- بواسطة x32x01 ||
ما هو الفرق بين IOCs و IOAs ؟
تعد مراكز عمليات الأمن (SOCs) حجر الزاوية في مكافحة الجرائم الإلكترونية في أي مؤسسة كبيرة. هم يعتبرون الحاجز الأمني الرئيسي لكل من الشركات الخاصة والعامة. وهم بحاجة إلى أحدث التقنيات الممكنة.
لكن محاربة مجرمي الإنترنت ليست مجرد مسألة تقنية. من المهم أيضًا أن يكون لديك موقف استراتيجي ، أو على الأقل وجهة نظر استراتيجية ضد الهجمات المحتملة. هذا هو المكان الذي نرى فيه مفهومين أساسيين يساعدان ، إلى حد كبير
(مؤشرات التسوية IoCs) و (مؤشرات الهجوم IoAs). ماهو الفرق بينهما ؟ متى يتم استخدامها؟ أيهما أكثر حسما؟ سنقوم الان بتحليل المفهومين.
(مؤشرات التسوية IoCs - Indicators of Compromise)
هي المؤشرات التي تحدد الهجوم أو الثغرة الموجودة على جهاز الكمبيوتر بمجرد أن يكون الاختراق قد حدث بالفعل بشكل قاطع. بمعنى ، يتم استخدامها لتشخيص مشكلة الأمان التي حدثت للتو داخل العمليات الداخلية لنظام تكنولوجيا المعلومات الخاص بالمؤسسة. إنه دليل على حدوث خرق أمني.
في هذا الصدد ، يتم استخدام IoCs لتحديد الملفات أو السلوكيات التي تم تصنيفها سابقًا على أنها ضارة: رسالة بريد إلكتروني للتصيد الاحتيالي ، وملف برامج ضارة ، وخرق البيانات ، وعنوان IP المتعلق بالجرائم الإلكترونية ، وما إلى ذلك. لذلك ، فإن IoCs مفيدة للشركات لتحليل الضرر بعد وقوع الحادث والرد ، إما عن طريق القضاء على الخطر ، أو على الأقل تخفيف آثاره.
يمكن أن تكون IoCs مفيدة أيضًا للشركات التي تحتاج إلى تشخيص دقيق لما حدث من أجل معرفة مكان المشكلة بالضبط بعد تعرضها لهجوم أو ثغرة أمنية.
(مؤشرات الهجوم IoAs - Indicators of Attack)
لها فلسفة مختلفة عن IoCs. عند الرد على شيء حدث مثل الثغرة التي تم تنفيذها بالفعل ، فإن IoAs لديها فلسفة استباقية. بمعنى آخر ، لا يتدخلون عندما يكون الهجوم قد حدث بالفعل ، بل عندما يريد ان يحدث ، أو حتى قبل أن يصبح تهديدًا حقيقيًا.
تغطي IoA الثغرات التي تركتها IoCs: فهي تنبه لأي محاولة هجوم ، بغض النظر عن الطريقة المستخدمة للتهرب من نظام أمان الشركة. أي أنه يسمح بتحديد الهجمات التي لا تتطلب برامج ضارة ، مثل هجمات LotL (Living-off-the-Land). هذه المؤشرات هي نتيجة العمل الذي تم تنفيذه بشكل مشترك من قبل أكثر حلول الأمن السيبراني تقدمًا وفرق البحث عن التهديدات. تقوم هذه الفرق بالتحقيق في أنشطة عمليات نظام تكنولوجيا المعلومات وتحليلها بالتفصيل ، والبحث عن السلوكيات الشاذة ، أو السلوكيات التي قد تمثل أخطارًا على أمن المؤسسة. إذا تم اكتشافها ، تسمح IoAs للمؤسسات بالتصرف قبل أن يتم استغلال الثغرة الأمنية وقبل أن يصبح الضرر نهائيًا.
المفتاح : هو الاستباقية
السؤال واضح: أيهما أكثر فعالية لحماية الأمن السيبراني للمؤسسة أو IoCs أو IoAs؟ كلا الأسلوبين ضروريان ويكمل كل منهما الآخر. ومع ذلك ، هناك شيء واحد واضح: النهج الاستباقي لـ IoAs سيذهب دائمًا خطوة إلى الأمام عندما يتعلق الأمر بتجنب الحوادث الأمنية.
تُستخدم IoCs في التحقيقات بمجرد بدء الضرر ، في حين أن IoAs هي جزء من تحقيق مسبق وتستمد من موقع المرونة الإلكترونية. تكمن المشكلة في أن معظم حلول الأمن السيبراني تقتصر على IoCs عند تحليل الهجمات الإلكترونية واكتشافها والتخفيف من حدتها. نتيجة لذلك ، لن تكون إجراءاتهم ضد الجرائم الإلكترونية فعالة إلا بعد وقوعها ، بمجرد حدوث الضرر. علاوة على ذلك ، لا يمكن اكتشاف بعض الهجمات الإلكترونية ، مثل تلك التي تستخدم برامج ضارة بدون ملفات ، ببساطة باستخدام IoCs. على هذا النحو ، فإن عملية التنميط والتعريف التي تتضمنها IoAs تصبح حيوية لحماية الأمن السيبراني للشركات.
الاستنتاج واضح: IoCs مفيدة وضرورية للغاية ، ولكن أي شركة مهتمة في (الاستباقية أو السلوك الاستباقي Proactilvey ) لحماية أمنها السيبراني يجب أن تركز على تطوير استراتيجيات التحقيق على أساس IoAs من أجل القضاء على الخطر قبل أن يصبح حادثًا حقيقيًا.
تعد مراكز عمليات الأمن (SOCs) حجر الزاوية في مكافحة الجرائم الإلكترونية في أي مؤسسة كبيرة. هم يعتبرون الحاجز الأمني الرئيسي لكل من الشركات الخاصة والعامة. وهم بحاجة إلى أحدث التقنيات الممكنة.
لكن محاربة مجرمي الإنترنت ليست مجرد مسألة تقنية. من المهم أيضًا أن يكون لديك موقف استراتيجي ، أو على الأقل وجهة نظر استراتيجية ضد الهجمات المحتملة. هذا هو المكان الذي نرى فيه مفهومين أساسيين يساعدان ، إلى حد كبير
(مؤشرات التسوية IoCs) و (مؤشرات الهجوم IoAs). ماهو الفرق بينهما ؟ متى يتم استخدامها؟ أيهما أكثر حسما؟ سنقوم الان بتحليل المفهومين.
(مؤشرات التسوية IoCs - Indicators of Compromise)
هي المؤشرات التي تحدد الهجوم أو الثغرة الموجودة على جهاز الكمبيوتر بمجرد أن يكون الاختراق قد حدث بالفعل بشكل قاطع. بمعنى ، يتم استخدامها لتشخيص مشكلة الأمان التي حدثت للتو داخل العمليات الداخلية لنظام تكنولوجيا المعلومات الخاص بالمؤسسة. إنه دليل على حدوث خرق أمني.
في هذا الصدد ، يتم استخدام IoCs لتحديد الملفات أو السلوكيات التي تم تصنيفها سابقًا على أنها ضارة: رسالة بريد إلكتروني للتصيد الاحتيالي ، وملف برامج ضارة ، وخرق البيانات ، وعنوان IP المتعلق بالجرائم الإلكترونية ، وما إلى ذلك. لذلك ، فإن IoCs مفيدة للشركات لتحليل الضرر بعد وقوع الحادث والرد ، إما عن طريق القضاء على الخطر ، أو على الأقل تخفيف آثاره.
يمكن أن تكون IoCs مفيدة أيضًا للشركات التي تحتاج إلى تشخيص دقيق لما حدث من أجل معرفة مكان المشكلة بالضبط بعد تعرضها لهجوم أو ثغرة أمنية.
(مؤشرات الهجوم IoAs - Indicators of Attack)
لها فلسفة مختلفة عن IoCs. عند الرد على شيء حدث مثل الثغرة التي تم تنفيذها بالفعل ، فإن IoAs لديها فلسفة استباقية. بمعنى آخر ، لا يتدخلون عندما يكون الهجوم قد حدث بالفعل ، بل عندما يريد ان يحدث ، أو حتى قبل أن يصبح تهديدًا حقيقيًا.
تغطي IoA الثغرات التي تركتها IoCs: فهي تنبه لأي محاولة هجوم ، بغض النظر عن الطريقة المستخدمة للتهرب من نظام أمان الشركة. أي أنه يسمح بتحديد الهجمات التي لا تتطلب برامج ضارة ، مثل هجمات LotL (Living-off-the-Land). هذه المؤشرات هي نتيجة العمل الذي تم تنفيذه بشكل مشترك من قبل أكثر حلول الأمن السيبراني تقدمًا وفرق البحث عن التهديدات. تقوم هذه الفرق بالتحقيق في أنشطة عمليات نظام تكنولوجيا المعلومات وتحليلها بالتفصيل ، والبحث عن السلوكيات الشاذة ، أو السلوكيات التي قد تمثل أخطارًا على أمن المؤسسة. إذا تم اكتشافها ، تسمح IoAs للمؤسسات بالتصرف قبل أن يتم استغلال الثغرة الأمنية وقبل أن يصبح الضرر نهائيًا.
المفتاح : هو الاستباقية
السؤال واضح: أيهما أكثر فعالية لحماية الأمن السيبراني للمؤسسة أو IoCs أو IoAs؟ كلا الأسلوبين ضروريان ويكمل كل منهما الآخر. ومع ذلك ، هناك شيء واحد واضح: النهج الاستباقي لـ IoAs سيذهب دائمًا خطوة إلى الأمام عندما يتعلق الأمر بتجنب الحوادث الأمنية.
تُستخدم IoCs في التحقيقات بمجرد بدء الضرر ، في حين أن IoAs هي جزء من تحقيق مسبق وتستمد من موقع المرونة الإلكترونية. تكمن المشكلة في أن معظم حلول الأمن السيبراني تقتصر على IoCs عند تحليل الهجمات الإلكترونية واكتشافها والتخفيف من حدتها. نتيجة لذلك ، لن تكون إجراءاتهم ضد الجرائم الإلكترونية فعالة إلا بعد وقوعها ، بمجرد حدوث الضرر. علاوة على ذلك ، لا يمكن اكتشاف بعض الهجمات الإلكترونية ، مثل تلك التي تستخدم برامج ضارة بدون ملفات ، ببساطة باستخدام IoCs. على هذا النحو ، فإن عملية التنميط والتعريف التي تتضمنها IoAs تصبح حيوية لحماية الأمن السيبراني للشركات.
الاستنتاج واضح: IoCs مفيدة وضرورية للغاية ، ولكن أي شركة مهتمة في (الاستباقية أو السلوك الاستباقي Proactilvey ) لحماية أمنها السيبراني يجب أن تركز على تطوير استراتيجيات التحقيق على أساس IoAs من أجل القضاء على الخطر قبل أن يصبح حادثًا حقيقيًا.