Trace Id is missing
Siirry pääsisältöön
Microsoft Security

Mikä on kyberuhkien etsintä?

Kyberuhkien etsintä on prosessi, jossa etsitään ennakoivasti tuntemattomia tai havaitsemattomia uhkia organisaation verkosta, päätepisteistä ja tiedoista.

Miten kyberuhkien etsintä toimii

Kyberuhkien etsintä käyttää uhkien etsijöitä etsimään ennaltaehkäisevästi mahdollisia uhkia ja hyökkäyksiä järjestelmästä tai verkosta. Näin voit vastata ketterästi ja tehokkaasti yhä monimutkaisempiin ihmisten tekemiin kyberhyökkäyksiin. Vaikka perinteiset kyberturvallisuusmenetelmät tunnistavat tietoturvarikkomukset sen jälkeen, kyberuhkien etsintä toimii olettaen, että tietomurto on tapahtunut, ja se voi tunnistaa, mukauttaa ja reagoida mahdollisiin uhkiin heti havaitsemisen jälkeen.

Kehittyneet hyökkääjät voivat murtautua organisaatioon ja pysyä tunnistamattomina pitkiä aikoja (päiviä, viikkoja tai jopa pidempään). Kyberuhkien etsinnän lisääminen nykyiseen suojaustyökalujen profiiliisi, kuten päätepisteen tunnistukseen ja käsittelyyn (EDR) sekä suojaustietoihin ja tapahtumien hallintaan (SIEM), voi auttaa estämään ja korjaamaan hyökkäyksiä, jotka eivät muuten jää havaitsematta automaattisilta suojaustyökaluilta.

Automaattinen uhkien etsintä

Kyberuhkien etsijät voivat automatisoida prosessin tiettyjä ominaisuuksia koneoppimisen, automaation ja tekoälyn avulla. SIEM:n ja EDR:n kaltaisten ratkaisujen hyödyntäminen voi auttaa uhkien etsijöitä tehostamaan etsintämenetelmiä valvomalla, havaitsemalla ja reagoimalla mahdollisiin uhkiin. Uhkien etsijät voivat luoda ja automatisoida erilaisia käsikirjoja vastatakseen erilaisiin uhkiin, mikä vähentää IT-tiimien taakkaa aina, kun samanlaisia hyökkäyksiä ilmenee.

Työkalut ja tekniikat kyberuhkien etsintään

Uhkien etsijöillä on käytettävissään useita työkaluja, kuten SIEM ja XDR, jotka on suunniteltu toimimaan yhdessä.

  • SIEM: Ratkaisu, joka kerää tietoja useista lähteistä reaaliaikaisen analyysin avulla, voi tarjota uhkien etsijöille vihjeitä mahdollisista uhkista.
  • Laajennettu havaitseminen ja reagointi (XDR): Uhkien etsijät voivat käyttää XDR:ää, joka tarjoaa uhkatietoja ja automaattista hyökkäysten keskeyttämistä, jotta ne saavat paremman näkyvyyden uhkiin.
  • EDR: EDR, joka valvoo loppukäyttäjien laitteita, tarjoaa myös uhkien etsijöille tehokkaan työkalun, joka antaa heille tietoa mahdollisista uhkista organisaation kaikissa päätepisteissä.

Kyberuhkien etsinnän kolme tyyppiä

Kyberuhkien etsintä tapahtuu yleensä jollakin seuraavista kolmesta muodosta:

Rakenteellinen: Rakenteellisessa etsinnässä uhkien etsijät etsivät epäilyttäviä taktiikoita, tekniikoita ja toimenpiteitä, jotka viittaavat mahdollisiin uhkiin. Sen sijaan, että uhkan etsijä olisi lähestymässä tietoja tai järjestelmää ja etsimässä tietomurtoja, se luo hypoteesin mahdollisen hyökkääjän menetelmästä ja pyrkii järjestelmällisesti tunnistamaan hyökkäyksen oireet. Koska jäsennetty etsintä on ennakoivampi lähestymistapa, tätä taktiikkaa käyttävät IT-ammattilaiset voivat usein pysäyttää hyökkääjiä nopeasti.

Rakenteeton: Rakenteettomassa etsinnässä kyberuhkien etsijä etsii vaarantumisindikaattoria (IoC) ja suorittaa haun tästä lähtökohdasta. Koska uhkien etsijä voi palata takaisin ja etsiä historiallisia tietoja kuvioista ja vihjeistä, rakenteettomalla etsinnällä voidaan joskus tunnistaa aiemmin havaitsemattomia uhkia, jotka saattavat silti altistaa organisaation uhille.

Tilannekohtainen: Tilannekohtainen uhkien etsintä priorisoi tietyt resurssit tai tiedot digitaalisessa ekosysteemissä. Jos organisaatio arvioi, että tietyt työntekijät tai resurssit ovat suurimmat riskit, se voi ohjata kyberuhkien etsijöitä keskittämään voimansa tai estämään tai korjaamaan hyökkäyksiä näitä haavoittuvassa asemassa olevia henkilöitä, tietojoukkoja tai päätepisteitä vastaan.

Uhkien etsinnän vaiheet ja toteutus

Kyberuhkien etsijät noudattavat usein näitä perusvaiheita uhkien ja hyökkäysten tutkimisessa ja korjaamisessa:

  1. Luo teorian tai hypoteesin mahdollisesta uhasta. Uhkien etsijät saattavat aloittaa tunnistamalla hyökkääjän yleiset TTP:t.
  2. Tekee tutkimusta. Uhkien etsijät tutkivat organisaation tietoja, järjestelmiä ja toimintoja – SIEM-ratkaisu voi olla hyödyllinen työkalu – ja keräävät ja käsittelevät olennaisia tietoja.
  3. Tunnistaa käynnistimen. Tutkimushavainnot ja muut suojaustyökalut voivat auttaa uhkien etsijöitä määrittämään tutkimuksensa lähtöpisteen.
  4. Tutkii uhan. Uhkien etsijät selvittävät tutkimus- ja tietoturvatyökalujensa avulla, onko uhka haitallinen.
  5. Vastaa ja korjaa. Uhkien etsijät ryhtyvät toimiin ratkaistakseen uhan.

Uhkien tyypit, joita etsijät voivat havaita

Kyberuhkien etsintä pystyy tunnistamaan monenlaisia uhkia, kuten seuraavat:

  • Haittaohjelmat ja virukset: Haittaohjelmat haittaavat normaalien laitteiden käyttöä hankkimalla luvattoman pääsyn päätepistelaitteisiin. Tietojen kalastelu -hyökkäykset, vakoiluohjelmat, mainosohjelmat, troijalaiset, madot ja kiristysohjelmat ovat kaikki esimerkkejä haittaohjelmista. Virukset, jotka ovat yleisimpiä haittaohjelmamuotoja, on suunniteltu häiritsemään laitteen normaalia toimintaa tallentamalla, vioittamalla tai poistamalla sen tiedot ennen leviämistä verkon muihin laitteisiin.
  • Sisäiset uhat: Sisäiset uhat johtuvat henkilöistä, joilla on valtuutettu käyttöoikeus organisaation verkkoon. Nämä sisäiset käyttäjät käyttävät väärin tai aiheuttavat vahinkoa organisaation verkoille, tiedoille, järjestelmille tai laitteistoille joko haitallisella toiminnalla tai tahattomalla tai huolimattomalla käyttäytymisellä.
  • Kehittyneet jatkuvat uhat: Kehittyneet toimijat, jotka murtautuvat organisaation verkkoon ja pysyvät tunnistamattomina jonkin aikaa, edustavat kehittyneitä jatkuvia uhkia. Nämä hyökkääjät ovat taitavia ja usein niillä on hyvät resurssit.
    Käyttäjän manipulointi -hyökkäykset: Kyberhyökkääjät voivat käyttää manipulointia ja petosta johtaakseen organisaation työntekijöitä antamaan käyttöoikeus tai luottamuksellisia tietoja. Yleisiä käyttäjän manipulointi -hyökkäyksiä ovat tietojenkalastelu, houkuttelu ja vakoiluohjelmat.

 

Kyberuhkien etsinnän parhaat käytännöt

Kun toteutat kyberuhkien etsintäprotokollaa organisaatiossasi, pidä mielessä seuraavat parhaat käytännöt:

  • Anna uhkien etsijöille täysi näkyvyys organisaatioosi. Uhkien etsijät menestyvät parhaiten, kun ne ymmärtävät kokonaiskuvan.
  • Ylläpidä täydentäviä suojaustyökaluja kuten SIEM, XDR ja EDR. Kyberuhkien etsijät luottavat näiden työkalujen tarjoamiin automaatioihin ja tietoihin, jotta ne voivat tunnistaa uhat nopeammin ja laajemmassa kontekstissa, mikä nopeuttaa niiden ratkaisemista.
  • Pysy ajan tasalla uusimmista nousevista uhkista ja taktiikoista. Hyökkääjät ja heidän taktiikkansa kehittyvät jatkuvasti – varmista, että uhkien etsijöillä on ajantasaisimmat resurssit nykyisiin trendeihin.
  • Kouluta työntekijöitä tunnistamaan epäilyttävät toimintatavat ja ilmoittamaan niistä. Vähennä sisäpiiriuhkien mahdollisuutta pitämällä ihmiset ajan tasalla.
  • Ota käyttöön haavoittuvuuksien hallinta, jotta voit vähentää organisaation yleistä riskialttiutta.

Miksi uhkien etsintä on tärkeää organisaatioille

Kun pahantahtoiset toimijat kehittyvät yhä paremmiksi hyökkäysmenetelmissään, on tärkeää, että organisaatiot investoivat ennakoivaan kyberuhkien etsintään. Kyberuhkien etsintä täydentää passiivisempia uhkien torjuntamuotoja, ja se sulkee tietoturva-aukot, jolloin organisaatiot voivat korjata uhkia, joita ei muuten havaita. Monimutkaisten hyökkääjien uhkien poistaminen tarkoittaa, että organisaatioiden on suojattava itseään säilyttääkseen luottamuksensa arkaluonteisten tietojen käsittelyyn ja vähentääkseen tietoturvarikkomuksiin liittyviä kustannuksia.

Tuotteet, kuten Microsoft Sentinel, voivat auttaa pysymään uhkien edellä keräämällä, tallentamalla ja käyttämällä historiallisia tietoja pilvipalvelun mittakaavassa, virtaviivaistamalla tutkimuksia ja automatisoimalla yleisiä tehtäviä. Nämä ratkaisut voivat tarjota kyberuhkien etsijöille tehokkaita työkaluja, jotka auttavat pitämään organisaatiosi suojattuna.

Lue lisää Microsoft Securitysta

Microsoft Sentinel

Tunnista ja pysäytä uhat koko yrityksessäsi älykkään tietoturva-analytiikan avulla.

Lue lisää

Microsoft Defenderin etsintäasiantuntijat

Laajenna ennakoiva uhkien etsintä päätepisteiden ulkopuolelle.

Lue lisää

Microsoft Defender Threat Intelligence

Auta suojaamaan organisaatiotasi moderneilta vastustajilta ja uhilta, kuten kiristysohjelmilta.

Lue lisää

SIEM ja XDR

Tunnista ja tutki uhkia ja reagoi niihin koko digitaalisella alueellasi.

Lue lisää

Usein kysytyt kysymykset

  • Esimerkki kyberuhkien etsinnästä on hypoteesipohjainen etsintä, jossa uhkien etsijä tunnistaa epäillyt taktiikat, tekniikat ja menettelyt, joita hyökkääjä saattaa käyttää, ja etsii sitten todisteita niistä organisaation verkosta.

  • Uhkien havaitseminen on aktiivinen, usein automatisoitu lähestymistapa kyberturvallisuuteen, kun taas uhkien etsintä on ennakoiva, ei-automatisoitu lähestymistapa.

  • Tietoturvakeskus (SOC) on keskitetty toiminto tai tiimi, joka on joko paikan päällä tai ulkoistettu ja vastuussa organisaation kyberturvallisuustason parantamisesta sekä uhkien estämisestä, havaitsemisesta ja niihin vastaamisesta. Kyberuhkien etsintä on yksi SOC:n taktiikoista uhkien tunnistamiseen ja korjaamiseen.

  • Kyberuhkien etsintätyökalut ovat IT-tiimien ja uhkien etsijöiden käytettävissä olevia ohjelmistoresursseja uhkien havaitsemiseksi ja korjaamiseksi. Uhkien etsintätyökaluja ovat esimerkiksi virustentorjunta ja palomuurisuojaukset, EDR-ohjelmistot, SIEM-työkalut ja data-analytiikka.

  • Kyberuhkien etsinnän pääasiallinen tarkoitus on havaita ja korjata kehittyneitä uhkia ja hyökkäyksiä ennakoivasti, ennen kuin ne vahingoittavat organisaatiota.

  • Kyberuhkatietämys sisältää tiedot, joita kyberturvallisuusohjelmistot keräävät usein automaattisesti osana suojausprotokolliaan suojautuakseen kyberhyökkäyksiltä. Uhkien etsiminen edellyttää uhkatiedoista kerättyjen tietojen keräämistä ja niiden käyttämistä hypoteesien ja toimintojen ilmoittamiseen uhkien etsimiseksi ja korjaamiseksi.

Seuraa Microsoftia