Indicadores de comprometimento

Quais são os indicadores de comprometimento?

Indicadores de comprometimento (IOCs) são evidências forenses de discrepâncias ou atividades incomuns na rede da organização, que ajudam a identificar ameaças à segurança, violações de dados, ameaças internas, e muito mais, antes que qualquer dano ocorra. Os IOCs não funcionam apenas como um sinal de alerta para ataques iminentes, mas também ajudam a analisar o que aconteceu. Ao aprender sobre possíveis ameaças à segurança, as organizações podem implementar suas próprias medidas de segurança para limitar ou evitar danos à sua rede.

Tipos de indicadores de comprometimento

Existem cinco tipos principais de IoCs que você pode usar para identificar se seu ambiente foi comprometido:

  1. IoCs baseados em arquivos: Downloads de arquivos maliciosos podem infectar o ecossistema da organização. Eles são identificados por tipos de extensão de arquivo atípicos, nomes e caminhos de arquivo incomuns, hashes de arquivo maliciosos e anomalias de tamanho de arquivo.
  2. IoCs baseados em rede: Quaisquer atividades suspeitas que ocorram na rede são indicadas por IoCs baseados em rede, como endereços IP, nomes de domínio ou URLs maliciosos. Picos repentinos no tráfego de rede também podem indicar que a rede foi comprometida.
  3. IoCs comportamentais: Quaisquer atividades que se desviem do funcionamento normal de sistemas ou usuários, como múltiplas tentativas de login malsucedidas, comportamento incomum do usuário fora do horário comercial, falhas inesperadas do sistema, conexões de rede anormais e alto uso de memória, são IoCs comportamentais claros.
  4. IoCs baseados em registro: A presença de determinadas entradas no Registro do Windows pode indicar que um ataque cibernético está em andamento ou já ocorreu. Exemplos incluem exclusões de chaves de registro e valores de registro incomuns.
  5. IoCs baseados em host: Mudanças suspeitas feitas nas configurações do sistema, permissões e processos indicam um endpoint potencialmente comprometido.

Exemplos de indicadores de comprometimento

Os IOCs aparecem em várias formas, como comportamento anômalo do usuário, atividades de arquivo injustificadas, tráfego de rede incomum e muito mais. Todos esses sinais são armazenados em um banco de dados do COI na internet, o que ajuda a identificar sinais de vulnerabilidade. Alguns bancos de dados também permitem que você carregue as informações do COI identificadas em sua rede. Os indicadores mais comuns de comprometimento são:

  • Aumento no volume de leitura do banco de dados

    Informações pessoais e dados comerciais críticos são armazenados em bancos de dados seguros, tornando-os o principal alvo dos invasores. Um aumento repentino no volume de leitura, que indica o número de usuários que acessaram o banco de dados, é um sinal de exfiltração de dados.

  • Irregularidades geográficas

    Sinais indicadores de que algo está errado ocorrem quando você encontra padrões de login ou tentativas de acesso provenientes de uma região onde sua organização não atua. Endereços IP são indicadores fundamentais que ajudam a identificar a origem geográfica do ataque.

  • Anomalias em contas de usuários privilegiados

    Os hackers geralmente tentam acessar dados aumentando os privilégios de contas de usuários de baixo nível. Qualquer mudança repentina na atividade da conta do usuário, como um pico repentino nas alterações de permissão, pode indicar um possível ataque interno.

  • Tráfego de rede de saída incomum

    Este sinal indica quando atividades de rede incomuns são encontradas quando intrusos tentam extrair dados ou quando informações estão sendo enviadas para um servidor de comando e controle.

  • Mudanças suspeitas no registro

    Quando o malware entra no sistema, ele tenta alterar o registro e os arquivos do sistema. Ficar de olho nas alterações do registro ajuda a identificar a presença de malware.

  • Aumento de solicitação para o mesmo arquivo

    Os invasores tentam diversas táticas para identificar a mais bem-sucedida. Se um arquivo recebe várias solicitações em um curto período, é um sinal de que você pode estar sob ataque.

Indicadores de comprometimento vs. indicadores de ataque

Entender as diferenças entre indicadores de comprometimento (IoCs) e indicadores de ataque (IoAs) é essencial para investigar incidentes de segurança. Essas diferenças são descritas abaixo:

  • Indicadores de comprometimento: Indicadores de comprometimento ajudam-no a identificar incidentes de segurança anteriores. Eles ajudam a mitigar ameaças conhecidas com base em descobertas anteriores feitas em investigações forenses. As equipes de segurança os utilizam para identificar ameaças com padrões semelhantes para que possam tomar medidas corretivas.
  • Indicadores de ataque: Indicadores de ataque sinalizam que há um ataque cibernético em andamento ou que uma intrusão maliciosa provavelmente ocorrerá. Identificar uma entidade maliciosa com a ajuda de indicadores de comprometimento pode ajudar você a reduzir a superfície de ataque e remediar o ambiente organizacional.

Como o DataSecurity Plus da ManageEngine pode ajudar a identificar indicadores de comprometimento?

Os scanners de IOC, ou localizadores de IOC, são ferramentas especiais usadas exclusivamente para procurar indicadores de comprometimento. O software de resposta a incidentes de segurança DataSecurity Plus ajuda-o a encontrar esses sinais de alerta na sua organização:

Acessos incomuns a arquivos

Mantenha-se informado sobre atividades anômalas, como mudanças de arquivos, que ocorrem fora do horário comercial usando a solução de auditoria de servidores de arquivos.

Escalação de privilégios excessiva

Rastreie as mudanças de permissão em tempo real usando a ferramenta de auditoria de permissão de compartilhamento e NTFS para garantir que privilégios não sejam elevados sem autorização.

Picos no volume de leitura de arquivos

Receba alertas instantâneos por e-mail quando um arquivo receber várias solicitações de leitura em um curto espaço de tempo usando a ferramenta de monitoramento de atividade de arquivos.

Desconecte a sessão de usuários não autorizados

Execute scripts personalizados como resposta a modificações não autorizadas realizadas em arquivos do sistema, bloqueando-os usando o software de monitoramento de integridade de arquivos.

Uso de aplicações shadow

Mantenha-se informado sobre todos os agentes que representam uma ameaça acessando aplicações shadow na nuvem usando a ferramenta de proteção em nuvem.

Transferência de dados anômala

Analise arquivos que são movidos ou copiados para dispositivos USB e acione alertas em caso de transferências de arquivos indesejadas usando a ferramenta de proteção contra roubo de dados de USB.

Baixe o teste grátis de 30 dias