Индикатор компрометации (IoC) в компьютерной криминалистике - это артефакт, наблюдаемый в сети или в операционной системе, который с высокой степенью достоверности указывает на вторжение компьютера . [1]
Типы индикации [ править ]
Типичные МНК вирусных сигнатур и IP - адреса , MD5 хэшей из вредоносных файлов или URL - адреса или доменные имена из ботнетов командования и управления серверами. После того, как IoC были идентифицированы в процессе реагирования на инциденты и компьютерной криминалистики , их можно использовать для раннего обнаружения будущих попыток атак с использованием систем обнаружения вторжений и антивирусного программного обеспечения .
Автоматизация [ править ]
Существуют инициативы по стандартизации формата дескрипторов IoC для более эффективной автоматизированной обработки. [2] [3] Обмен известными индикаторами обычно происходит внутри отрасли, где используется протокол светофора . [4] [5] [6] [7] [8] [9] [10]
См. Также [ править ]
Ссылки [ править ]
- ^ Gragido, Will (3 октября 2012). «Понимание индикаторов взлома (IoC) Часть I» . RSA. Архивировано из оригинального 14 сентября 2017 года . Проверено 5 июня 2019 года .
- ^ "Формат обмена описанием объекта инцидента" . RFC 5070 . IETF. Декабрь 2007 . Проверено 5 июня 2019 . CS1 maint: discouraged parameter (link)
- ^ «Введение в STIX» . Проверено 5 июня 2019 . CS1 maint: discouraged parameter (link)
- ^ «FIRST объявляет о версии 1.0 протокола светофора (TLP)» . Форум групп реагирования на инциденты и безопасности . Проверено 31 декабря 2019 . CS1 maint: discouraged parameter (link)
- ^ Luiijf, Эрик; Кернкамп, Аллард (март 2015). «Обмен информацией о кибербезопасности» (PDF) . Глобальная конференция по CyberSpace 2015 . Toegepast Natuurwetenschappelijk Onderzoek . Проверено 31 декабря 2019 . CS1 maint: discouraged parameter (link)
- ^ Stikvoort, Дон (11 ноября 2009). "ISTLP - Протокол обмена информацией светофоров" (PDF) . Надежный интродьюсер . Национальный координационный центр безопасности инфраструктуры . Проверено 31 декабря 2019 . CS1 maint: discouraged parameter (link)
- ^ «Разработка политик для защиты критических информационных инфраструктур» (PDF) . Организация экономического сотрудничества и развития (ОЭСР) . Проверено 31 декабря 2019 . CS1 maint: discouraged parameter (link)
- ^ «ISO / IEC 27010: 2015 [ISO / IEC 27010: 2015] | Информационные технологии - Методы безопасности - Управление информационной безопасностью для межсекторальных и межорганизационных коммуникаций» . Международная организация по стандартизации / Международная электротехническая комиссия . Ноября 2015 . Проверено 31 декабря 2019 . CS1 maint: discouraged parameter (link)
- ^ «Определения и использование протокола светофора (TLP)» . Министерство внутренней безопасности США . Проверено 31 декабря 2019 . CS1 maint: discouraged parameter (link)
- ^ «Протокол светофора» . Центр защиты критической инфраструктуры . Архивировано из оригинала на 2013-02-05 . Проверено 31 декабря 2019 . CS1 maint: discouraged parameter (link)