امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

IOC چیست؟ بررسی مفهوم Indicator Of Compromise در امنیت

مفهوم IoC در امنیت مفهومی هست به چه مبحث متنوع اشاره دارد و به صورت کلی اطلاعاتی در رابطه با شواهد یک رخداد و یا حمله امنیتی میباشد. از IoC برای فرآیند های متنوعی به شکل های متنوعی بهره‌میبرند. مفهوم IoC مفهومی میباشد که استفاده آن در حوزه Forensic میباشد و اغلب برای ارائه توضیحات و شواهد و مدارک متنوع از رخداد امنیتی و یا یک نقص در نرم افزار و یا شبکه میشود و توسط Forensic Investigator ها مورد تجزیه و تحلیل قرار میگیرند. معمولا Forensic Investigator ها پس از مطلع شدن از یک رخداد امنیتی و یا یک نقض امنیتی شروع به جمع آوری این IoC ها میکنند. به صورت کلی این IoC ها برای شناسایی حملات بعدی و جلوگیری از آنها در نرم افزار ها و محصولات امنیتی بکارگیری میشوند. برای مثال زمانی که یک نرم افزار ضد ویروس از Digital Signature یک ویروس یا بد افزار برای کشف آن استفاده میکند درواقع Digital Signature مورد نظر یک IoC میباشد. همچنین IoC در تجزیه و تحلیل های Heuristic نیز کاربرد دارد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

IOC چیست؟ بررسی مفهوم Indicator Of Compromise در امنیت

نحوه کار IoC به چه شکل میباشد؟

پس از اینکه متوجه شدیم‌ مفهوم IoC به چه معنا میباشد میبایست بررسی کنیم که IoC ها چگونه کار میکنند و چگونه ایجاد میشوند؟! خیلی ساده است این موضوع، درواقع فعالیت های متنوع مخرب و غیر مخربی که در هنگام وقوع یک حمله انجام میشود دارای ردپاهای متنوعی میباشد که این ردپاهارا میتوان جمع آوری کرد و در اختیار کارشناسان حوزه Forensic قرار داد. علاوه بر این از این ردپاها در نرم افزار های امنیتی نیز میتوان استفاده کرد که توانایی کشف حملات مختلف و Malware های مرتبط را داشته باشند. درواقع IoC هارا با عنوان اطلاعات جرم شناسی دیجیتال و یا همان Digital Forensic Data نیز می‌شناسند که به این موضوع در بالا تاحدودی اشاره کردیم.

چندمثال از IoC

ما در دنیای امنیت میتوانیم مثال های متعددی از IoC داشته باشیم و به صورت ساده IoC ها اغلب میتوانند یک آدرس IP کد گذاری شده و یا یک مقدار Hash (برای مثال MD5 ) و یک دامنه C&C Server و یا یک کلید رجیستری و یک فایل ساده باشند. این IoC ها دائما درحال تغییر میباشند و به همین واسطه ایجاد یک فرآیند امنیتی را برای سازمان سخت میکنند. از IoC ها همچنین میتوانیم برای کشف نفوذگران نیز استفاده کنیم. درواقع IoC ها به شکل های متنوعی میتوانند ارائه شوند و همیشه به یک صورت نمیباشند و همه حملات دارای IoC میباشند که در این بخش میخواهیم چند نوع از رایج ترین IoC هارا بررسی کنیم:

اولین IoC: ترافیک های غیرمعمول در شبکه یا همان Unusual Network Traffic

یکی از IoC های که میبایست به آن توجه شود ترافیک های موجود در شبکه است اعم از ترافیک های خروجی به سمت بیرون و ترافیک های ورودی به سمت داخل. میبایست نظارت کافی بر روی میزان حجم داده ها و تعداد بسته ها وجود داشته باشد و همچنین بر میزان و مدت ماندگاری داده ها درون شبکه و علاوه بر این قسمت مهم ترافیک ها و داده قسمت خروجی آن میباشد و میبایست کنترل زیادی بر روی داده های خروجی از سازمان خودمان داشته باشیم هرچند ترافیک های ورودی و خروجی به یک اندازه حائز اهمیت هستند.

دومین IoC - ‌دسترسی های غیرمجاز:

یکی از IoC مهم نظارتی میتواند این موضوع باشد زیرا درصورتی که حساب های کاربری با دسترسی بالا در یک شبکه یا سیستم خاصی وجود داشته باشد که بتواند به دست افراد مهاجم برسد و اختلالاتی را در آن محیط ایجاد کنند اصلا برای ما خوش آیند نمیباشد و علاوه بر این موضوع میتواند یک IoC خوب باشد.

سومین IoC - حملات بستر Database:

در سازمان ها معمولا اطلاعات متنوع و مهم خود را در پایگاه های داده قرار میدهند به سبب همین موضوع نفوذ و آسیب رساندن به پایگاه های داده یکی از قسمت های محبوب توسط هکر ها میباشد.

IOC چیست؟ بررسی مفهوم Indicator Of Compromise در امنیت

چهارمین IoC - ترافیک های DNS غیرمعمول:

یکی از IoC های مهم میتواند ترافیک های DNS باشد زیرا از پروتکل DNS به منظور فرار از تجهیزات امنیتی استفاده میشود و اکثر ارتباطات مابین C&C Server و BotNet ها به واسطه پروتکل DNS است.

IOC چیست؟ بررسی مفهوم Indicator Of Compromise در امنیت


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

مهندس و مدرس شبکه و امنیت شبکه, دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان مدرس در TOSINSO مشغول به فعالیت هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

10 اردیبهشت 1400 این مطلب را ارسال کرده

نظرات