IOC چیست؟ بررسی مفهوم Indicator Of Compromise در امنیت
مفهوم IoC در امنیت مفهومی هست به چه مبحث متنوع اشاره دارد و به صورت کلی اطلاعاتی در رابطه با شواهد یک رخداد و یا حمله امنیتی میباشد. از IoC برای فرآیند های متنوعی به شکل های متنوعی بهرهمیبرند. مفهوم IoC مفهومی میباشد که استفاده آن در حوزه Forensic میباشد و اغلب برای ارائه توضیحات و شواهد و مدارک متنوع از رخداد امنیتی و یا یک نقص در نرم افزار و یا شبکه میشود و توسط Forensic Investigator ها مورد تجزیه و تحلیل قرار میگیرند. معمولا Forensic Investigator ها پس از مطلع شدن از یک رخداد امنیتی و یا یک نقض امنیتی شروع به جمع آوری این IoC ها میکنند. به صورت کلی این IoC ها برای شناسایی حملات بعدی و جلوگیری از آنها در نرم افزار ها و محصولات امنیتی بکارگیری میشوند. برای مثال زمانی که یک نرم افزار ضد ویروس از Digital Signature یک ویروس یا بد افزار برای کشف آن استفاده میکند درواقع Digital Signature مورد نظر یک IoC میباشد. همچنین IoC در تجزیه و تحلیل های Heuristic نیز کاربرد دارد.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
نحوه کار IoC به چه شکل میباشد؟
پس از اینکه متوجه شدیم مفهوم IoC به چه معنا میباشد میبایست بررسی کنیم که IoC ها چگونه کار میکنند و چگونه ایجاد میشوند؟! خیلی ساده است این موضوع، درواقع فعالیت های متنوع مخرب و غیر مخربی که در هنگام وقوع یک حمله انجام میشود دارای ردپاهای متنوعی میباشد که این ردپاهارا میتوان جمع آوری کرد و در اختیار کارشناسان حوزه Forensic قرار داد. علاوه بر این از این ردپاها در نرم افزار های امنیتی نیز میتوان استفاده کرد که توانایی کشف حملات مختلف و Malware های مرتبط را داشته باشند. درواقع IoC هارا با عنوان اطلاعات جرم شناسی دیجیتال و یا همان Digital Forensic Data نیز میشناسند که به این موضوع در بالا تاحدودی اشاره کردیم.
چندمثال از IoC
اولین IoC: ترافیک های غیرمعمول در شبکه یا همان Unusual Network Traffic
یکی از IoC های که میبایست به آن توجه شود ترافیک های موجود در شبکه است اعم از ترافیک های خروجی به سمت بیرون و ترافیک های ورودی به سمت داخل. میبایست نظارت کافی بر روی میزان حجم داده ها و تعداد بسته ها وجود داشته باشد و همچنین بر میزان و مدت ماندگاری داده ها درون شبکه و علاوه بر این قسمت مهم ترافیک ها و داده قسمت خروجی آن میباشد و میبایست کنترل زیادی بر روی داده های خروجی از سازمان خودمان داشته باشیم هرچند ترافیک های ورودی و خروجی به یک اندازه حائز اهمیت هستند.
دومین IoC - دسترسی های غیرمجاز:
یکی از IoC مهم نظارتی میتواند این موضوع باشد زیرا درصورتی که حساب های کاربری با دسترسی بالا در یک شبکه یا سیستم خاصی وجود داشته باشد که بتواند به دست افراد مهاجم برسد و اختلالاتی را در آن محیط ایجاد کنند اصلا برای ما خوش آیند نمیباشد و علاوه بر این موضوع میتواند یک IoC خوب باشد.
سومین IoC - حملات بستر Database:
در سازمان ها معمولا اطلاعات متنوع و مهم خود را در پایگاه های داده قرار میدهند به سبب همین موضوع نفوذ و آسیب رساندن به پایگاه های داده یکی از قسمت های محبوب توسط هکر ها میباشد.
چهارمین IoC - ترافیک های DNS غیرمعمول:
یکی از IoC های مهم میتواند ترافیک های DNS باشد زیرا از پروتکل DNS به منظور فرار از تجهیزات امنیتی استفاده میشود و اکثر ارتباطات مابین C&C Server و BotNet ها به واسطه پروتکل DNS است.