مفهوم IoC در امنیت مفهومی هست به چه مبحث متنوع اشاره دارد و به صورت کلی اطلاعاتی در رابطه با شواهد یک رخداد و یا حمله امنیتی میباشد. از IoC برای فرآیند های متنوعی به شکل های متنوعی بهرهمیبرند. مفهوم IoC مفهومی میباشد که استفاده آن در حوزه Forensic میباشد و اغلب برای ارائه توضیحات و شواهد و مدارک متنوع از رخداد امنیتی و یا یک نقص در نرم افزار و یا شبکه میشود و توسط Forensic Investigator ها مورد تجزیه و تحلیل قرار میگیرند. معمولا Forensic Investigator ها پس از مطلع شدن از یک رخداد امنیتی و یا یک نقض امنیتی شروع به جمع آوری این IoC ها میکنند. به صورت کلی این IoC ها برای شناسایی حملات بعدی و جلوگیری از آنها در نرم افزار ها و محصولات امنیتی بکارگیری میشوند. برای مثال زمانی که یک نرم افزار ضد ویروس از Digital Signature یک ویروس یا بد افزار برای کشف آن استفاده میکند درواقع Digital Signature مورد نظر یک IoC میباشد. همچنین IoC در تجزیه و تحلیل های Heuristic نیز کاربرد دارد.
پس از اینکه متوجه شدیم مفهوم IoC به چه معنا میباشد میبایست بررسی کنیم که IoC ها چگونه کار میکنند و چگونه ایجاد میشوند؟! خیلی ساده است این موضوع، درواقع فعالیت های متنوع مخرب و غیر مخربی که در هنگام وقوع یک حمله انجام میشود دارای ردپاهای متنوعی میباشد که این ردپاهارا میتوان جمع آوری کرد و در اختیار کارشناسان حوزه Forensic قرار داد. علاوه بر این از این ردپاها در نرم افزار های امنیتی نیز میتوان استفاده کرد که توانایی کشف حملات مختلف و Malware های مرتبط را داشته باشند. درواقع IoC هارا با عنوان اطلاعات جرم شناسی دیجیتال و یا همان Digital Forensic Data نیز میشناسند که به این موضوع در بالا تاحدودی اشاره کردیم.
یکی از IoC های که میبایست به آن توجه شود ترافیک های موجود در شبکه است اعم از ترافیک های خروجی به سمت بیرون و ترافیک های ورودی به سمت داخل. میبایست نظارت کافی بر روی میزان حجم داده ها و تعداد بسته ها وجود داشته باشد و همچنین بر میزان و مدت ماندگاری داده ها درون شبکه و علاوه بر این قسمت مهم ترافیک ها و داده قسمت خروجی آن میباشد و میبایست کنترل زیادی بر روی داده های خروجی از سازمان خودمان داشته باشیم هرچند ترافیک های ورودی و خروجی به یک اندازه حائز اهمیت هستند.
یکی از IoC مهم نظارتی میتواند این موضوع باشد زیرا درصورتی که حساب های کاربری با دسترسی بالا در یک شبکه یا سیستم خاصی وجود داشته باشد که بتواند به دست افراد مهاجم برسد و اختلالاتی را در آن محیط ایجاد کنند اصلا برای ما خوش آیند نمیباشد و علاوه بر این موضوع میتواند یک IoC خوب باشد.
در سازمان ها معمولا اطلاعات متنوع و مهم خود را در پایگاه های داده قرار میدهند به سبب همین موضوع نفوذ و آسیب رساندن به پایگاه های داده یکی از قسمت های محبوب توسط هکر ها میباشد.
یکی از IoC های مهم میتواند ترافیک های DNS باشد زیرا از پروتکل DNS به منظور فرار از تجهیزات امنیتی استفاده میشود و اکثر ارتباطات مابین C&C Server و BotNet ها به واسطه پروتکل DNS است.
مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو
متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider میباشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود