IOC oraz IOA – czym się różnią? | Biznes Netia
Menu główne
Wyszukiwarka

IOC oraz IOA w cyberbezpieczeństwie – czym się różnią?

Zamów kontakt

lub zadzwoń +48 22 35 81 550

linkedin front share icon linkedin reverse share icon facebook front share icon facebook reverse share icon twitter front share icon twitter reverse share icon
25 czerwca 2024, Autor: Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.

IOC oraz IOA to dwa wskaźniki, które zapewniają odpowiednią perspektywę na pojawiające się podatności i ataki. Pozwalają sprawnie identyfikować zagrożenia i zapobiegać ich rozprzestrzenianiu. We współczesnym środowisku cybernetycznym całościowe spojrzenie na temat zarządzania ryzykiem i incydentami jest konieczne do ograniczenia strat i zapewnienia bezpieczeństwa usług, klientów i pracowników firmy, dlatego tak ważne jest zrozumienie różnic między IOC oraz IOA, w tym sposoby ich wykorzystania w organizacji.

 
 
 
   

IOC oraz IOA – co to znaczy?

 

IOC oraz IOA to wskaźniki cyberbezpieczeństwa pomagające w poznaniu wielu informacji na temat przeprowadzonych lub planowanych ataków oraz podatności. Dane w postaci IOC/IOA są dostarczane z różnych obszarów sieci: firewalli, systemów antywirusowych, monitoringu sieci (SIEM) czy systemów IDS/IPS. Specjaliści pozyskują je zarówno ze źródeł wewnętrznych, jak i w drodze wymiany bądź kupna ze źródeł pozafirmowych. Opracowane wskaźniki można także pozyskać z publicznych baz danych i forów internetowych (w tym także działających w darknecie).

 

Wskaźniki IOC/IOA są wykorzystywane przez zespoły SOC, CERT i CSIRT do szczegółowej analizy zdarzeń i aktywnego monitoringu sieci firmowej.

 

IOC

 

IOC (ang.: Indicator of Compromise) wskazuje na kompromitację systemu, a więc informuje analityków o wystąpieniu rzeczywistego incydentu bezpieczeństwa. IOC dostarcza informacji zarówno na temat ataków z zewnątrz, jak i incydentów wewnątrz sieci – np. o wyciekach danych.

 

IOC dostarcza takie informacje, jak adresy IP, pliki czy rodzaje naruszeń. Dzięki IOC specjaliści mogą w przyszłości wykorzystać informacje o atakach, np. do selekcjonowania plików, które będą poddawane kwarantannie.

 

Minusem wskaźnika IOC jest generowanie przez systemy, oparte o ten wskaźnik, wielu fałszywych alarmów o atakach. Niedogodnością niekiedy jest dostarczanie danych z przeszłości, ale to może mieć swoje plusy w postaci kompletnej informacji o ataku, które można wykorzystać w przyszłości.

 

IOA

 

IOA (ang.: Indicators of Attack) wykazuje proaktywne podejście do cyberbezpieczeństwa. To wskaźnik informujący w czasie rzeczywistym o anomaliach systemowych, podejrzanych aktywnościach i możliwości wystąpienia ataku – jeszcze zanim on nastąpi. Jego przewagą jest szybka reakcja i możliwość udaremnienia poważnych zniszczeń systemu czy wycieku danych. Dzieje się to dzięki dynamicznej analizie wzorców zachowań hakerów oraz znajomości ich metod i kolejnych etapów ataku.

 

Przykłady IOC oraz IOA

 

Dla lepszego zrozumienia tematu zamieszczamy kilka charakterystycznych wskaźników z grupy IOC oraz IOA.

 

IOC

 
  • modyfikacja zasad firewalla i konfiguracji innych systemów,

  • obecność w systemie obcych plików i ich niecodzienna lokalizacja,

  • logi systemowe wskazujące na atak,

  • próby rozszerzenia swoich uprawnień przez szeregowych użytkowników,

  • zmiany w ważnych plikach systemowych,

  • wszelkie anomalie w ruchu sieciowym.
 

IOA

 
  • problemy z uwierzytelnianiem (nierzadko dla wielu kont jednocześnie) – wielokrotne nieudane próby logowania, używanie starych haseł, a także próby logowania z nieznanych, egzotycznych lokalizacji,

  • próby eksploatacji luk w zabezpieczeniach,

  • logi systemowe wskazujące na próbę instalacji niezweryfikowanego oprogramowania,

  • próby skanowania sieci w poszukiwaniu otwartych portów i luk w zabezpieczeniach,

  • wzmożony ruch wychodzący.
 

IOC czy IOA – który wskaźnik wybrać do firmy? A może oba?

 

Choć wielu specjalistów wskazuje IOA jako istotniejszy dla bezpieczeństwa organizacji wskaźnik, to w żadnym wypadku nie można bagatelizować znaczenia IOC. Wskaźniki kompromitacji, czyli IOC, dostarczają równie cennych danych o wydarzeniach z przeszłości. Na ich podstawie analitycy mogą poznać schemat działania atakujących i wzbogacić systemy bezpieczeństwa o dodatkowe reguły.

 

Z uwagi na odmienność dostarczanych danych, analitycy cyberbezpieczeństwa wykorzystują zazwyczaj w swojej pracy oba wskaźniki. Informacje pochodzące ze wskaźników IOA to dane pozyskiwane w czasie rzeczywistym. W połączeniu z przyjętym modelem Cyber Kill Chain oraz podobnymi modelami bezpieczeństwa mogą pomóc zdusić atak w zarodku, przerywając jeden z jego etapów.

 

Cyberbezpieczeństwo organizacji ma coraz większe znaczenie

 

Docierające zewsząd dane dotyczące liczby incydentów bezpieczeństwa są zgodne w jednym punkcie: ataków jest więcej niż kiedykolwiek, a trend z całą pewnością nie odwróci się w kolejnych latach. Cyberataki dotykają dziś nie tylko wielkie korporacje. Są przeprowadzane na masową skalę, wyznaczając na ofiary małe przedsiębiorstwa, fundacje charytatywne, resorty rządowe i prywatne gospodarstwa domowe.

 

Odpowiedzialne podejście do biznesu wymusza zastosowanie najlepszych dostępnych rozwiązań bezpieczeństwa. Netia, jako jeden z liderów branży, dostarcza usługi i narzędzia cyberbezpieczeństwa dopasowane do budżetu i potrzeb firm.

 

Jako podstawę zabezpieczenia każdej sieci poleca przede wszystkim zlokalizowany w bezpiecznej chmurze Netii firewall nowej generacji, który zapewnia ochronę przed wieloma rodzajami zagrożeń.

 

W przypadku organizacji pracujących w modelu zdalnym przydatnym rozwiązaniem może być zarządzany UTM Netii, który umożliwia bezpieczną komunikację z firmową siecią LAN z dowolnego miejsca. W naszej ofercie znajdują się także bardziej ukierunkowane rozwiązania bezpieczeństwa, takie jak Netia Ochrony Poczty czy Netia DNS Shield.

 

Dla firm potrzebujących bezkompromisowych, kompleksowych i wysokiej specjalizacji działań w zakresie bezpieczeństwa, idealnym rozwiązaniem jest zespół SOC Netii. To grupa doświadczonych specjalistów o zróżnicowanych kompetencjach, która przez całą dobę dba o bezpieczeństwo sieci klientów, wykorzystując przy tym platformy SIEM/SOAR oraz między innymi wskaźniki IOC/IOA do analizy zagrożeń i zarządzania ryzykiem.

 

Skontaktuj się z naszymi doradcami i zabezpiecz swoją firmę na każdą ewentualność!

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Inne formy kontaktu

  • alt1

    Infolinia dla nowych klientów
    (Codziennie 8:00 - 18:00)     +48 22 35 81 550

  • alt2

    Obsługa klienta i wsparcie techniczne
    (Dostępne 24/7)     801 801 999
    biznes@netia.pl

  • alt3

    Adres korespondencyjny Netia S.A.
    skr. pocztowa nr 597
    40-950 Katowice S105

Polecane treści:

26 czerwca 2024
Norma ISO 27001 – jakie są korzyści z jej wdrożenia?

ISO/IEC 27001 to norma wyznaczająca standardy dla systemów bezpieczeństwa informacji, która od samego początku istnienia, czyli roku 2005, jest jednym z najbardziej pożądanych certyfikatów dla firm. Uwzględnianie jej wytycznych świadczy o...

Czytaj
25 czerwca 2024
Red Team, Blue Team, Yellow Team... Czym są te zespoły w cyberbezpieczeństwie?

Read Team, Blue Team… Co wspólnego z cyberbezpieczeństwem mają kolory i jak należy rozumieć pochodzące od nich nazwy określające specjalistyczne zespoły? Jacy specjaliści wchodzą w skład poszczególnych drużyn, co należy do ich zadań i...

Czytaj
25 czerwca 2024
IOC oraz IOA w cyberbezpieczeństwie – czym się różnią?

IOC oraz IOA to dwa wskaźniki, które zapewniają odpowiednią perspektywę na pojawiające się podatności i ataki. Pozwalają sprawnie identyfikować zagrożenia i zapobiegać ich rozprzestrzenianiu. We współczesnym środowisku cybernetycznym całościowe...

Czytaj
linkedin front share icon linkedin reverse share icon facebook front share icon facebook reverse share icon twitter front share icon twitter reverse share icon
Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.

W Netii odpowiedzialny jest za rozwój oferty usług bezpieczeństwa IT. Od początku kariery zawodowej związany z branżą telekomunikacyjną - wcześniej pracował w Tele2 Polska, Exatel, i T-mobile Polska. Ekspert w tworzeniu zaawansowanych rozwiązań ICT w modelu usługowym dla Klientów biznesowych. Prelegent na różnych konferencjach oraz autor publikacji poświęconych tematyce bezpieczeństwa teleinformatycznego. Interesuje się nowymi technologiami oraz tematami związanymi z szereko rozumianą e-gospodarką. Absolwent Szkoły Głównej Handlowej w Warszawie oraz międzynarodowego programu CEMS MIM.
Wyświetl profil Eksperta na LinkedIn

WSZYSTKIE POSTY TEGO AUTORA
Zamów kontakt

lub zadzwoń +48 22 35 81 550

Wybierz swój język ×

enEnglish plPolski