Apa Indikator Kompromi?
Indikator kompromi (IOCs) adalah peristiwa yang ditemukan dalam file log yang merupakan tanda-tanda aktivitas yang berpotensi berbahaya. Tim keamanan siber dapat memeriksa log peristiwa untuk mengidentifikasi pelanggaran data, serangan malware, dan ancaman keamanan lainnya. Dengan melakukan hal ini, mereka dapat merespons peristiwa-peristiwa anomali secara tepat waktu, sehingga membatasi kerusakan yang dapat ditimbulkannya.
Sayangnya, IOC tidak mudah dideteksi, karena indikatornya bisa tidak kentara dan rumit. Peristiwa tersebut dapat mencakup elemen metadata, kode, dan sampel konten. Diperlukan waktu untuk menarik korelasi antara berbagai peristiwa untuk mendapatkan gambaran yang jelas tentang apa yang terjadi, oleh siapa, dan kapan.
Perbedaan Antara Indikator Kompromi (IOCs) dan Indikator Serangan (IOA)
Indikator kompromi (IOCs) dan indikator serangan (IOA) serupa, karena keduanya merupakan tanda adanya aktivitas yang berpotensi berbahaya. Namun, IOC lebih fokus pada analisis forensik setelah insiden keamanan, sedangkan IOA membantu organisasi mengidentifikasi potensi aktivitas berbahaya yang terjadi. Tim keamanan harus terus memantau log peristiwa untuk IOC dan IOA, jika ingin memitigasi serangan siber.
Contoh Indikator Kompromi
Berikut adalah beberapa aktivitas umum yang harus diwaspadai yang mungkin mengindikasikan bahwa insiden keamanan telah atau sedang terjadi:
Lalu lintas jaringan yang tidak biasa
Lalu lintas jaringan dapat dipantau oleh tim keamanan untuk mencari pola anomali guna membantu mencegah pelanggaran data. Misalnya, lalu lintas jaringan keluar yang mencurigakan mungkin menunjukkan bahwa penyerang mencoba mengambil data.
Anomali dalam aktivitas akun pengguna yang memiliki hak istimewa
Upaya login yang gagal, akses di luar jam kerja, akses melalui perangkat dan lokasi yang tidak dikenal, dan upaya pengguna untuk meningkatkan hak istimewanya, hanyalah beberapa IOC dan IOA yang dapat kami waspadai yang terkait dengan akun pengguna yang memiliki hak istimewa.
Peningkatan volume baca database
Peningkatan yang tidak biasa pada volume baca database Anda mungkin menyiratkan bahwa musuh sedang mencoba melakukan dump database.
Ukuran respons HTML
Jika ukuran respons Hypertext Markup Language (HTML) lebih besar dari biasanya, ini bisa menjadi tanda bahwa penyerang mencoba mencuri data Anda.
Sejumlah besar permintaan untuk file yang sama
Jika penyerang mencoba mencuri file tertentu, mereka mungkin mencoba berbagai cara untuk mendapatkannya. Jika tim keamanan Anda mendeteksi beberapa permintaan untuk file yang sama, ini mungkin IOC/IOA.
Lalu lintas aplikasi port tidak cocok
Aplikasi mengandalkan port untuk bertukar data dengan jaringan. Alat peretasan tertentu dan bahkan beberapa jenis malware akan mencoba memanfaatkan port yang tidak jelas untuk mengakses jaringan atau mengambil data.
Perubahan registri atau file sistem yang mencurigakan
Dalam beberapa kasus, malware akan membuat perubahan pada file registri atau sistem. Menetapkan garis dasar akan membantu tim keamanan memantau perubahan tersebut.
Permintaan DNS yang tidak biasa
Musuh akan sering menggunakan server perintah dan kontrol (C&C) untuk mengambil data dari jaringan. Permintaan Sistem Nama Domain (DNS) yang datang dari host yang tidak dikenal bisa menjadi tanda IOC. Demikian pula, permintaan DNS yang berlebihan bisa menjadi tanda serangan Distributed Denial of Service (DDoS).
Aktivitas file yang tidak wajar
Penyerang mungkin mencoba mentransfer sejumlah besar file ke server C&C mereka, atau, jika terjadi serangan ransomware, skrip berbahaya akan mencoba mengenkripsi file di jaringan Anda. Solusi audit file waktu nyata akan menetapkan garis dasar yang mewakili pola penggunaan file pada umumnya. Baseline ini dapat diuji untuk mengidentifikasi IOC dan IOA. Perlu diperhatikan bahwa beberapa solusi audit canggih dapat mendeteksi dan merespons peristiwa yang sesuai dengan kondisi ambang batas yang telah ditentukan sebelumnya, sehingga dapat membantu mengidentifikasi serangan ransomware dan vektor serangan lain yang melakukan tindakan berulang. Misalnya, jika sejumlah x file dienkripsi dalam jangka waktu tertentu, skrip khusus dapat dijalankan yang dapat menonaktifkan akun pengguna, menghentikan proses tertentu, mengubah pengaturan firewall, atau mematikan server yang terpengaruh.
Bagaimana Lepide Dapat Membantu Mendeteksi Indikator Kompromi dan Indikator Serangan
Lepide memberi organisasi kemampuan untuk mendeteksi perilaku pengguna yang tidak wajar terkait interaksi dan perubahan yang dilakukan pada data sensitif dan infrastruktur penting. Lepide menetapkan seperti apa perilaku pengguna normal selama periode pembelajaran tertentu, dan kemudian mengirimkan peringatan real-time kepada administrator setiap kali terjadi penyimpangan dari norma.
Lepide hadir dengan ratusan model ancaman yang telah ditentukan sebelumnya yang dirancang khusus untuk mendeteksi indikator serangan yang terkait dengan ancaman keamanan umum, seperti ransomware, serangan brute force, dan akun pengguna yang disusupi. Misalnya, jika akun pengguna mengubah nama ekstensi 500 file dalam 30 detik, ini bisa menjadi indikasi bahwa akun tersebut telah dibajak karena serangan ransomware yang sedang berlangsung. Demikian pula, jika ratusan penguncian akun terjadi dalam jangka waktu yang sangat singkat, hal ini dapat mengindikasikan adanya serangan brute force.
Lepide juga mampu memberikan kemampuan investigasi forensik melalui log audit terperinci sehingga administrator dapat melakukan pemindaian untuk mencari indikator penyusupan. Misalnya, Lepide menganalisis izin efektif pengguna dan kemudian menentukan, berdasarkan pola penggunaan data mereka, apakah hak akses tersebut berlebihan.
Jika Anda ingin melihat bagaimana Platform Keamanan Data Lepide dapat membantu Anda mengenali indikator penyusupan dan indikator serangan, jadwalkan demo dengan salah satu teknisi kami atau mulai uji coba gratis Anda hari ini.