Indikator Serangan (IoA) Dan Aktivitas

  • Whatsapp
Indikator Serangan (IoA) Dan Aktivitas
Indikator Serangan IoA Dan Aktivitas
SOC

Apa itu Indikator Serangan (IOA)

IoA adalah beberapa peristiwa yang dapat mengungkapkan serangan aktif sebelum indikator kompromi menjadi terlihat.

Penggunaan IoA menyediakan cara untuk beralih dari pembersihan/pemulihan reaktif ke mode proaktif, di mana penyerang terganggu dan diblokir sebelum mereka mencapai tujuan mereka seperti pencuri data, ransomware, eksploitasi, dll.

fokus IOA untuk mendeteksi maksud dari apa yang coba dicapai oleh penyerang, terlepas dari malware atau eksploitasi digunakan dalam serangan. Sama seperti tanda tangan AV, pendekatan deteksi berbasis IOC tidak dapat mendeteksi peningkatan ancaman dari intrusi bebas malware dan eksploitasi zero-day. Akibatnya, solusi keamanan generasi berikutnya beralih ke pendekatan berbasis IOA

10 Indikator serangan (IoA)

Aktivitas serangan paling umum berikut ini dapat digunakan, secara individual atau dalam kombinasi, untuk mendiagnosis serangan aktif:

1) Host internal dengan tujuan yang buruk

Host internal berkomunikasi dengan tujuan yang diketahui buruk atau ke negara asing tempat Anda tidak melakukan bisnis.

Contoh Dashboard HP ArcSight yang menunjukkan host klien berkomunikasi dengan Feed (IP, Domain, Url) dari situs web “ransomwaretracker.abuse.ch”.

[Ransomware Hunter is available as free a free package included at HPE Protect724 from SOC Prime]

Contoh Intelijen Ancaman Global dari McAfee

2) Host internal dengan port non-standar

Host internal berkomunikasi dengan host eksternal menggunakan port non-standar atau ketidakcocokan protokol/port, seperti mengirim shell perintah (SSH) daripada HTTP, lalu lintas HTTPS melalui port 80.443, port web default.

Contoh Host Internal menggunakan 21(FTP), 445(SMB), 137(NETBIOS-NS), 135(RPC) ke Internet

3) Server Publik/DMZ ke Host internal

Server publik atau host zona demiliterisasi (DMZ) berkomunikasi dengan host internal. Ini memungkinkan lompatan dari luar ke dalam dan ke belakang, memungkinkan eksfiltrasi data dan akses jarak jauh ke aset seperti RDP (Remote Desktop Protocol), Radmin, SSH.

Contoh Laporan yang memantau Top 10 Traffic dari zona “DMZ” ke Zona “Internal/Klien”.

Dari laporan ini, Analis Keamanan harus menyelidiki ke Server Tersorot yang berkomunikasi ke host Internal melalui RDP(TCP/3389), SSH(TCP/22)

4) Deteksi Malware di Luar Jam Kerja

Lansiran yang terjadi di luar jam operasional bisnis standar (pada malam hari atau akhir pekan) dapat menandakan host yang disusupi.

Contoh peringatan IPS pada waktu tidak bekerja (Hari Libur)

5) Pemindaian jaringan oleh host internal

Pemindaian jaringan oleh host internal yang berkomunikasi dengan banyak host dalam jangka waktu singkat, yang dapat mengungkapkan penyerang bergerak secara lateral di dalam jaringan.

Insiden ini mendeteksi dari pertahanan jaringan Perimeter seperti firewall dan IPS. Anda harus memilih Zona/Antarmuka dari “Internal” ke “Internal” saja. Untuk Masa Depan, Anda harus fokus dari “Internal” ke “DMZ” juga. Mungkin “Ancaman Orang Dalam” atau “Host Kompromi” bahwa mereka memerlukan lebih banyak informasi dari jaringan Anda (Pengintaian)

Contoh Laporan Pemindaian Jaringan yang memfilter dari zona “Internal” ke “Internal”

6) Beberapa acara alarm dari satu host

Beberapa peristiwa alarm dari satu host atau peristiwa duplikat di beberapa mesin dalam subnet yang sama selama periode 24 jam, seperti kegagalan otentikasi berulang. INI UMUM GUNAKAN KASUS.

Contoh Dashboard yang memantau “Kegagalan Login Pengguna” dari Host Tunggal

Catatan: beberapa peristiwa gagal masuk dari aplikasi email di ponsel dapat menghasilkan lebih dari 500 peristiwa/menit. Saya menemukan kasus ini ketika kata sandi akun pengguna kedaluwarsa tetapi mereka belum mengubah kata sandi baru di perangkat mereka.

7) Sistem terinfeksi ulang dengan malware

Setelah host yang terinfeksi dibersihkan, sistem terinfeksi ulang dengan malware dalam waktu 5-10 menit, infeksi ulang berulang menandakan adanya rootkit atau kompromi terus-menerus. Insiden ini dapat dideteksi dari Endpoint Security Protection atau peristiwa Anti Virus.

Ini adalah Contoh Dashboard Maleware.

Deteksi: Anda harus membuat setidaknya 3 aturan di SIEM ikuti sebagai

  1. Peringatan aturan ketika menemukan host yang terinfeksi kemudian “Tambahkan” Daftar Host Terinfeksi Saat Ini dan Daftar Host Terinfeksi Historis (Simpan setidaknya 1 minggu)
  2. Peringatan aturan ketika malware dibersihkan dari Host yang terinfeksi lalu “Hapus Ke” Daftar Host yang Terinfeksi Saat Ini
  3. Peringatan aturan ketika menemukan host yang terinfeksi yaitu “Daftar Host Terinfeksi Historis” dalam rentang waktu tertentu. BAHWA SISTEM HARUS MEMINDAI/MENYElidiki MALWARE LAGI!!!

8. Banyak Login dari berbagai wilayah

Akun pengguna yang mencoba masuk ke banyak sumber daya dalam beberapa menit dari/ke wilayah yang berbeda. Ini adalah tanda bahwa kredensial pengguna telah dicuri atau bahwa pengguna melakukan kejahatan.

Contoh aturan Berkorelasi bahwa solusi Ideal dapat bervariasi berdasarkan kondisi jaringan dan kebijakan keamanan Anda.

Aturan ini mendeteksi dari suatu peristiwa dalam kategori normalisasi “Masuk”, dengan Hasil Peristiwa sama dengan “Berhasil” dengan beberapa Geo-lokasi Sumber, dalam Rentang Waktu tertentu dan Peristiwa dikelompokkan oleh Pengguna Sumber.

9. Host internal menggunakan banyak SMTP

Protokol E-Mail seperti SMTP (Simple Mail Transfer Protocol), POP3 atau IMAP4 harus dipantau. Beberapa malware akan menggunakan port ini untuk mengirim informasi ke server Suspicious atau Hacker.

Contoh klien Terinfeksi yang menggunakan SMTP(TCP/25)

10. Internal menghosting banyak kueri ke DNS Eksternal/Internal

Banyak organisasi memiliki server DNS Internal untuk menyimpan catatan dan melayani layanan DNS ke host internal. Konfigurasi DHCP didefinisikan sebagai Server DNS Primer ke server DNS Internal. Jika Anda menemukan bahwa beberapa host internal meminta ke DNS Eksternal seperti 8.8.8.8, 8.8.4.4 (Google DNS), Anda harus mencoba memindai malware pada klien tersebut.

Beberapa Insiden menemukan bahwa host internal meminta banyak permintaan ke server DNS internal (> 1.000 peristiwa/jam)

Sumber & Kredit Asli: Sittikorn Sangrattanapitak, CISSP

Baca juga:

  1. Sistem Pencegahan Intrusi (IPS) dan Fungsi Detilnya – SOC/SIEM
  1. Sistem Deteksi Intrusi (IDS) dan Fungsi Detailnya – SOC/SIEM

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.