Behavioral IOC-k fontossága a felhőben
A behavioral IOC-k olyan kulcsfontosságú mutatók, amelyek a rosszindulatú szándékra utaló tevékenységi mintákon alapulnak. Arra összpontosítanak, hogy a támadók hogyan használják ki a rendszereket, nem pedig az általuk használt egyedi eszközökre vagy erőforrásokra. Ezek a mutatók jellemzően a felhasználói viselkedés anomáliáit, a szokatlan API-tevékenységet vagy a konfigurációk és engedélyek egyedi módosításait jelentik. A behavioral indikátorok a runtime telemetriához és a tevékenységi naplókhoz kapcsolódnak, és ezért az atomic indikátoroknál (az atomic IoC-k például az IP-címek, e-mail címek, sérülékenységi azonosítók, hosztnevek, folyamatnevek, fájlnevek, tartománynevek) összetettebb észlelésekben kerülnek felhasználásra. Ha a Taktikák, technikák és eljárások (TTP-k) leírják, hogy mit csinál egy támadó, akkor a viselkedési IOC-k azt jelentik, hogy honnan tudjuk, hogy ezt egy adott környezetben tette.
A Wiz sorozatának első részében azt tárgyalták, hogy a felhőkörnyezetek egyedi infrastruktúrája hogyan teremt lehetőséget a kompromittálódás új és hasznos atomic indikátorai számára. Ebben a részben az érem másik oldalát – a viselkedéses IOC-kat – vizsgálják. A Wiz blogbejegyzése részletesen kitér az általuk „Bapak”-nak nevezett kiberszereplő által végzett rosszindulatú tevékenységre, amely egy opportunista szereplő, aki visszaél az exposed kulcsokkal.
A behavioral indikátorok a következő tevékenységek bármelyikének leírására használhatók, ahogyan az a különböző naplókban, például a CloudTrailben megjelenik:
> Műveletek (pl. CreateUser)
> Speciális paraméterértékekkel rendelkező műveletek (pl. CreateUser a ses_xcatze névvel).
> Műveletsorozatok / idősorozatok (ahol a műveletek sorrendje és időzítése egy adott szkript használatára utalhat).
> Kontextusfüggő műveletek (pl. API-hívás egy TOR IP-címről olyan környezetben, ahol a TOR általában nincs használatban).
Ezek alapján a behavioral IOC-k két fő kategóriára oszthatók: egy ismert szereplőre vagy eszközre jellemző műveletek vagy műveletsorozatok és a TTP-k általános azonosítói, amelyek nem egy ismert szereplőre vagy eszközre jellemzőek.
