今天想來說IOA和IOC。
IOA(Indicators of Attack)攻擊指標,是指防護設備偵測出有攻擊正在進行的行為,也就是出現攻擊行為。
簡單說:很多小偷會對停在路邊的機車嘗試掀開機車坐墊,以確定是否有鎖。這就是IOA,有人有攻擊的行為。
而IOA會掃描大量port、嘗試登入、利用漏洞等方式去進行攻擊行為。
IOC(Indicator of Compromise)入侵指標,是指系統已經遭受攻擊者的攻擊或被攻擊者入侵的具體痕跡或證據。
簡單說:小偷對停在路邊的機車掀開了機車坐墊,並且把裡面的東西給偷走了,被掀開的機車坐墊就會有小偷的指紋。這就是IOC,坐墊被掀開並且有小偷的指紋。
而IOC的痕跡或證據,包含:檔案的雜湊值(SHA256等)、網路的IP、Domain、URL、C2(命令與控制伺服器)伺服器等、系統和登入紀錄等。
防禦設備就可以依據IOC留下的痕跡或證據去做對應的處置,比如說:封鎖網路IP、檔案的SHA256等。
iThome鐵人賽
看影片追技術