Trace Id is missing
Põhisisu juurde
Microsofti turbeteenus

Mis on turberikketunnused (IOC-d)?

Siit saate teada, kuidas turberikketunnuseid jälgida, tuvastada ja kasutada ning neile reageerida.

Microsoft Defenderi ohuteabe tutvustus

Turberikketunnuste selgitus

Turberikketunnused (IOC) on tõendid sellest, et keegi võib olla organisatsiooni võrku või lõpp-punkti sisse murdnud. Need digitõendusandmed ei osuta pelgalt potentsiaalsele ohule, vaid annavad märku, et rünne (nt ründevara, identimisteabe langemine ründe ohvriks või andmete väljaviimine) on juba toimunud. Turbetöötajad otsivad turberikketunnuseid sündmuselogidest, laiendatud ohutuvastuse ja -kõrvalduse (XDR) lahendustest ning turbeteabe ja -sündmuste halduse (SIEM) lahendustest. Ründe ajal kasutab turberikketunnuseid meeskond ohu kõrvaldamiseks ja kahjude leevendamiseks. Pärast ründest taastumist aitavad IOC-d organisatsioonil juhtunut paremini mõista, et organisatsiooni turbemeeskond saaks turbemeetmeid tugevdada ja vähendada teise sarnase intsidendi riski. 

IOC-de näited

Turberikketunnustega seotud turbetoimingute raames hoiavad IT-töötajad keskkonnas silma peal järgmistel märkidel, mis võivad viidata käimasolevale ründele.

Võrguliikluse anomaaliad

Enamikus organisatsioonides on digitaalses keskkonnas nii sissetuleval kui ka väljamineval võrguliiklusel teatud kindlad mustrid. Kui see muutub – kui organisatsioonist liigub näiteks välja tavapärasest märgatavalt rohkem andmeid või kui võrgus on tegevust märgata mõnes tavatus asukohas –, võib see osutada ründele.

Ebatavalised sisselogimiskatsed

Sarnaselt võrguliiklusega on ka inimeste tööharjumused prognoositavad. Enamasti logivad inimesed nädala jooksul sisse samadest asukohtadest ja umbes samal kellaajal. Turbetöötajatel aitab ründe ohvriks langenud konto tuvastada näiteks tähelepanu pööramine sisselogimistele veidratel kellaaegadel või ebatavalistest piirkondadest (nt riigist, kus asutusel pole esindust). Samuti on oluline pöörata tähelepanu mitmele nurjunud sisselogimiskatsele samalt kontolt. Ehkki inimesed unustavad aeg-ajalt parooli või neil on sisselogimisega probleeme, õnnestub neil see mure tavaliselt pärast paari katset lahendada. Korduvad nurjunud sisselogimiskatsed seevastu võivad viidata sellele, et keegi proovib organisatsioonile juurde pääseda varastatud konto kaudu. 

Tavapäratu tegevus eelisõigustega kontol

Paljud ründajad (olenemata sellest, kas nad töötavad samas asutuses või ettevõttes või mitte) huvituvad eelkõige juurdepääsust administraatorikontodele ja delikaatsete andmete hankimisest. Selliste kontodega seotud ebatavaline käitumine, näiteks kellegi katse anda endale rohkem õiguseid, võib olla märk turbemurdest.

Süsteemikonfiguratsioonide muudatused

Ründevara on sageli programmeeritud süsteemikonfiguratsioone muutma, näiteks lubama kaugjuurdepääsu või keelama turbetarkvara töö. Neid ootamatuid konfiguratsioonimuudatusi jälgides saavad turbetöötajad turbemurde tuvastada veel enne seda, kui ründaja jõuab palju kahju teha.

Ootamatud tarkvarainstallid või värskendused

Paljud ründed algavad sellise tarkvara (nt ründevara või lunavara) installimisest, mille eesmärk on muuta failid juurdepääsematuks või anda ründajatele juurdepääs võrgule. Plaanimata tarkvarainstallide ja -värskenduste jälgimise korral märkavad organisatsioonid neid turbemurdeid kiiresti. 

Arvukalt päringuid sama failiga seoses

Kui ühe failiga seoses esitatakse palju päringuid, võib see osutada ründaja katsele faili varastada, proovides sellele mitmel viisil juurde pääseda.

Ebatavalised domeeninimesüsteemi päringud

Vahel kasutavad ründajad juhtimiseks nimetatavat ründemeetodit. Nad installivad organisatsiooni serverisse ründevara, mis loob ühenduse neile endale kuuluva serveriga. Seejärel saavad nad saata oma serverist nakatatud arvutisse käske, et proovida andmeid varastada või tööd halvata. Tavatud domeeninimesüsteemide (DNS) päringud aitavad IT-töötajatel selliseid ründeid tuvastada.

Kuidas turberikketunnuseid ära tunda?

Digitaalse ründe märgid on registreeritud logifailides. IOC-põhise küberturbe raames hoiavad meeskonnad digitaalsetel süsteemidel silma peal, otsides regulaarselt kahtlast tegevust. Tänapäevased SIEM-i ja XDR-i lahendused lihtsustavad seda protsessi tehisintellekti- ja masinõppepõhiste algoritmidega, mis koostavad organisatsioonis tavaolukorra võrdlusaluse ja teavitavad seejärel meeskonda anomaaliatest. Oluline on kogu protsessi kaasata ka teised töötajad peale turbespetsialistide, kuna just nemad võivad saada kahtlasi meilisõnumeid või laadida kogemata alla nakatunud faili. Head turbekoolituse programmid aitavad töötajatel ohtlikke meilisõnumeid paremini tuvastada; lisaks annavad need töötajate käsutusse võimalused teatada kõigest, mis tundub kahtlane.

Miks on turberikketunnuste jälgimine oluline?

Turberikketunnuste jälgimine on ettevõtte turberiskide maandamiseks äärmiselt oluline. Mida varem turbemeeskond turberikketunnuseid märkab, seda tõhusamalt saab turbemurdele reageerida ja seda kiiremini rünnete tagajärjed kõrvaldada, lühendades seisakuaega ja vähendades töökatkestusi. Regulaarne jälgimine annab meeskondadele parema ülevaate organisatsiooni nõrkustest, mida saab seejärel leevendada.

Turberikketunnustele reageerimine

Kui turbemeeskond tuvastab turberikketunnuse, peab ründele kohe tõhusalt reageerima, et organisatsioonile tekitatud kahju oleks võimalikult väike. Järgmised toimingud aitavad ettevõtetel konkreetsetele meetmetele keskenduda ja ohud võimalikult kiiresti peatada.

Koostage intsidentidele reageerimise kava

Intsidendile reageerimine on stressirohke ja ajatundlik: mida kauem saab ründaja märkamatult tegutseda, seda tõenäolisemalt ta oma eesmärgid saavutab. Paljudes organisatsioonides on välja töötatud intsidentidele reageerimise kava, mis on meeskondadele reageerimise kriitilises faasis abiks. Enamasti antakse selles kavas ülevaade sellest, kuidas organisatsioonis andmeturbeintsidendid määratletakse, millised on töötajate rollid ja vastutusalad, mida on vaja intsidendi lahendamiseks teha ning kuidas peaks meeskond intsidendist töötajatele ja välistele huvirühmadele teada andma. 

Isoleerige ründe ohvriks langenud süsteemid ja seadmed

Kui organisatsioon on ohu tuvastanud, peab turbemeeskond rünnatud rakendused või süsteemid kiiresti ülejäänud võrkudest eraldama. See aitab takistada ründajate juurdepääsu ettevõtte muudele osadele.

Viige läbi digitaaljuurdlus

Digitaaljuurdlus aitab asutustel ja ettevõtetel päevavalgele tuua kõik turbemurde aspektid, sealhulgas selle allika, ründe tüübi ja ründaja eesmärgid. Turbemurde ulatuse mõistmiseks tuleb rünnet analüüsima hakata juba selle toimumise ajal. Pärast seda, kui organisatsioon on ründest taastunud, aitab lisaanalüüs meeskonnal mõista võimalikke nõrkusi ja saada muud olulist teavet.

Kõrvaldage oht

Meeskond eemaldab ründaja ja mis tahes ründevara mõjutatud süsteemidest ja ressurssidest. See võib hõlmata süsteemide eemaldamist võrgust.

Täiustage turvet ja protsesse

Kui organisatsioon on intsidendist taastunud, on oluline analüüsida, miks rünne toimus ja kas organisatsioon oleks saanud seda kuidagi ära hoida. Isegi üsna lihtsad protsessi- ja poliitikatäiustused võivad vähendada sarnaste rünnete edaspidist tõenäosust. Samuti on võimalik, et meeskond määratleb pikema perspektiiviga lahendused, mis tuleks turbe tegevuskavasse lisada.

IOC lahendused

Enamik turbemurdeid jätab logifailidesse ja süsteemidesse jälje. Võimekus selliseid turberikketunnuseid tuvastada ja jälgida aitab organisatsioonidel ründajad kiiresti isoleerida ja kõrvaldada. Paljud meeskonnad on kasutusele võtnud SIEM-i lahendused (nt Microsoft Sentinel ja Microsoft Defenderi XDR), mis kasutavad turberikketunnuste leidmiseks ja teiste sündmustega vastavusse viimiseks tehisintellekti ja automaatikat. Intsidentidele reageerimise kava võimaldab meeskondadel ründajatest ees püsida ja ründed kiiresti peatada. Küberturbes kehtib lihtne põhimõte: mida kiiremini ettevõte mõistab, mis toimub, seda suurema tõenäosusega suudetakse rünne peatada veel enne seda, kui see läheb ettevõttele raha maksma või kahjustab mainet. IOC-põhine turve on äärmiselt oluline, aidates asutustel ja ettevõtetel vähendada kuluka turbemurde riski.

Lisateave Microsofti turbeteenuste kohta

Microsofti ohutõrje

Uusimate ohutõrjefunktsioonide abil saate intsidendid oma organisatsioonis tuvastada ja neile reageerida.

Lisateave

Microsoft Sentinel

Võimas pilvepõhine SIEM-i lahendus aitab päevavalgele tuua ka keerukad ohud ja neile otsustavalt reageerida.

Lisateave

Microsoft Defenderi XDR

XDR-i lahendused aitavad ründeid tõkestada olenemata sellest, kas need on suunatud lõppseadmete, meilikontode, kasutajaidentiteetide, rakenduste või andmete vastu.

Lisateave

Ohuteabe kogukond

Värskeimad uudised saate Microsoft Defenderi ohuteabe kogukonna väljaandest.

Lisateave

Korduma kippuvad küsimused

  • Turberikketunnuseid on mitut liiki. Levinumad turberikketunnused on järgmised.

    • Võrguliikluse anomaaliad
    • Ebatavalised sisselogimiskatsed
    • Tavapäratu tegevus eelisõigustega kontol
    • Süsteemikonfiguratsioonide muudatused
    • Ootamatud tarkvarainstallid või värskendused
    • Arvukalt päringuid sama failiga seoses
    • Ebatavalised domeeninimesüsteemi päringud

  • Turberikketunnus on digitõendusmaterjal juba toimunud ründe kohta. Ründetunnus on tõendusmaterjal selle kohta, et rünne võib suure tõenäosusega aset leida. Andmepüügikampaania näiteks on ründetunnus, kuna puuduvad asitõendid selle kohta, et ründaja on ettevõttesse reaalselt sisse murdnud. Kui aga keegi klõpsab andmepüügilinki ja laadib alla ründevara, on ründevara installimine turberikketunnus.

  • Meilikontode turberikketunnuste hulka kuuluvad näiteks äkiline rämpspostilaviin, veidrad manused või lingid või ootamatu meilisõnum tuttavalt inimeselt. Kui töötaja saadab näiteks töökaaslasele veidra manusega meilisõnumi, võib see tähendada, et tema konto on langenud ründe ohvriks.

  • Ründe ohvriks langenud süsteemi tuvastamiseks on mitu viisi. Kui mõnest kindlast arvutist lähtuv võrguliiklus on muutunud, võib see anda märku arvuti langemisest ründe ohvriks. Kui inimene, kes tavaliselt mõnda süsteemi ei vaja, hakkab seda regulaarselt vaatama, on see ohu märk. Süsteemi konfiguratsioonide muudatused või ootamatu tarkvarainstall võivad samuti viidata sellele, et süsteem on ründe ohvriks langenud. 

  • Siin on kolm turberikketunnuste näidet.

    • Põhja-Ameerikas asuv kasutajakonto hakkab ettevõtte ressurssidesse sisse logima Euroopast.
    • Mitmelt kasutajakontolt hakatakse tegema tuhandeid juurdepääsutaotluseid, mis osutab, et organisatsioon on langenud jõuründe ohvriks.
    • Uuest hostist või riigist, kus ei asu ei töötajaid ega kliente, hakkab saabuma DNS-i päringuid.

Jälgige Microsofti turbeteenust