IOC

IOC (Indicators of Compromise) یا «شاخص‌های نقض امنیت»

IOCها داده‌هایی هستند که نشان می‌دهند یک سیستم، شبکه یا دستگاه ممکن است مورد نفوذ یا حمله سایبری قرار گرفته باشد.

IOCها شواهد و سرنخ‌های دیجیتالی هستند که نشان می‌دهند یک سیستم یا شبکه کامپیوتری مورد حمله سایبری قرار گرفته یا در حال حاضر در معرض تهدید است. شناسایی این شاخص‌ها، اولین گام حیاتی برای تشخیص، واکنش و جلوگیری از حملات آینده است.

انواع IOC ها

IOC ها می‌توانند اشکال مختلفی داشته باشند و به صورت فایل‌ها، آدرس‌ها، و رویدادهای سیستمی ظاهر شوند:

• شاخص‌های مبتنی بر فایل: این شاخص‌ها به فایل‌های مخربی اشاره دارند که مهاجمان برای اجرای حمله از آن‌ها استفاده کرده‌اند.
  • هش‌های مخرب (Malicious Hashes): مقادیر هش (مانند SHA256 یا MD5) فایل‌های بدافزار. این هش‌ها یک اثر انگشت منحصربه‌فرد برای فایل ایجاد می‌کنند که تشخیص آن را در سایر سیستم‌ها آسان می‌کند.
  • نام فایل‌های مشکوک: نام فایل‌هایی که به طور غیرمعمول یا گمراه‌کننده انتخاب شده‌اند، مانند invoice.exe یا update.bat.
  • مسیر فایل‌های غیرمنتظره: محل ذخیره‌سازی فایل‌های غیرعادی، مانند قرار گرفتن یک فایل اجرایی در پوشه Temp.
• شاخص‌های مبتنی بر شبکه: این شاخص‌ها نشان‌دهنده فعالیت‌های غیرعادی در ترافیک شبکه هستند.
  • آدرس‌های IP مخرب (Malicious IPs): آدرس‌های IP سرورهای فرمان و کنترل (C2) یا سرورهایی که بدافزارها را میزبانی می‌کنند.
  • نام دامنه‌های مشکوک (Suspicious Domains): دامنه‌هایی که برای ارتباطات بدافزارها یا فیشینگ استفاده می‌شوند.
  • ترافیک شبکه غیرعادی: الگوهای غیرمعمول در ترافیک شبکه، مانند حجم بالای داده‌های ارسالی به یک آدرس خارجی ناشناس یا اتصالات مکرر به پورت‌های غیرمعمول.
•  شاخص‌های مبتنی بر رفتار و سیستم: این شاخص‌ها به تغییرات در رفتار سیستم‌ها اشاره دارند.
  • فعالیت‌های غیرمجاز کاربران: ورود به سیستم در ساعات غیرعادی، تلاش‌های مکرر برای ورود با رمزهای اشتباه یا دسترسی به فایل‌هایی که کاربر مجاز به دیدن آن‌ها نیست.
  • تغییرات در رجیستری یا سرویس‌ها: ایجاد یا تغییر کلیدهای رجیستری برای ماندگاری بدافزار، یا راه‌اندازی سرویس‌های ناشناس در سیستم.
  • فعالیت‌های مشکوک فرآیندها: فرآیندهایی که نام آن‌ها با نام فایل‌های سیستمی اصلی تطابق ندارد یا فرآیندهایی که اتصالات شبکه غیرعادی ایجاد می‌کنند.

راهکارهای جلوگیری و مقابله با IOC ها
جلوگیری از حملات بر اساس IOC ها نیازمند یک رویکرد چندلایه و فعال است:

• استفاده از ابزارهای امنیتی پیشرفته:
  • راهکارهای تشخیص و پاسخگویی به نقاط پایانی (EDR): ابزارهای EDR به صورت مداوم فعالیت‌های سیستم را پایش کرده و با استفاده از پایگاه داده‌های IOC، تهدیدات را در لحظه شناسایی می‌کنند.
  • سیستم‌های تشخیص و جلوگیری از نفوذ (IDS/IPS): این سیستم‌ها ترافیک شبکه را تحلیل کرده و اتصالات به آدرس‌ها و دامنه‌های مخرب را مسدود می‌کنند.
  • فایروال‌های نسل جدید (NGFW): فایروال‌های مدرن می‌توانند بر اساس IOC های شناخته‌شده، دسترسی به وب‌سایت‌ها و آدرس‌های IP مخرب را به صورت خودکار مسدود کنند.
• مدیریت فعال اطلاعات تهدیدات (Threat Intelligence):
  • سازمان‌ها باید به صورت مداوم فیدهای اطلاعاتی تهدیدات را از منابع معتبر دریافت کنند. این فیدها شامل لیست به‌روز شده‌ای از آدرس‌های IP، دامنه‌ها و هش‌های مخرب هستند.
  • با به‌کارگیری این اطلاعات، سیستم‌های امنیتی می‌توانند به صورت خودکار در برابر تهدیدات جدید واکنش نشان دهند.
• پایش مداوم و شکار تهدیدات (Threat Hunting):
  • یک تیم امنیتی باید به صورت فعال در سیستم‌ها و شبکه‌ها به دنبال IOC های ناشناس بگردد. این کار تنها به اتکا به ابزارهای خودکار محدود نمی‌شود، بلکه شامل تحلیل دستی گزارش‌ها و رفتارهای غیرعادی برای یافتن سرنخ‌های پنهان است.
•  آموزش کارکنان و سیاست‌های امنیتی:
  • بسیاری از حملات با استفاده از مهندسی اجتماعی آغاز می‌شوند. آموزش به کارکنان برای شناسایی ایمیل‌های فیشینگ و رفتارهای مشکوک می‌تواند به طور چشمگیری از بروز حمله جلوگیری کند.
  • اجرای سیاست‌های امنیتی مانند احراز هویت چند عاملی (MFA) و مدیریت امتیازات کاربران (PAM) نیز به محدود کردن دامنه نفوذ کمک می‌کند.

با اجرای این راهکارها، سازمان‌ها می‌توانند از رویکردی واکنشی به رویکردی پیشگیرانه تغییر مسیر دهند و توانایی خود را در شناسایی و پاسخگویی به تهدیدات سایبری به شدت افزایش دهند.