iT邦幫忙

0

Cyber security -6 Module3-3 Indicators of compromise (IoCs) & Pain Pyramid

  • 分享至 

  • xImage
  •  
  • Indicators of compromise / IoC 用於事後分析,幫助理解「誰」和「什麼」發生了攻擊。尋找攻擊後的證據和線索,IoC 是指出可能安全事件的可觀察證據。
  • Indicators of attack / IoA 用於即時偵測,幫助理解「為什麼」intentions和「如何」methods攻擊正在進行。

Pain Pyramid

從攻擊者的角度來看,應對不同層級的防禦措施所需的「難度」

痛苦金字塔描述了妥協指標與惡意行為者在妥協指標被安全團隊封鎖時所經歷的困難程度之間的關係。

IoC 類型 定義 舉例 阻礙難度
Hash values 已知惡意文件對應的雜湊值。 特定惡意軟件樣本的SHA256雜湊值 簡單
IP addresses 惡意活動涉及的網路協議地址。 192.168.1.1 簡單
Domain names 網址或網站名。 www.google.com / 使用者代理(User-Agent)字串 簡單
Network artifacts 攻擊者在網路上留下的痕跡。 協議http詳細信息如User-Agent字串。 中等
Host Artifacts 攻擊者在主機上留下的痕跡。 惡意軟件創建的檔案名稱。 中等
Tools 攻擊者用來實現目的的軟件。 如違法破解密碼工具John the Ripper 困難
Tactics, techniques, and procedures (TTPs):策略, 技巧與手法 描述攻擊者的行為,含高級別行為(策略 Tactics)、具體實現方式(技術 Techniques)與詳細操作(手法 Procedure)。 例:攻擊者的行為模式與滲透策略。 最困難

Analyze indicators of compromise with investigative tools

使用調查工具分析威脅指標

部分 定義/功能 工具與應用範例
Adding context to investigations 在調查中加入背景及相關聯 IoC 資訊,提升整體視角,做出更全面的反應。 威脅情報 (Threat Intelligence)
crowdsourcing優勢 threat intelligence /借助全球安全社群的力量分享分析資料,共同應對潛在威脅。 Sharing and Analysis Centers / ISACs, OSINT/ Open-source intelligence
VirusTotal 用於分析檔案、URL 和 IP 地址,提供社群檢測評估及 IoC 詳細關聯資訊。 Detection, Details, Relations, Behavior, Community
其他工具 針對特定應用的免費工具,用於檢測惡意程式、分析 URL 等。 Jotti's malware scan、Urlscan.io、MalwareBazaar

主流分析工具

工具名稱 功能 優點 限制
VirusTotal 分析檔案、IP 地址和 URL - 提供多家供應商檢測結果- 支援靜態與行為分析- 社群互動與評論- 提供關聯 IoC 資訊 - 上傳的資料會公開共享- 僅限非商業用途
Jotti's malware scan 掃描可疑檔案 - 使用多家防毒軟體掃描檔案- 簡單易用 - 僅限掃描檔案- 有提交數量限制
Urlscan.io 分析和掃描 URL - 提供詳細的 URL 報告- 可視化 URL 的行為與內容 - 僅支援 URL 分析- 可能無法分析加密或複雜的 URL
MalwareBazaar 儲存和分享惡意程式樣本 - 提供惡意程式樣本- 支援威脅情報研究 - 僅提供惡意程式樣本- 需要具備惡意程式分析的專業知識

VirusTotal 報告摘要的分解:

用戶可以透過不同的標籤來查看關於可疑文件或URL的信息

標題 定義 例子/功能優缺點/比較
檢測 Detection 第三方供應商對IoC的檢測結果。 提供全面檢測判定Detection Verdicts。
詳細信息 Details 包含哈希值、文件類型、大小、headers、創建時間等信息。 提供擷取的額外資訊。
關係 Relations 提供相關IoC的信息,如已聯繫的URL、域名、IP地址及丟棄的文件,從而追蹤其外部影響範圍和潛在威脅。 展示外部影響。
行為Behavior 分析策略技巧、網絡通信、註冊表和檔案系統行為、進程等行為。 深入的行為分析,适用于威脅追蹤。
社群 Community 病毒及安全社群的交流論壇。 例如安全專家或研究人員。他們可以在“社群”標籤中分享對IoC的見解和評論。
供應商比率及社群分數Vendors’ ratio and community score 供應商檢測數據及社群的參與度。 提供威胁的指標。
注意事項 警告用戶信息安全。 减少个人信息泄漏风险。

圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言