 |
| Indikator Kompromi | Foto ; Ruqyah Cirebon |
Dengan memantau indikator kompromi, tim keamanan dapat mendeteksi serangan siber dan bertindak cepat untuk mencegah terjadinya pelanggaran keamanan, membatasi kerusakan, dan meningkatkan respons insiden. Indikator kompromi bertindak sebagai tanda bahaya yang dapat membantu tim InfoSec dan keamanan siber mendeteksi aktivitas mencurigakan dengan cepat.
Mengapa Organisasi Anda Harus Memantau Indikator Kompromi
Pemantauan indikator kompromi dapat membantu organisasi merespons ancaman dunia maya saat terdeteksi, yang dapat membantu respons insiden dan menyediakan komponen yang diperlukan untuk forensik komputer yang efektif. Saat tim keamanan menemukan pola berulang dari indikator spesifik penyusupan, mereka dapat memperbarui, menambah, atau menyesuaikan alat keamanan.
Dan kebijakan keamanan informasi untuk melindunginya dari serangan di masa mendatang. Selain itu, ada peningkatan pengawasan peraturan untuk mengembangkan pendekatan terstruktur yang konsisten untuk deteksi, pencegahan, dan pelaporan insiden keamanan di seluruh industri.
Apa Contoh Indikator Kompromi?
- Lalu lintas jaringan keluar yang tidak biasa: Sangat mudah bagi administrator sistem dan profesional keamanan jaringan untuk menemukan lalu lintas keluar yang tidak biasa dalam jumlah besar. Ini bisa berupa spyware yang berkomunikasi dengan server perintah-dan-kontrolnya atau serangan yang mencuri data sensitif . Indikator lalu lintas keluar dan perangkat lunak pendeteksi intrusi jaringan dapat mengeluarkan peringatan jika tingkat lalu lintas yang tidak biasa terdeteksi.
- Anomali dalam aktivitas akun pengguna istimewa: Serangan eskalasi hak istimewa , serta penipuan manipulasi psikologis seperti phishing dan spear phishing dapat menyebabkan pelaku jahat mendapatkan akses tidak sah ke akun pengguna istimewa.
- Ketidakteraturan geografis: Lalu lintas yang tidak biasa tidak harus terbatas pada jumlah bandwidth yang digunakan, tetapi juga wilayah asal lalu lintas. Misalnya, ketika bucket S3 Anda menerima login dari alamat IP yang tampaknya berasal dari wilayah yang berbeda, hal itu dapat menjadi perhatian. Ya, pengaitan IP cacat tetapi ini tidak mengurangi nilai dari latihan intelijen ancaman ini.
Seperti apa Hal yang Dimaksud dengan Indikator Kompromi (IOCs)?
- Tanda merah login lainnya: Administrator sistem mungkin menemukan bahwa akun pengguna yang memiliki hak istimewa telah mengalami beberapa kali upaya login yang gagal, kemungkinan mengindikasikan serangan bruteforce.
- Peningkatan volume baca basis data: Indikator umum pelanggaran data atau kebocoran data adalah peningkatan aktivitas basis data, seperti dump basis data lengkap yang dapat mengindikasikan penyerang telah memperoleh akses ke sistem dan telah mengekstrak informasi.
- Ukuran respons HTML: Injeksi SQL yang berhasil digunakan untuk mengekstrak data sensitif dari aplikasi web umumnya memiliki ukuran respons HTML yang lebih besar daripada permintaan normal.
- Banyaknya permintaan untuk file yang sama: Diperlukan banyak percobaan dan kesalahan untuk menemukan titik masuk ( vektor serangan ) atau eksploitasi kerentanan yang berfungsi, indikator yang mungkin adalah satu pengguna membuat beberapa permintaan ke file yang sama.
- Lalu lintas aplikasi port yang tidak cocok: Penyerang akan sering memanfaatkan port yang tidak jelas untuk menyiasati filter.
- Perubahan registri atau file sistem yang mencurigakan: Malware sering membuat perubahan registri, itulah sebabnya membuat garis dasar adalah bagian penting dalam menangani infeksi malware.
- Anomali permintaan Sistem Nama Domain: Permintaan DNS dan lalu lintas ke server perintah-dan-kontrol sering mengikuti pola standar yang dapat berfungsi sebagai indikator yang baik untuk aktivitas yang mencurigakan.
- Patching sistem yang tidak terduga: Menjaga sistem Anda tetap up-to-date umumnya merupakan hal yang baik tetapi patching yang tidak terduga bisa menjadi tanda worm komputer atau penyerang menutup kerentanan , mengeksploitasi atau menyerang vektor sehingga orang lain tidak dapat menggunakannya.
- Perubahan pengaturan perangkat seluler: Penyerang semakin fokus pada perangkat seluler, awasi perubahan dalam pengaturan perangkat Anda, aplikasi pengganti yang digunakan untuk serangan man-in-the-middle atau aplikasi baru yang tidak Anda instal.
- Data teragregasi di tempat yang salah: File di tempat yang aneh atau arsip data sensitif yang seharusnya tidak ada adalah pertanda baik akan terjadinya pelanggaran data.
- Lalu lintas web dengan perilaku tidak manusiawi: Lalu lintas web yang tidak terlihat seperti perilaku manusia biasa harus diselidiki.
- Tanda-tanda serangan distributed-denial-of-service (DDoS): Serangan DDoS yang didukung oleh botnet sering digunakan untuk mengalihkan perhatian dari serangan sekunder terhadap kerahasiaan atau integritas sistem Anda.
Itulah ulasan tentang Pentingnya Memantau Indikator Kompromi (IOCs) dalam Keamanan Informasi seperti yang dilansir slot. Semoga bermanfaat.
 dalam Keamanan Informasi){kind=link}