İngiltere’nin Ulusal Siber Güvenlik Merkezi, alışılmadık bir adım atarak, kurumsal bir sistemin veri ihlaline maruz kaldığını gösteren belirtiler olan risk göstergelerini (IoC’ler) tartışan bir İnternet Mühendisliği Görev Gücü Yorum İsteği (IETF RFC) yazdı.
RFC’ler, internet protokollerinin ve teknolojilerinin tanımlandığı ve standartlaştırıldığı internetin temel belgeleridir.
NCSC’nin “bilgilendirici” belgesi RFC 9424 Ağustos ayında kabul edildi ve ajans bu blog yazısında amacını tartışıyor.
Gönderinin amacı, güvenlik profesyonellerinin aşina olduğu bilgileri, güvenlik uzmanı olmayabilecek “IETF ile ilgilenen ve geleceğin internetini tasarlayan” kişilerin dikkatine sunmaktır.
Gönderide, “IETF gibi standart organlar, geleceğin internetini tanımlayacak tasarım kararlarının alındığı yerdir” ifadesine yer verildi.
Ajans, güvenlik ihlali göstergelerine yönelik giriş bölümünün, bir saldırganı barındırabilecek IP adresinden, bir saldırganın veya kampanyanın kullandığı araç ve tekniklere kadar “saldırganla ilişkili gözlemlenebilir eserleri” tanımlamak üzere tasarlandığını söylüyor.
NCSC’nin yazarı Andrew S, IoC’lerin “kimlik avı siteleri için alan adları, kötü amaçlı yazılım komuta ve kontrol sunucularının IP adresleri veya kötü amaçlı yürütülebilir dosyaların kriptografik karmaları gibi şeyler olabileceğini” açıkladı.
“Kötü amaçlı etkinlikleri tespit etmek ve bunu belirli bir aktöre bağlamak için nispeten basit bir yol sağlarken, aynı zamanda kuruluşlar arasında hızlı bir şekilde paylaşılması da çok kolay.”
RFC, IoC’lerin piramit hiyerarşisini sunar.
En üstte, saldırganın değiştirmesi en zor olan ancak nispeten düşük hassasiyetli IoC’ler sunan (örneğin, hangi kimlik avı e-postasının hangi saldırganla ilişkilendirilebileceği) saldırganın “taktikleri, teknikleri ve prosedürleri” yer alır.
Alt kısımda IP adresleri ve kötü amaçlı yazılım karma değerleri oldukça kesindir ancak saldırganın değiştirmesi çok kolaydır.