由于依赖感染指标（IOCs）的安全 *** 越来越不可靠，“突破口假设”成为业界公共的表示 *** 。 这种情况经常发生，直到外部主机发现一个缺口并通知机构之前，入侵都没有办法检测到。作为基于签名的解决方案和从第三方获取问题信息的替代， *** 防御者需要来自于已经进入企业内部的未知敌手的“突破口假设”。 给定越来越多攻击者的目标和个人信息， *** 防御者必须在已知IOC的基础上扩大搜索范围，并且在他们的 *** 中寻找未知的突破口。这个系统追踪未知攻击者的 *** 被叫做 *** 攻击追踪。

对攻击者的追踪并非没有难度，一些企业（防御者）认为追踪超出了他们的能力和资源。 防御者需要强大的工具筛选大量的数据来快速防御和处理威胁。一个功能齐全的追踪平台极大的提升了追踪者的能力，但是安全预算有限并且公司不会总是投资有前途的技术。幸运的是，有好几种廉价的追踪方式。

在这个月的SANS威胁追踪和应急响应会议，Endgame解决了一些误解并且描述了一些 *** ，安全专家可以在没有大量的预算的前提下开始追踪。这是这个系列的之一篇，告诉大家如何在你的 *** 上廉价的追踪入侵者。

IOC搜索的局限性

IOC是什么？

安全事件调查人员在安全事件应急响应过程中面临的其中一个挑战是，找一个有效的 *** 把所有调查过程中的信息组织起来，这些信息包括攻击者的活动、所用的工具、恶意软件、或者其他的攻击指示器（indicators of compromise），简称IOC。

*** 层的安全有传统的IOC相关搜索 *** ，比如域名黑名单，IP黑名单和一些CIDR，或者用Snort或者Bro来寻找恶意事件的相关签名。随着恶意技术的快速发展攻击者的基础设置越来越动态很难从合法服务器中区分开来，用 *** IOC来检测威胁变得越来越难效果也越来越差。 也就是说， *** IOC很快会被淘汰掉。 攻击者经常监视他们的 *** 资产，一旦发现过滤清单，他们会迁移到其他的终端。一些攻击者将攻击程序分割放到每个攻击目标上，来减少相关的IOC信息。

云计算加剧了IOC搜索相关的挑战，攻击者很容易就能从主机提供商处获取IP地址。相似的，新的 ccTLD 和ICANN tld 只需要很少的信息校验，使得这个变得更容易和廉价甚至是免费的，并且由于WHOIS的隐私服务注册者的信息不会被公开。

由于这些原因，我们需要更智能的 *** ，为了代替追踪过去和搜索已知的错误， *** 防御者寻找模型和相关未知错误的信号。一旦识别到之前未知的恶意行为标识，组织可以激活他们的响应程序。