ما هي مؤشرات الاختراق؟
هي الأدلة والبيانات التي تشير إلى أن النظام ربما يكون قد اختُرق بسبب تهديد إلكتروني، وتفيد فرق الأمن السيبراني في معرفة البيانات المهمة لاتخاذ القرار حيال الاختراق.
أهمية مؤشرات الاختراق
يمكن للمحققين جمع مؤشرات الاختراق بعد ملاحظة النشاط المشبوه أو تلقائياً كجزء من مهام أدوات مراقبة الأمن السيبراني للمؤسسة، ويمكن استخدام هذه المعلومات للمساعدة على التخفيف من الهجوم على النظام أو معالجة حدث أمني قائم، إضافة لإنشاء أدوات أكثر ذكاءً يمكنها اكتشاف الملفات المشبوهة في المستقبل.
بعض مؤشرات الاختراق
تشمل بعض مؤشرات الاختراق التي يبحث عنها فريق الأمن السيبراني ما يلي:
- ملاحظة حركة مرور غير عادية على الشبكة أو سلوك شاذ.
- وجود تطبيقات غير معروفة داخل النظام.
- نشاط غير عادي من المدير أو الحسابات المميزة، مثل طلب الحصول على أذونات إضافية.
- زيادة في عمليات تسجيل الدخول غير الصحيحة أو طلبات الوصول التي قد تشير إلى هجمات القوة العمياء.
- زيادة حجم قاعدة البيانات.
- طلبات غير عادية في نظام أسماء النطاقات (DNS) وبيانات التسجيل والمصادقة.
- تغييرات الإعدادات في الأذونات غير المصرح بها، بما في ذلك ملفات تعريف الأجهزة المحمولة.
- وجود كميات كبيرة من الملفات المضغوطة أو حزم البيانات في مواقع غير صحيحة.