ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

អី្វទៅជា IOC (Indicator of Compromise)?

ប្រែសម្រួលដោយ៖ លោក សួន បញ្ញា អ្នកស្រាវជ្រាវសន្តិសុខអុិនធឺណិត

Indicator of Compromise (IOC) គឺជាពាក្យបច្ចេកទេសប្រើក្នុងការងារកោសលវិច័យ (forensics) ដែលសំដៅទៅលើភស្តុតាងនៅលើឧបករណ៍ដែលនាំបណ្តាលឱ្យការជ្រៀតចូលទៅក្នុងប្រព័ន្ធ (security breach)។ ទិន្នន័យនៃ ​IOC ត្រូវបានគេប្រមូលយកនៅពេលបន្ទាប់ពីមានឧប្បទេវហេតុសន្តិសុខគួរឱ្យសង្ស័យ (suspicious incident), ព្រឹត្តការណ៍សន្តិសុខ (security event). ឬក៏បញ្ហាណាមួយដែលចេញពីក្នុងបណ្តាញ។ បន្ថែមពីនេះផងដែរ វាគឺការអនុវត្តជាទូទៅក្នុងការត្រួតពិនិត្យ ទៅលើ IOC data នៅក្នុងរយៈពេលណាមួយច្បាស់លាស់ ដើម្បីធ្វើការត្រួតពិនិត្យចាប់យកសកម្មភាពមិនប្រក្រតី និងភាពងាយរងគ្រោះនានា។

ការតាមដានពិនិត្យមើលទិន្ន័​យ IOC ក៏អាចជួយបានដែរក្នុងការទប់ស្កាត់ឲ្យបានមុនទាន់ពេលវេលានូវលទ្ធភាពដែលអាចរាលត្បាតបាននូវមេរោគ និងសកម្មភាពវាយប្រហារដែលគ្រោះថ្នាក់ខ្លាំងផ្សេងៗកុំឲ្យប៉ះពាល់ដល់ប្រព័ន្ធបណ្តាញទាំងមូល។

ទោះបីជាយ៉ាងណាការរុករកឲ្យឃើញទិន្ន័យ IOC ថ្មីៗ គឺមានការលំបាក ព្រោះវាអាចស្ថិតក្នុងច្រើនទម្រង់។ ទិន្ន័យទាំងនោះអាចជា logs, metadata, ឬក៏បណ្តុំកូដដែលស្មុគស្មាញ។ អញ្ចឹងហើយបានជាអ្នកសន្តិសុខបច្ចេកវិទ្យាទាមទារត្រូវធ្វើការវិភាគនិងផ្គុំបញ្ចូលគ្នានូវព័ត៌មាននិងទិន្ន័យផ្សេងៗចូលគ្នាដើម្បីអាចយល់អំពីដំណើរការនិងតួនាទីរបស់ការវាយប្រហារនីមួយៗ។

តើមានព័ត៌មានឬទិន្ន័យអ្វីខ្លះដែលចាត់ចូលជា Indicators of Compromise?

  • ភាពមិនប្រក្រដីនៃសកម្មភាពរបស់អ្នកប្រើប្រាស់ដែលមានសិទ្ធិ​ (Anomalies found in Privileged User Activity)
  • សញ្ញាណប្រកាសអាសន្នទៅលើការធ្វើ log in (Red Flag found in log-in activity)
  • សំណើរសុំខុសពីស្តង់ដារប្រក្រដីទៅកាន់ DNS  ​(Deviant DNS Request)
  • ចរាចរណ៍ទិន្ន័យមិនប្រក្រដីដែលមិនដូចជាមនុស្សធ្វើ (Web Traffic with inhuman behavior)
  • សកម្មភាពមិនប្រក្រដីនៃចរាចរណ៍ទិន្ន័យទៅខាងក្រៅរបស់ប្រព័ន្ធបណ្តាញ (Unusual activity in outbound network traffic)
  • ភាពមិនប្រក្រដីលើទីតាំងភូមិសាស្រ្ត (Geographical Abnormalities)
  • ការកើនឡើងការទាញចេញយកទិន្ន័យពីក្នុង Database (Increased Database Read Volume)
  • HTML Respond ដែលមានទំហំមិនប្រក្រដី (Unusual HTML respond size)
  • ការផ្លាស់ប្តូរ ​profile​​ របស់ឧបករណ៍ចល័ត (Changes in mobile device profiles)
  • សញ្ញាណនៃសកម្មភាពការវាយប្រហារបែប DDoS (Signs of DDoS activity)
  • ការដាក់ Port ជាន់គ្នាឬមិនត្រូវគ្នា (Conflicting Port-application traffic)
  • ការស្នើរសំុឯកសារតែមួយច្រើនខុសពីធម្មតា (More request then usual for the same files)
  • ការផ្លាស់ប្តូរមិនប្រក្រដីទៅលើការចុះបញ្ជីនិងទៅលើប្រព័ន្ធឯកសារ (Unusual changes in registry and/or system files)
  • ការជួសជុលចន្លោះប្រហោងប្រព័ន្ធក្នុងសភាពប្រថុចញ៉ុច (Abrupt patches of Systems)

តើ IOC អាចត្រូវបានប្រើយ៉ាងដូចម្តេចខ្លះក្នុងការសម្រួលការងារតាមដានចាប់ និងឆ្លើយតបទៅនិងឧប្បត្តិហេតុសន្តិសុខផ្សេងៗ?

តាមរយៈការតាមដានពិនិត្យរកមើល IOC ក្រុមហ៊ុន ឬស្ថាប័នអាចធ្វើការស្វែងរក និងឆ្លើយតបទៅនិងឧប្បទេវហេតុសនិ្តសុខបានល្អ និងមានប្រសិទ្ធិភាព។ វាក៏អាចជួយអោយក្រុមហ៊ុន ឬស្ថាប័នផ្សេងៗអាចរកឃើញសកម្មភាពគួឲ្យសង្ស័យផ្សេងៗដែលមិនអាចរកឃើញដោយកម្មវិធីការពារដ៏ទៃ។ សំខាន់ជាងគេនោះគឹវាអនុញ្ញាតឲ្យក្រុមហ៊ុននិងស្ថាប៏នអាចធ្វើការសម្រេចចិត្តដោះស្រាយបញ្ហាបានរហ័សទាន់ហេតុការណ៍និងមានប្រសិទ្ធិភាពដែលជាកត្តាដែលអាចទប់ស្កាត់ការខូចខាតដទៃធ្ងន់ធ្ងរ។

តើអ្វីទៅជាភាពខុសគ្នារវាង Indicator of Compromise និង ​Indicators of Attack?

Indicator of Compromise វាសម្រាប់បម្រើឱ្យការត្រួតពិនិត្យចាប់យក (detect) នូវព្រឹត្តិការណ៍សន្តិសុខនានា ហើយនឹងការៈវាយលុក ​(compromise) ក្នុងខណៈដែល Indicator of Attack បម្រើឱ្យការត្រួតពិនិត្យនិងចាប់យកនូវគោលបំណងរបស់អ្នកវាយប្រហារ។ ដើម្បីធ្វើការគ្រប់គ្រង និងឆ្លើយតបទៅនឹងការវាយលុកណាមួយឱ្យបានជោគជ័យ គឺយើងត្រូវដឹងអំពីអ្វីដែលអ្នកវាយប្រហារព្យាយាមវាយលុក។ ហេតុដូច្នេះហើយ indicators of attack​ គឺមានសារៈសំខាន់ណាស់។

Indicators of Compromise គឺជួយទៅដល់ក្រុមការងារសន្តិសុខអុីនធឺណែតក្នុងការចាប់បាន (detect) នូវរាល់ការលុកចូល ​(intrusion)។ ក៏ប៉ុន្តែដើម្បីបញ្ឈប់ការលុកចូលនោះ ក្រុមការងារសន្តិសុខអុីនធឺណែតរបស់អ្នកត្រូវតែដឹងអំពីអ្វីដែលអ្នកវាយប្រហារកំពុងតែមានផែនការ។ ការដឹងអំពីជំហានបន្ទាប់ ហើយនឹងបំណងនៃអ្នកវាយប្រហារ វានឹងផ្តល់នូវគន្លឹះមួយដ៏សំខាន់ដើម្បីធ្វើការទប់ស្កាត់៕

ចូលរួមទៅក្នុងបន្ទប់ផ្តល់ព័ត៌មាន Telegram channel សម្រាប់ទទួលបានព័ត៌មានចុងក្រោយស្តីពីសន្តិសុខអុិនធឺណិតទាំងក្នុង និងក្រៅប្រទេស៖ https://t.me/infosecisac ។ ចង់ផ្សព្វផ្សាយពាណិជ្ជកម្ម សូមទំនាក់ទំនង info@secudemy.com.

​Subscribe to our Telegram channel for the latest updates on the Cybersecurity Breaking News in both locally and internationally: https://t.me/infosecisac. For advertising: info@secudemy.com

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button