អី្វទៅជា IOC (Indicator of Compromise)?
ប្រែសម្រួលដោយ៖ លោក សួន បញ្ញា អ្នកស្រាវជ្រាវសន្តិសុខអុិនធឺណិត
Indicator of Compromise (IOC) គឺជាពាក្យបច្ចេកទេសប្រើក្នុងការងារកោសលវិច័យ (forensics) ដែលសំដៅទៅលើភស្តុតាងនៅលើឧបករណ៍ដែលនាំបណ្តាលឱ្យការជ្រៀតចូលទៅក្នុងប្រព័ន្ធ (security breach)។ ទិន្នន័យនៃ IOC ត្រូវបានគេប្រមូលយកនៅពេលបន្ទាប់ពីមានឧប្បទេវហេតុសន្តិសុខគួរឱ្យសង្ស័យ (suspicious incident), ព្រឹត្តការណ៍សន្តិសុខ (security event). ឬក៏បញ្ហាណាមួយដែលចេញពីក្នុងបណ្តាញ។ បន្ថែមពីនេះផងដែរ វាគឺការអនុវត្តជាទូទៅក្នុងការត្រួតពិនិត្យ ទៅលើ IOC data នៅក្នុងរយៈពេលណាមួយច្បាស់លាស់ ដើម្បីធ្វើការត្រួតពិនិត្យចាប់យកសកម្មភាពមិនប្រក្រតី និងភាពងាយរងគ្រោះនានា។
ការតាមដានពិនិត្យមើលទិន្ន័យ IOC ក៏អាចជួយបានដែរក្នុងការទប់ស្កាត់ឲ្យបានមុនទាន់ពេលវេលានូវលទ្ធភាពដែលអាចរាលត្បាតបាននូវមេរោគ និងសកម្មភាពវាយប្រហារដែលគ្រោះថ្នាក់ខ្លាំងផ្សេងៗកុំឲ្យប៉ះពាល់ដល់ប្រព័ន្ធបណ្តាញទាំងមូល។
ទោះបីជាយ៉ាងណាការរុករកឲ្យឃើញទិន្ន័យ IOC ថ្មីៗ គឺមានការលំបាក ព្រោះវាអាចស្ថិតក្នុងច្រើនទម្រង់។ ទិន្ន័យទាំងនោះអាចជា logs, metadata, ឬក៏បណ្តុំកូដដែលស្មុគស្មាញ។ អញ្ចឹងហើយបានជាអ្នកសន្តិសុខបច្ចេកវិទ្យាទាមទារត្រូវធ្វើការវិភាគនិងផ្គុំបញ្ចូលគ្នានូវព័ត៌មាននិងទិន្ន័យផ្សេងៗចូលគ្នាដើម្បីអាចយល់អំពីដំណើរការនិងតួនាទីរបស់ការវាយប្រហារនីមួយៗ។
តើមានព័ត៌មានឬទិន្ន័យអ្វីខ្លះដែលចាត់ចូលជា Indicators of Compromise?
- ភាពមិនប្រក្រដីនៃសកម្មភាពរបស់អ្នកប្រើប្រាស់ដែលមានសិទ្ធិ (Anomalies found in Privileged User Activity)
- សញ្ញាណប្រកាសអាសន្នទៅលើការធ្វើ log in (Red Flag found in log-in activity)
- សំណើរសុំខុសពីស្តង់ដារប្រក្រដីទៅកាន់ DNS (Deviant DNS Request)
- ចរាចរណ៍ទិន្ន័យមិនប្រក្រដីដែលមិនដូចជាមនុស្សធ្វើ (Web Traffic with inhuman behavior)
- សកម្មភាពមិនប្រក្រដីនៃចរាចរណ៍ទិន្ន័យទៅខាងក្រៅរបស់ប្រព័ន្ធបណ្តាញ (Unusual activity in outbound network traffic)
- ភាពមិនប្រក្រដីលើទីតាំងភូមិសាស្រ្ត (Geographical Abnormalities)
- ការកើនឡើងការទាញចេញយកទិន្ន័យពីក្នុង Database (Increased Database Read Volume)
- HTML Respond ដែលមានទំហំមិនប្រក្រដី (Unusual HTML respond size)
- ការផ្លាស់ប្តូរ profile របស់ឧបករណ៍ចល័ត (Changes in mobile device profiles)
- សញ្ញាណនៃសកម្មភាពការវាយប្រហារបែប DDoS (Signs of DDoS activity)
- ការដាក់ Port ជាន់គ្នាឬមិនត្រូវគ្នា (Conflicting Port-application traffic)
- ការស្នើរសំុឯកសារតែមួយច្រើនខុសពីធម្មតា (More request then usual for the same files)
- ការផ្លាស់ប្តូរមិនប្រក្រដីទៅលើការចុះបញ្ជីនិងទៅលើប្រព័ន្ធឯកសារ (Unusual changes in registry and/or system files)
- ការជួសជុលចន្លោះប្រហោងប្រព័ន្ធក្នុងសភាពប្រថុចញ៉ុច (Abrupt patches of Systems)
តើ IOC អាចត្រូវបានប្រើយ៉ាងដូចម្តេចខ្លះក្នុងការសម្រួលការងារតាមដានចាប់ និងឆ្លើយតបទៅនិងឧប្បត្តិហេតុសន្តិសុខផ្សេងៗ?
តាមរយៈការតាមដានពិនិត្យរកមើល IOC ក្រុមហ៊ុន ឬស្ថាប័នអាចធ្វើការស្វែងរក និងឆ្លើយតបទៅនិងឧប្បទេវហេតុសនិ្តសុខបានល្អ និងមានប្រសិទ្ធិភាព។ វាក៏អាចជួយអោយក្រុមហ៊ុន ឬស្ថាប័នផ្សេងៗអាចរកឃើញសកម្មភាពគួឲ្យសង្ស័យផ្សេងៗដែលមិនអាចរកឃើញដោយកម្មវិធីការពារដ៏ទៃ។ សំខាន់ជាងគេនោះគឹវាអនុញ្ញាតឲ្យក្រុមហ៊ុននិងស្ថាប៏នអាចធ្វើការសម្រេចចិត្តដោះស្រាយបញ្ហាបានរហ័សទាន់ហេតុការណ៍និងមានប្រសិទ្ធិភាពដែលជាកត្តាដែលអាចទប់ស្កាត់ការខូចខាតដទៃធ្ងន់ធ្ងរ។
តើអ្វីទៅជាភាពខុសគ្នារវាង Indicator of Compromise និង Indicators of Attack?
Indicator of Compromise វាសម្រាប់បម្រើឱ្យការត្រួតពិនិត្យចាប់យក (detect) នូវព្រឹត្តិការណ៍សន្តិសុខនានា ហើយនឹងការៈវាយលុក (compromise) ក្នុងខណៈដែល Indicator of Attack បម្រើឱ្យការត្រួតពិនិត្យនិងចាប់យកនូវគោលបំណងរបស់អ្នកវាយប្រហារ។ ដើម្បីធ្វើការគ្រប់គ្រង និងឆ្លើយតបទៅនឹងការវាយលុកណាមួយឱ្យបានជោគជ័យ គឺយើងត្រូវដឹងអំពីអ្វីដែលអ្នកវាយប្រហារព្យាយាមវាយលុក។ ហេតុដូច្នេះហើយ indicators of attack គឺមានសារៈសំខាន់ណាស់។
Indicators of Compromise គឺជួយទៅដល់ក្រុមការងារសន្តិសុខអុីនធឺណែតក្នុងការចាប់បាន (detect) នូវរាល់ការលុកចូល (intrusion)។ ក៏ប៉ុន្តែដើម្បីបញ្ឈប់ការលុកចូលនោះ ក្រុមការងារសន្តិសុខអុីនធឺណែតរបស់អ្នកត្រូវតែដឹងអំពីអ្វីដែលអ្នកវាយប្រហារកំពុងតែមានផែនការ។ ការដឹងអំពីជំហានបន្ទាប់ ហើយនឹងបំណងនៃអ្នកវាយប្រហារ វានឹងផ្តល់នូវគន្លឹះមួយដ៏សំខាន់ដើម្បីធ្វើការទប់ស្កាត់៕
ចូលរួមទៅក្នុងបន្ទប់ផ្តល់ព័ត៌មាន Telegram channel សម្រាប់ទទួលបានព័ត៌មានចុងក្រោយស្តីពីសន្តិសុខអុិនធឺណិតទាំងក្នុង និងក្រៅប្រទេស៖ https://t.me/infosecisac ។ ចង់ផ្សព្វផ្សាយពាណិជ្ជកម្ម សូមទំនាក់ទំនង info@secudemy.com.
Subscribe to our Telegram channel for the latest updates on the Cybersecurity Breaking News in both locally and internationally: https://t.me/infosecisac. For advertising: info@secudemy.com