Индикатор атаки (IoA)
Что такое Индикатор атаки (IoA)?
Индикатор атаки (IoA)Поведенческое свидетельство того, что злоумышленник прямо сейчас совершает попытку вторжения, ориентированное на намерения и технику, а не на постфактумные артефакты.
Индикатор атаки описывает текущее поведение противника: выполнение кода, попытки закрепления, эскалацию привилегий, извлечение учётных данных, латеральное движение, эксфильтрацию. В отличие от IoC — атомарных и легко заменяемых артефактов, — IoA привязаны к техникам и их сложнее обойти, поскольку для этого нужно менять сам способ работы. IoA удобно ложатся на техники MITRE ATT&CK и лежат в основе поведенческого обнаружения в EDR, XDR и современных SIEM. Эффективный IoA фиксирует «почему» и «как» действия — например, процесс Office запускает PowerShell для скачивания с внешнего домена — и позволяет реагировать до возникновения ущерба.
● Примеры
- 01
IoA срабатывает, когда winword.exe запускает powershell.exe с закодированной командной строкой.
- 02
IoA кражи учётных данных: доступ к памяти LSASS неподписанным процессом.
● Частые вопросы
Что такое Индикатор атаки (IoA)?
Поведенческое свидетельство того, что злоумышленник прямо сейчас совершает попытку вторжения, ориентированное на намерения и технику, а не на постфактумные артефакты. Относится к категории Защита и операции в кибербезопасности.
Что означает Индикатор атаки (IoA)?
Поведенческое свидетельство того, что злоумышленник прямо сейчас совершает попытку вторжения, ориентированное на намерения и технику, а не на постфактумные артефакты.
Как защититься от Индикатор атаки (IoA)?
Защита от Индикатор атаки (IoA) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Индикатор атаки (IoA)?
Распространённые альтернативные названия: IoA, Поведенческий индикатор.