Trace Id is missing
Pereiti prie pagrindinio turinio
„Microsoft“ sauga

Kokie yra pažeidimo požymiai (PP)?

Sužinokite, kaip stebėti, identifikuoti, naudoti ir reaguoti į pažeidimo požymius.

Atraskite „Microsoft Defender“ grėsmių žvalgybą

Pažeidimo požymių paaiškinimai

Pažeidimo požymiai (PP) yra įrodymas, kad kažkas galėjo pažeisti organizacijos tinklą arba galinį punktą. Šie techniniai duomenys ne tik nurodo galimą grėsmę, bet ir žymi, kad ataka jau įvyko, pvz., kenkėjiška programa, pažeisti kredencialai arba neteisėtas duomenų perkėlimas. Saugos specialistai PP ieško įvykių žurnaluose, išplėstinis aptikimas ir reagavimas (XDR) išplėstinio aptikimo ir reagavimo (XDR) sprendimuose ir saugos informacijos ir įvykių valdymo (SIEM) sprendimuose. Atakos metu komanda naudoja PP, kad pašalintų grėsmę ir sumažintų žalą. Atkūrus, PP padeda organizacijai geriau suprasti, kas atsitiko, kad organizacijos saugos komanda galėtų sustiprinti saugą ir sumažinti kitų panašių incidentų riziką. 

PP pavyzdžiai

PP saugoje IT stebi aplinką, kad pateiktų šias užuominas apie vykdomą ataką:

Tinklo srauto anomalijos

Daugelyje organizacijų tinklo srauto, perduodamo į skaitmeninę aplinką ir iš jos, šablonai nekinta. Kai jie pasikeičia, pvz., žymiai daugiau duomenų perduodama iš organizacijos arba jei veikla vykdoma neįprastoje tinklo vietoje, tai gali būti atakos ženklas.

Neįprasti bandymai prisijungti

Panašiai kaip tinklo srautas, žmonių darbo įpročiai yra nuspėjami. Paprastai jie prisijungia iš tų pačių vietų ir maždaug tuo pat metu savaitės bėgyje. Saugos specialistai gali aptikti paskyrą, kurios saugumas pažeistas, atkreipdami dėmesį į prisijungimus neįprastu dienos metu arba iš neįprastų geografinių vietų, pvz., šalyje, kurioje organizacija neturi biuro. Taip pat svarbu atkreipti dėmesį į kelis nesėkmingus bandymus prisijungti iš tos pačios paskyros. Nors žmonės periodiškai pamiršta slaptažodžius arba susiduria su problemomis prisijungdami, paprastai gali jas išspręsti po kelių bandymų. Pasikartojantys nepavykę bandymai prisijungti gali reikšti, kad kažkas bando pasiekti organizaciją naudodamas pavogtą paskyrą. 

Teisių padidinimo pažeidimai

Daugelis užpuolikų, nesvarbu, ar jie yra įmonės darbuotojai arba išoriniai asmenys, nori pasiekti administravimui skirtas paskyras ir gauti slaptų duomenų. Netipiškas elgesys, susijęs su šiomis paskyromis, pvz., kažkas bando padidinti savo teises, gali būti saugos pažeidimo ženklas.

Sistemų konfigūracijų keitimai

Kenkėjiška programa dažnai programuojama, kad keistų sistemų konfigūracijas, pvz., įgalinti nuotolinę prieigą arba išjungti saugos programinę įrangą. Stebėdami šiuos netikėtus konfigūracijos pakeitimus, saugos specialistai gali nustatyti saugos pažeidimą, kol nebuvo padaryta per daug žalos.

Netikėti programinės įrangos diegimai arba naujinimai

Daugelis atakų prasideda nuo programinės įrangos, pvz., kenkėjiškos programinės įrangos arba išpirkos reikalaujančios programinės įrangos, skirtos padaryti failus nepasiekiamus arba suteikti įsilaužėliams prieigą prie tinklo, diegimo. Stebėdami, ar nėra neplaninės programinės įrangos diegimų ir naujinimų, organizacijos gali greitai užkardyti šiuos PP. 

Daug to paties failo užklausų

Kelios vieno failo užklausos gali rodyti, kad netinkamas veikėjas bando jį pavogti ir išbandė kelis būdus jam pasiekti.

Neįprastos domenų vardų sistemų užklausos

Kai kurie netinkami veikėjai naudoja atakos metodą, vadinamą įsakinėk ir kontroliuok. Jie diegia kenkėjišką programą organizacijos serveryje, kuris sukuria ryšį su jiems priklausančiu serveriu. Tada jie siunčia komandas iš savo serverio į užkrėstą kompiuterį, kad pabandytų pavogti duomenis arba sutrikdyti operacijas. Neįprastos domenų vardų sistemų (DNS) užklausos padeda IT aptikti šias atakas.

PP identifikavimas

Skaitmeninės atakos požymiai įrašomi žurnalų failuose. Vykdydamos PP kibernetinę saugą, komandos reguliariai stebi skaitmenines sistemas dėl įtartinos veiklos. Šiuolaikiniai SIEM ir XDR sprendimai supaprastina šį procesą naudodami dirbtinį intelektą ir mašininio mokymo algoritmus, kurie nustato pagrindinę informaciją apie tai, kas normalu organizacijoje, tada įspėja komandą apie anomalijas. Taip pat svarbu įtraukti darbuotojus, kurie nėra saugūs, ir kurie gali gauti įtartinus el. laiškus arba netyčia atsisiųsti užkrėstą failą. Geros saugos mokymo programos padeda darbuotojams geriau aptikti pažeistus el. laiškus ir suteikia jiems galimybę pranešti apie viską, kas atrodo ne taip.

PP svarba

Norint sumažinti organizacijos saugos riziką, labai svarbu stebėti PP. Ankstyvas PP aptikimas leidžia saugos komandoms greitai reaguoti į atakas ir jas išspręsti, taip sumažinant prastovų ir trikdžių kiekį. Reguliarus stebėjimas taip pat suteikia komandoms daugiau įžvalgų apie organizacijos pažeidžiamumus, kuriuos vėliau galima sumažinti.

Viešieji pažeidimo požymiai

Kai saugos komandos identifikuoja PP, jos turi efektyviai reaguoti, kad užtikrintų kuo mažesnę žalą organizacijai. Šie veiksmai padeda organizacijoms sutelkti dėmesį ir kuo greičiau sustabdyti grėsmes:

Reagavimo į incidentus plano rengimas

Reagavimas į incidentą kelia įtampą ir jautrus laikui, nes kuo ilgiau įsilaužėliai lieka neaptikti, tuo didesnė tikimybė, kad jie pasieks savo tikslus. Daugelis organizacijų sudaro reagavimo į incidentus planą, kad padėtų komandoms atlikti veiksmus kritiniais atsako etapais. Plane nurodoma, kaip organizacija apibrėžia incidentą, vaidmenis ir pareigas, veiksmus, kurių reikia imtis norint išspręsti incidentą, ir kaip komanda turėtų bendrauti su darbuotojais bei suinteresuotosiomis šalimis. 

Pažeistų sistemų ir įrenginių izoliavimas

Kai organizacija identifikavo grėsmę, saugos komanda stengiasi greitai izoliuoti atakuojamas programas arba sistemas, nuo likusių tinklų. Tai padeda išvengti įsilaužėlių prieigos prie kitų įmonės dalių.

Techninės analizės atlikimas

Techninė analizė padeda organizacijoms atrasti visus pažeidimo aspektus, įskaitant šaltinį, atakos tipą ir įsilaužimo tikslus. Analizė atliekama atakos metu, siekiant suprasti pažeidimo mastą. Atkūrus organizacijos sistemas po atakos, papildoma analizė padeda komandai suprasti galimus pažeidžiamumus ir kitas įžvalgas.

Grėsmės šalinimas

Atlikusi sulaikymą, komanda pašalina įsilaužėlį ir visas kenkėjiškas programas iš paveiktų sistemų bei išteklių. Tam gali reikėti atjungti sistemas nuo interneto.

Saugos ir procesų patobulinimų realizavimas

Organizacijai atkūrus incidentą, svarbu įvertinti, kodėl įvyko ataka ir ar organizacija galėjo ką nors padaryti, kad to išvengtų. Tai gali būti paprasti procesų ir strategijos patobulinimai, kurie sumažins panašios atakos riziką ateityje, arba komanda gali nustatyti ilgesnio laikotarpio sprendimus, kuriuos galima įtraukti į saugos veiksmų planą.

PP sprendimai

Dauguma saugos pažeidimų žurnalo failuose ir sistemose palieka techninį pėdsaką. Mokymasis identifikuoti ir stebėti šiuos PP, padeda organizacijoms greitai izoliuoti ir pašalinti įsilaužėlius. Daugelis komandų pereina prie SIEM sprendimų, pvz., „Microsoft Sentinel“ ir „Microsoft Defender“ XDR, kurie naudoja dirbtinį intelektą ir automatizavimą, kad sukurtų PP ir susietų juos su kitais įvykiais. Reagavimo į incidentus planas leidžia komandoms užbėgti atakoms už akių ir greitai jas išjungti. Kalbant apie kibernetinę saugą, kuo greičiau įmonės supranta, kas vyksta, tuo didesnė tikimybė, kad jos sustabdys ataką nepatirdamos piniginių nuostolių ar neprarasdamos reputacijos. PP sauga yra labai svarbi norint padėti organizacijoms sumažinti brangiai kainuojančio pažeidimo riziką.

Sužinokite daugiau apie „Microsoft“ saugą

„Microsoft“ apsauga nuo grėsmių

Identifikuokite ir reaguokite į incidentus visoje organizacijoje naudodami naujausią apsaugą nuo grėsmių.

Sužinoti daugiau

„Microsoft Sentinel“

Atskleiskite sudėtingas grėsmes ir ryžtingai reaguokite naudodami efektyvų debesies pagrindu sukurtą SIEM sprendimą.

Sužinoti daugiau

„Microsoft Defender“ XDR

Sustabdykite atakas galiniuose punktuose, el. pašte, tapatybėse, programose ir duomenyse naudodami XDR sprendimus.

Sužinoti daugiau

Grėsmių analizės bendruomenė

Gaukite naujausią informaciją iš „Microsoft Defender“ grėsmių žvalgybos bendruomenės leidimo.

Sužinokite daugiau

Dažnai užduodami klausimai

  • Yra kelių tipų PP. Kai kurie iš dažniausiai pasitaikančių:

    • Tinklo srauto anomalijos
    • Neįprasti bandymai prisijungti
    • Teisių padidinimo pažeidimai
    • Sistemos konfigūracijų keitimai
    • Netikėti programinės įrangos diegimai arba naujinimai
    • Daug to paties failo užklausų
    • Neįprastos domenų vardų sistemų užklausos

  • Pažeidimo požymis yra skaitmeninis įrodymas, kad ataka jau įvyko. Atakos požymis yra įrodymas, kad gali būti įvykdyta ataka. Pavyzdžiui, sukčiavimo apsimetant kampanija yra atakos požymis, nes nėra jokių įrodymų, kad įsilaužėlis pažeidė įmonės saugą. Tačiau jei kas nors spustelėja sukčiavimo apsimetant saitą ir atsisiunčia kenkėjišką programą, kenkėjiškos programos diegimas yra pažeidimo požymis.

  • El. pašto pažeidimo požymiai apima staigią pašto šiukšlių perpildą, keistus priedus, saitus arba netikėtą žinomo asmens el. laišką. Pavyzdžiui, jei darbuotojas siunčia bendradarbiui el. laišką su keistu priedu, tai gali reikšti, kad jo paskyra buvo pažeista.

  • Yra keli būdai, kaip nustatyti pažeistą sistemą. Tinklo srauto iš konkretaus kompiuterio pasikeitimas gali būti požymis, kad jis buvo pažeistas. Jei asmuo, kuriam paprastai nereikia sistemos, pradeda reguliariai ją pasiekti, tai yra pavojaus signalas. Sistemos konfigūracijų pakeitimai arba netikėta programinės įrangos diegimas taip pat gali reikšti, kad sistema buvo pažeista. 

  • Trys PP pavyzdžiai:

    • Vartotojo paskyra, naudojama Šiaurės Amerikoje, pradeda jungtis prie įmonės išteklių iš Europos.
    • Tūkstančiai prieigos užklausų keliose vartotojų paskyrose, nurodo, kad organizacija tapo grubios jėgos atakos auka.
    • Naujos domenų vardų sistemų užklausos pateikiamos iš naujo pagrindinio kompiuterio arba šalies, kurioje darbuotojai ir klientai negyvena.

Sekite „Microsoft“