攻击指标(IoA)

Q: 攻击指标(IoA) 是什么?

表明攻击者当前正在尝试入侵的行为证据,聚焦于意图与技术,而非事后留下的工件。 它属于网络安全的 防御与运营 分类。

Q: 如何防御 攻击指标(IoA)?

针对 攻击指标(IoA) 的防御通常结合技术控制与运营实践,详见上方完整定义。

Q: 攻击指标(IoA) 还有哪些其他名称?

常见的别称包括: IoA, 行为指标。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

攻击指标(IoA) 是什么?

攻击指标(IoA)表明攻击者当前正在尝试入侵的行为证据,聚焦于意图与技术,而非事后留下的工件。

攻击指标(IoA)描述正在发生的攻击者行为:代码执行、持久化尝试、权限提升、凭据转储、横向移动、数据外泄等。与原子化且易被攻击者更换的 IoC 不同,IoA 与技术挂钩,要绕过它必须更换底层作战手法,因此更难规避。IoA 可清晰映射到 MITRE ATT&CK 技术,是 EDR、XDR 和现代 SIEM 中行为检测的核心。优秀的 IoA 关注动作的"为什么"和"怎么做",例如 Office 进程派生 PowerShell 并从外部域下载文件,从而在损害产生前触发响应。

● 示例

01
当 winword.exe 派生带有编码命令行的 powershell.exe 时,触发 IoA。
02
凭据窃取 IoA:未签名进程访问 LSASS 内存。

● 常见问题

攻击指标(IoA) 是什么?

表明攻击者当前正在尝试入侵的行为证据,聚焦于意图与技术,而非事后留下的工件。它属于网络安全的防御与运营分类。

攻击指标(IoA) 是什么意思?

表明攻击者当前正在尝试入侵的行为证据,聚焦于意图与技术,而非事后留下的工件。

如何防御攻击指标(IoA)?

针对攻击指标(IoA) 的防御通常结合技术控制与运营实践,详见上方完整定义。

攻击指标(IoA) 还有哪些其他名称?

常见的别称包括: IoA, 行为指标。

攻击指标(IoA)

攻击指标(IoA) 是什么?

● 示例

● 常见问题

● 相关术语

● 另见