什么是“妥协指标”（IOCs）呢？

在网络安全领域，尽早发现攻击行为总是比等待勒索软件攻击或数据泄露事件发生要好。入侵迹象可以作为攻击的证据，帮助企业在最坏的情况发生之前控制威胁并修复漏洞。

本文介绍了IOC的概念。我们将探讨IOC的类型和示例，以及它们与攻击指标之间的区别。同时，我们还会介绍如何利用IOC来保护关键资产的最佳实践。

妥协指标的定义

妥协指标（IOCs）是指…那些能够表明某个系统何时被入侵的司法证据/物证安全团队利用“漏洞指示指标”来检测并应对那些此前未知的数据泄露攻击、恶意软件感染或内部威胁。

IOCs指的是在网络安全漏洞被修复后收集到的数据在攻击已经开始的时候，这些工具可以起到遏制和减轻威胁的作用。不过，它们通常只是被动的应对手段而已。安全团队需要将IOC信息与威胁情报以及行为监控结合起来，才能有效消除威胁。

为什么那些能够揭示潜在漏洞的指标如此重要呢？

这些妥协指标非常重要，因为它们使得安全团队能够应对正在发生的网络攻击。

通过监控输入/输出流量，企业能够迅速识别出恶意软件的感染情况、终端系统的漏洞以及用户的恶意行为。有助于快速应对各种突发事件。同时，还能有效限制由主动网络威胁所引发的损害。

我们还使用各种指标来衡量“妥协程度”。测试并完善安全措施例如，网络安全团队会使用输入输出数据来测试启发式威胁检测系统。此外，输入输出数据的使用还可以确保沙箱工具能够有效地隔离被入侵的资产。

IOC在构建机构级网络安全知识方面也发挥着重要作用。使分析师能够理解攻击手段。这包括攻击者如何在网络环境中进行横向移动。当这种信息与威胁情报以及攻击指标相结合时，就能帮助检测并击败那些复杂的威胁。

妥协指标（IOCs）与攻击指标（IOAs）的区别

理解“泄露指标”与“攻击指标”之间的区别至关重要。在健康的网络安全系统中，IOCs和IOAs扮演着不同的角色，但它们之间存在着显著的差异。

妥协指标（IOCs）是指…反应性法医工具。分析师们收集各种信息以进行分析。检测当前或历史上的安全威胁这意味着，在应对各种事件或评估网络攻击的根本原因时，IOC是非常有用的工具。不过，仅仅检测到这些异常行为并不能防止数据泄露事件的发生。

攻击指标（IOA）是指…主动的/积极的安全团队能够实时收集网络流量中的数据。系统会扫描那些与正常用户行为不符的情况，以及恶意软件的迹象或可疑活动，包括未经授权的代码执行或数据传输行为。

先进的威胁检测软件能够将各种攻击行为进行关联分析，从而在多层攻击突破网络防御、窃取数据或破坏资产之前将其拦截。

各种潜在风险的指标/指示物

在诊断安全事件时，法医分析师会收集多种类型的入侵指标。常见的入侵控制点变体包括：

• 基于网络的输入/输出接口这些泄露迹象源自网络流量分析。例如，安全工具会扫描出站流量，以寻找数据泄露的线索。它们会检测恶意IP地址的使用情况、与被标记为危险网站的链接、端口扫描行为，以及表明存在网络 squats攻击的DNS数据。
• 基于主机的输入/输出请求这些IOC与网络设备和应用程序相关。例如，安全团队会检查连接设备上的文件是否被未经授权的方式删除、传输或执行某些操作。他们还会利用威胁情报来检测已知的恶意软件哈希值。此外，相关工具还会查找那些可能表明存在rootkit攻击的异常注册表更改情况。
• 电子邮件中的个人信息这些表明存在妥协行为的迹象，也与员工的通信行为有关。安全工具会监控电子邮件中的IP地址、伪造的发件人地址、恶意附件以及虚假网站。它们利用这些异常行为来检测网络钓鱼攻击，通常会将多个电子邮件收件箱连接起来，以了解攻击的范围。
• 行为相关的输入/输出：先进的安全工具能够检测与用户活动相关的潜在安全漏洞。例如，这些工具可以检测到用户账户上的未经授权的权限请求，或者反复出现的密码登录失败情况。此外，它们还会留意网络中的异常行为，以及那些超出用户正常权限范围的资源访问请求。
• 基于文件的IOC：扫描解决方案能够收集与单个文件或应用程序相关的安全威胁信息。例如，这些工具会检测包含恶意软件签名的数据文件，并标记可疑的文件名或扩展名。此外，它们还会检查DLL文件中是否存在恶意侧载攻击的迹象。
• 基于内存的IO操作这类IOC与系统性能和处理功能相关。这些工具会检测那些异常的内存消耗情况，这些情况可能表明存在拒绝服务攻击。此外，这些工具还会标记那些未知的过程以及代码注入攻击的痕迹。
• 基于日志的IOC安全工具会扫描网络流量日志，以检测攻击者的活动痕迹。例如，安全软件会检查登录尝试，以发现暴力攻击的痕迹。此外，安全工具还会查找用于清除攻击证据的日志信息，同时记录登录的时间和地点，以便发现异常行为。
• 来自威胁情报的IOC信息：表示妥协的指标也可以从外部来源获得，比如通过全球威胁情报的获取。例如，企业在分析数据泄露事件时，会利用有关已知指挥与控制服务器的信息。

组织如何识别这些异常行为呢？

各组织可以收集大量的取证证据，以诊断安全威胁。但实际上，这一过程是如何运作的呢？安全团队会使用各种工具来检测并关联各种异常行为，其中包括：

• 端点检测与响应（EDR）：在网络端点处收集数据，包括员工使用的笔记本电脑、工作站、智能手机、Web服务器以及物联网设备。
• 沙箱技术以及恶意软件分析能够检测活跃的恶意软件威胁，并通过沙箱技术对受影响的资产进行隔离处理。这样就能安全地分析这些异常行为。
• 安全信息与事件管理SIEM):生成详细的安全日志，并应用预定义的规则来检测并缓解各种安全事件。
• 网络流量分析：分析网络流量，以发现可疑的模式，并生成警报。
• 威胁情报平台:收集全球范围内关于网络威胁的信息，并为客户提供定制化的信息推送服务。
• 开源情报安全分析师还可以利用公开可用的信息数据库来识别虚假网站和恶意IP地址。
• 欺骗工具：这些工具通过创建“蜜罐”和诱饵来欺骗攻击者。这种欺骗手段可以揭示攻击者的横向移动行为，从而发现更高级别的威胁。

通常情况下，企业会采用一系列工具来检测和分析潜在的攻击指标。安全架构师们会采取这样的方式来应对这种情况。多层次的方法尽可能覆盖各种情况，同时避免不必要的复杂性和误报。

相关指标的示例

“妥协指标”在管理和缓解安全事件方面有着广泛的应用。前面提到的各种证据类型可以帮助分析师重点关注那些正在发生的攻击行为，从而在数据泄露发生之前限制其影响范围。以下是实现这一目标的几种方法。

• 跟踪进出网络的流量监控与敏感数据、异常流量或端口使用情况相关的网络活动。注意来自未知来源或目的地的网络活动。利用威胁情报来识别已知的C2服务器以及攻击手段。
• 时间或地理位置因素：检查是否有新的登录地点或时间点，这些点可能与用户默认的登录时间或地点不同。同时，注意是否有异常的VPN连接情况，或者与新的云服务的关联情况。对于那些企业并未活跃的地区或国家的登录行为，也需要加以注意。
• 可疑的登录尝试使用SIEM工具来记录失败的登录尝试、密码请求，以及多个用户ID的使用情况。同时，需要跟踪来自同一IP地址的重复请求，并将这些登录行为与与钓鱼邮件相关的异常行为联系起来。
• 未经授权或不符合常规的系统更改：跟踪注册表中的变更情况，重点关注那些最敏感的注册表项以及至关重要的系统文件。将系统中的变更与定期更新的基准数据进行比较。
• 检测文件行为的异常情况请查找那些位置缺乏合理业务依据的文件包。使用文件完整性监控工具来检测那些可能表明存在恶意软件的异常存档文件。通过SIEM工具来记录文件的创建过程。同时使用跟踪工具来检测由特权账户进行的大量压缩操作。

如何在网络安全领域使用“妥协指标”

IOC是一种非常强大的取证工具。不过，各组织必须战略性地收集并运用这些指标来达成其安全目标。在事件响应过程中使用IOC时，有一些最佳实践值得遵循：

将 IOCs 整合到您的事件应对计划中。

当安全工具检测到异常行为时，相应的事件响应计划会有效地利用这些信息。完善的响应计划会明确下一步的行动步骤，包括收集更多的入侵迹象以丰富警报数据，以及自动化执行缓解措施来遏制威胁。

应制定一个连贯的突发事件应对计划，明确从最初发现到后续分析、处理以及事件处理后的审计等各个环节的流程。同时，要明确各个角色的职责、时间安排以及用于判断事件是否得到妥善处理的指标。

创建安全的环境，以便对各种事件进行分析。

应立即将受到威胁的资产与整个网络隔离，以防止威胁的进一步扩散，同时还能确保采取有针对性的、安全的应对措施。

使用扫描工具来识别被污染的设备。确定正在进行的攻击范围，然后采用沙箱技术来隔离受影响的设备。这样就能为分析数据完整性、用户活动以及恶意软件感染等问题创造安全的环境。

使用 IOC 来详细分析各种威胁。

使用安全漏洞指标的一个重要好处是，它们能够深入分析各种安全事件，从各个角度来全面评估问题。在分析威胁时，应充分利用各种与攻击相关的信息。

确定攻击的源头和身份，利用威胁情报平台来了解他们的目的，同时利用所有可用的IOC信息来评估每个警报的严重程度。记录那些暴露的数据库、被攻破的账户以及网络资源的损失情况。

通过 IOC 来验证缓解措施的有效性

在消除网络威胁时，IOC发挥着至关重要的作用。利用这些指标来确认数据泄露、恶意软件感染、账户被劫持等攻击行为的处理情况。

IOC还能够帮助全面记录各种缓解措施。可以利用这些信息来补充合规报告，必要时还可以用于通知有关数据泄露的情况。在常规的安全审计中，也可以利用IOC来测试系统，从而提升整体的安全水平。

通过识别特征字符串，以法医方式分析网络攻击行为

典型的攻击指标包括数据传输、用户账户变更、注册表修改以及恶意软件的签名等。这些数据有助于安全团队以详细的法医手段来调查当前和历史上的网络攻击行为。如果运用得当，这些攻击指标可以帮助减轻和遏制攻击，同时预防未来发生的安全事件。

不过，安全团队不应单独使用这些攻击指标。攻击指标属于被动防御手段，它们无法在威胁发生之前或早期阶段就进行防范。因此，应结合其他攻击指标来评估这些攻击指标，从而实现全面的网络安全防护。