF). Организация экономического сотрудничества и развития (ОЭСР). Получено 2019-12-31.
  8. ^ «ISO / IEC 27010: 2015 [ISO / IEC 27010: 2015] | Информационные технологии - Методы безопасности - Управление информационной безопасностью для межсекторальных и межорганизационных коммуникаций». Международная организация по стандартизации /Международная электротехническая комиссия. Ноябрь 2015. Получено 2019-12-31.
  9. ^ «Определения и использование протокола светофора (TLP)». Министерство внутренней безопасности США. Получено 2019-12-31.
  10. ^ «Протокол светофора». Центр защиты критической инфраструктуры. Архивировано из оригинал на 2013-02-05. Получено 2019-12-31.