IOC (Indicator of Compromise) 中文稱「入侵指標」,在企業資安的營運中已是不可或缺的工具,經由資安廠商長期廣泛情蒐所累積的入侵線索,協助初步發現駭客入侵痕跡,即時阻擋駭客入侵行為,以最大化的降低資安事件發生時所造成的損失。
一般企業在使用 IOC 時,會將 IOC 匯入各種網路設備以及軟體工具中,以便在環境各處設置監控,經由設備或軟體偵測到 IOC 時,設備或軟體會進行報警,讓資安人員能夠察知,並且進行阻擋、隔離、清除等處置。
但除了一般的阻擋、隔離、清除等處置外,APT IOC —— 針對進階持續性威脅(Advanced Persistent Threat)的 IOC ——更扮演了重要的威脅防禦參考,可以幫助企業於駭客下手前,提前做出正確資安決策。
APT IOC 指的是透過資安分析師及惡意程式研究員進行複雜的事件調查,所精煉出的關鍵指標。每一個IOC的產出背後都代表著特定惡意族群及駭客手法。以威脅情資平台 ThreatVision 的 IOC 為例,IOC 背後可連結平台內建的 3 類豐富資料:
- 惡意族群資料庫: 透過惡意族群資料,企業可以了解惡意族群的背景、動機,並提前對特定數位資產(如特定伺服器、VM或是資料庫)進行防備部署。
- 惡意程式資料庫: 惡意程式資料庫可提供更多技術細節,幫助企業技術人員選擇正確有效的防禦工具並妥善部署。
- 威脅情資報告: 企業更可參考威脅情資報告,確認自身狀況是否與報告中的描述吻合,從而確保處置過程及事後防禦部署,萬無一失。
正確的APT IOC使用流程應包含以下步驟:
- 將APT IOC妥善部署於環境中的網路設備與資安軟體中。最好使用自動化工具進行部署,以確保完整性和一致性。
- 當警報發生時,應立即對其進行處置,包括阻擋、隔離和清除惡意軟體。及時採取行動可以減少損害和風險。
- 處置完成後,需要對事件進行詳細調查。通過情報平台搜集IOC的來源和成因,並確定攻擊者的身份和目的,同時確認相關事件如何發生於與自身同質性高的產業。這有助於企業更好地了解該惡意族群的攻擊手法和攻擊工具,才能進行針對性的防禦。
- 採取針對性防禦措施,包括正確的資安工具選擇和設置,以及更完善的企業資安制度建立。這有助於提高企業的安全性並保護重要資料的機密性。
- 由於APT攻擊的特點是針對性強,攻擊者會根據目標企業的弱點進行攻擊。因此,企業端需要對攻擊者/惡意族群進行更全面的了解,以便採取正確的防禦措施。
ThreatVision 威脅情資平台提供了最完整且深入的亞太區域惡意族群資料庫。威脅情資報告以敘事形式、段落式呈現,細節豐富完整,有助您快速了解威脅事件,吸收更多有效的威脅事件處理經驗,並且易讀性也可提高您的資安團隊在向上報告和跨團隊溝通時的效率。
ThreatVision 威脅情資平台提供的內容即包含 APT IOC,並可進一步連結到 ThreatVision 豐富的惡意族群資料庫、惡意程式資料庫及威脅情資報告內容,協助企業掌握資安威脅全貌,進行超前部署。
知己知彼,百戰不殆。在資安的道路上,TeamT5 是您最佳的夥伴。
Related Post
產品與服務
2022.12.11
威脅情資: 企業面對資安威脅的關鍵
cyber threat intelligence, Threat Subscription
產品與服務
2022.05.23
什麼是威脅情資? 對企業的重要性是什麼?
cyber threat intelligence, threat hunting