Trace Id is missing
Преминаване към основното съдържание
Microsoft Security

Какво представлява проактивно търсене на киберзаплахи?

Издирването на киберзаплахи е процес на активно търсене на неизвестни или неоткрити заплахи в мрежата, крайните точки и данните на организацията.

Как работи проактивно търсене на киберзаплахи

Проактивното търсене на киберзаплахи използва проактивни търсачи на заплахи за превантивно търсене на потенциални заплахи и атаки в дадена система или мрежа. По този начин се дава възможност за гъвкави и ефикасни реакции на все по-сложни и управлявани от хора кибератаки. Докато традиционните методи за киберсигурност идентифицират нарушенията на сигурността постфактум, проактивното търсене на киберзаплахи работи с предположението, че нарушението е настъпило, и може да идентифицира, адаптира и реагира на потенциалните заплахи веднага след откриването им.

Усъвършенстваните нападатели могат да проникнат в организацията и да останат неразкрити за продължителни периоди от време - дни, седмици или дори повече. Добавяне на проактивно търсене на киберзаплахи към съществуващия профил от инструменти за сигурност, като откриване на крайни точки и реагиране (EDR) и информация за защита и управление на събития (SIEM), може да ви помогне да предотвратите и поправите атаки, които в противен случай биха останали неоткрити от автоматизираните инструменти за сигурност.

Автоматизирано проактивно търсене на заплахи

Проактивните търсачи на киберзаплахи могат да автоматизират някои аспекти на процеса, като използват машинно обучение, автоматизация и изкуствен интелект. Възползването от решения като SIEM и EDR може да помогне на проактивните търсачи на заплахи да рационализират процедурите за лов чрез наблюдение, откриване и реагиране на потенциални заплахи. Проактивните търсачи на заплахи могат да създават и автоматизират различни наръчници, за да реагират на различни заплахи, като по този начин намаляват тежестта върху ИТ екипите при появата на подобни атаки.

Инструменти и техники за проактивно търсене на киберзаплахи

Проактивните търсачи на заплахи разполагат с множество инструменти, включително решения като SIEM и XDR, които са проектирани да работят заедно.

  • SIEM: Решение, което събира данни от множество източници с анализ в реално време, SIEM може да предостави на проактивните търсачи на заплахи информация за потенциални заплахи.
  • Разширено откриване и реакция (XDR): Проактивните търсачи на заплахи могат да използват XDR, който осигурява разузнаване на заплахите и автоматизирано прекъсване на атаките, за да постигнат по-добра видимост на заплахите.
  • EDR: EDR, следи устройствата на крайните потребители, предоставя на проактивните търсачи на заплахи мощен инструмент, който им дава представа за потенциалните заплахи във всички крайни точки на организацията.

Три вида проактивно търсене на киберзаплахи

Проактивното търсене на киберзаплахи обикновено приема една от следните три форми:

Структурирани: При структурираното проактивно търсене, ловците на заплахи търсят подозрителни тактики, техники и процедури (TTP), които подсказват за потенциални заплахи. Вместо да се обръща към данните или системата и да търси нарушители, проактивният търсач на заплахи създава хипотеза за метода на потенциалния нападател и методично работи за идентифициране на симптомите на тази атака. Вместо да се обръща към данните или системата и да търси нарушители, проактивният ловец на заплахи създава хипотеза за метода на потенциалния нападател и методично работи за идентифициране на симптомите на тази атака.

Неструктурирани: При неструктурирано проактивно търсене търсачът на киберзаплахи търси индикатор на компрометиране (IoC) и провежда търсенето от тази отправна точка. Тъй като проактивният търсач на заплахи може да се върне назад и да търси модели и улики в историческите данни, неструктурираният лов понякога може да идентифицира неоткрити досега заплахи, които все още могат да изложат организацията на риск.

Ситуационни: Ситуационното проактивно търсене приоритизира конкретни ресурси или данни в цифровата екосистема. Ако организацията прецени, че определени служители или активи са най-рискови, тя може да насочи усилията на проактивните търсачи на киберзаплахи към предотвратяване или отстраняване на атаки срещу тези уязвими хора, масиви от данни или крайни точки.

Стъпки за проактивно търсене и изпълнение

Проактивните търсачи на киберзаплахи често следват тези основни стъпки при разследването и отстраняването на заплахи и атаки:

  1. Създайте теория или хипотеза за потенциална заплаха. Търсачите на заплахи могат да започнат с идентифициране на обичайните методи за действие на нападателя.
  2. Провеждане на изследвания. Търсачите на заплахи проучват данните, системите и дейностите на организацията - решение SIEM може да бъде полезен инструмент - и събират и обработват съответната информация.
  3. Идентифициране на активатора. Резултатите от проучванията и други инструменти за сигурност могат да помогнат на търсачите на заплахи да определят отправна точка за своето разследване.
  4. Разследване на заплаха. Търсачите на заплахи използват своите проучвания и инструменти за сигурност, за да определят дали заплахата е злонамерена.
  5. Реагирайте и коригирайте. Търсачите на заплахи предприемат действия за отстраняване на заплахата.

Видове заплахи, които търсачите могат да открият

Проактивното търсене на киберзаплахи може да идентифицира широк спектър от различни заплахи, включително следните:

  • Зловреден софтуер и вируси: Злонамерен софтуер възпрепятства използването на нормални устройства, като получава неоторизиран достъп до крайните устройства. Фишинг атаки, шпионски и рекламен софтуер, троянски коне, червеи и рансъмуер, са примери за зловреден софтуер. Вирусите, някои от най-разпространените форми на зловреден софтуер, са проектирани да пречат на нормалната работа на дадено устройство, като записват, повреждат или изтриват неговите данни, преди да се разпространят до други устройства в мрежата.
  • Вътрешни заплахи: Вътрешните заплахи произтичат от лица с оторизиран достъп до мрежата на организацията. Независимо дали става дума за злонамерени действия или за непреднамерено или небрежно поведение, тези вътрешни лица злоупотребяват с мрежите, данните, системите или съоръженията на организацията или им причиняват вреди.
  • Усъвършенствани постоянни заплахи: Усъвършенстваните участници, които проникват в мрежата на дадена организация и остават незабелязани за определен период от време, представляват усъвършенствани постоянни заплахи. Тези нападатели са опитни и често разполагат с достатъчно ресурси.
    Социално-инженерни атаки: Кибератаките могат да използват манипулация и измама, за да заблудят служителите на дадена организация и да ги накарат да предоставят достъп или чувствителна информация. Обичайните атаки на социалното инженерство включват фишинг, примамка и сплашващ софтуер.

 

Най-добри практики за проактивно търсене на киберзаплахи

Когато внедрявате протокол за проактивно търсене на киберзаплахи във вашата организация, имайте предвид следните най-добри практики:

  • Осигурете на ловците на заплахи пълна видимост към вашата организация. Търсачите на заплахи са най-успешни, когато разбират цялостната картина.
  • Поддържане на допълнителни инструменти за защита, като SIEM, XDR и EDR. Търсачите на кибернетични заплахи разчитат на автоматизациите и данните, предоставени от тези инструменти, за да идентифицират заплахите по-бързо и с по-голям контекст за по-бързо разрешаване.
  • Бъдете информирани за най-новите нововъзникващи заплахи и тактики. Нападателите и техните тактики непрекъснато се развиват - уверете се, че вашите ловци на заплахи разполагат с най-актуалните ресурси за текущите тенденции.
  • Обучете служителите да разпознават и докладват за подозрително поведение. Намалете възможността за вътрешни заплахи, като информирате служителите си.
  • Въведете управление на уязвимости, за да намалите цялостното излагане на риск на вашата организация.

Защо проактивно търсене на заплахи е важно за организациите

Тъй като злонамерените участници стават все по-усъвършенствани в методите си на атака, за организациите е жизненоважно да инвестират в проактивно търсене на киберзаплахи. В допълнение към по-пасивните форми на защита от заплахи проактивното търсене на киберзаплахи запълва пропуските в сигурността, като позволява на организациите да коригират заплахи, които иначе не биха били открити. Засилващите се заплахи от сложни нападатели означават, че организациите трябва да засилят защитата си, за да запазят доверието в способността си да обработват чувствителни данни и да намалят разходите, свързани с пробиви в сигурността.

Продукти като Microsoft Sentinel могат да ви помогнат да изпреварите заплахите чрез събиране, съхраняване и достъп до исторически данни в облачен мащаб, рационализиране на разследванията и автоматизиране на обичайните задачи. Тези решения могат да предоставят на търсачите на киберзаплахи мощни инструменти, които да помогнат на вашата организация да бъде защитена.

Научете повече за Microsoft Security

Microsoft Sentinel

Преглеждайте и спирайте заплахите в цялото си предприятие с интелигентен анализ на защитата.

Научете повече

Експерти за проактивно търсене на Microsoft Defender

Разширете проактивното търсене на заплахи отвъд крайните точки.

Научете повече

Разузнаване за заплахи на Microsoft Defender

Помогнете за защитата на вашата организация от модерни противници и заплахи, като например рансъмуер.

Научете повече

SIEM и XDR

Откривайте, разследвайте и реагирайте на заплахи в цялата си цифрова собственост.

Научете повече

Често задавани въпроси

  • Пример за проактивно търсене на киберзаплахи е проактивно търсене, основано на хипотези, при който търсачът на заплахи идентифицира предполагаеми тактики, техники и процедури, които нападателят може да използва, след което търси доказателства за тях в мрежата на организацията.

  • Откриването на заплахи е активен, често автоматизиран, подход към киберсигурността, докато проактивното търсене на заплахи е проактивен, неавтоматизиран подход.

  • Оперативният център за сигурност (SOC) е централизирана функция или екип, разположен на място или възложен на външен изпълнител, който отговаря за подобряване на състоянието на киберсигурността на организацията и за предотвратяване, откриване и реагиране на заплахи. Проактивното търсене на киберзаплахи е една от тактиките, които SOC използват за идентифициране и отстраняване на заплахи.

  • Инструментите за проактивно търсене на киберзаплахи са софтуерни ресурси, достъпни за ИТ екипите и търсачите на заплахи, които помагат за откриване и отстраняване на заплахи. Примерите за инструменти за проактивно търсене на заплахи включват антивирусни и защитни стени, софтуер за EDR, инструменти SIEM и анализ на данни.

  • Основната цел на проактивното търсене на киберзаплахи е проактивно откриване и отстраняване на сложни заплахи и атаки, преди те да навредят на организацията.

  • Разузнаване за заплахи е информацията и данните, които софтуерът за киберсигурност събира, често автоматично, като част от своите протоколи за сигурност с цел по-добра защита срещу кибератаки. Проактивното търсене на заплахи включва използването на информация, събрана от разузнаването на заплахите, и използването ѝ за формулиране на хипотези и действия за търсене и отстраняване на заплахи.

Следвайте Microsoft