Trace Id is missing
Pereiti prie pagrindinio turinio
„Microsoft“ sauga

Kas yra kibernetinių grėsmių paieška?

Kibernetinių grėsmių paieška yra procesas, kuriame aktyviai ieškoma nežinomų arba neaptiktų grėsmių organizacijos tinkle, galiniuose punktuose ir duomenyse.

Kaip veikia kibernetinių grėsmių paieška

Kibernetinių grėsmių paieška naudoja grėsmių paieškos tarnybas, kad galėtų atlikti prevencinę galimų grėsmių ir atakų sistemoje arba tinkle paiešką. Tai padarius, galima lanksčiai ir efektyviai reaguoti į vis sudėtingesnes, žmogaus valdomas kibernetines atakas. Nors tradiciniai kibernetinės saugos metodai nustato saugos pažeidimus po laiko, kibernetinė grėsmių paieška veikia darant prielaidą, kad įvyko pažeidimas, ir gali nustatyti, prisitaikyti bei reaguoti į galimas grėsmes iš karto po aptikimo.

Patyrę įsilaužėliai gali pažeisti organizacijos saugą ir likti neaptikti ilgą laiką: dienas, savaites ar net ilgiau. Įtraukus kibernetinę grėsmių paiešką į esamą saugos įrankių profilį, pvz., atakų prieš galinius punktus aptikimą ir reagavimą (EDR) ir saugos informacijos bei įvykių valdymą (SIEM), galima išvengti atakų, kurių kitu atveju gali neaptikti automatizuoti saugos įrankiai, ir jas ištaisyti.

Automatizuota grėsmių paieška

Kibernetinių grėsmių paieškos tarnybos gali automatizuoti tam tikrus proceso aspektus naudodamos mašininį mokymąsi, automatizavimą ir dirbtinį intelektą. Pasinaudodami sprendimais, pvz., SIEM ir EDR, galite padėti grėsmių paieškos tarnyboms supaprastinti grėsmių paieškų procedūras stebėdami, aptikdami ir reaguodami į galimas grėsmes. Grėsmių paieškos tarnybos gali kurti ir automatizuoti skirtingas taisykles, kad reaguotų į skirtingas grėsmes ir taip sumažinti IT komandoms tenkančią naštą panašių atakų atveju.

Kibernetinių grėsmių paieškos įrankiai ir metodai

Grėsmių paieškos tarnybos turi daug įrankių, įskaitant sprendimus, pvz., SIEM ir XDR, kurie sukurti veikti kartu.

  • SIEM: Sprendimas, renkantis duomenis iš kelių šaltinių atliekant analizę realiuoju laiku, todėl SIEM gali pateikti grėsmių paieškos tarnyboms užuominų apie galimas grėsmes.
  • Išplėstinis aptikimas ir reagavimas (XDR): Grėsmių paieškos tarnybos gali naudoti XDR, kuris suteikia grėsmių analizę ir automatizuotus atakų nutraukimus, kad būtų užtikrintas geresnis grėsmių matomumas.
  • EDR: EDR, kuri stebi galutinių vartotojų įrenginius, taip pat teikia grėsmių paieškos tarnyboms galingą įrankį, suteikiantį joms įžvalgų apie galimas grėsmes visuose organizacijos pabaigos taškuose.

Trijų tipų kibernetinių grėsmių paieška

Kibernetinių grėsmių paieška paprastai naudoja vieną iš šių trijų formų:

Struktūrizuota: Struktūrizuotoje paieškoje grėsmių paieškos tarnybos ieško įtartinų taktikų, metodų ir procedūrų (TTP), kurios gali kelti potencialias grėsmes. Užuot priartėjusi prie duomenų ar sistemos ir ieškodama įsilaužimų, grėsmių paieška sukuria hipotezę apie galimą įsilaužėlių metodą ir metodiškai stengiasi identifikuoti tos atakos simptomus. Kadangi struktūrizuota grėsmių paieška yra labiau aktyvus metodas, IT specialistai, kurie naudoja šią taktiką, dažnai gali greitai įsiterpti arba sustabdyti įsilaužėlius.

Nestruktūrinė: Nestruktūrinėje paieškoje kibernetinių grėsmių paieška ieško pažeidimo požymio (PP) ir atlieka iešką nuo šio pradinio taško. Grėsmių paieška gali grįžti atgal ir ieškoti istorinių modelių bei užuominų duomenų, todėl nestruktūrinės paieškos kartais gali identifikuoti anksčiau neaptiktas grėsmes, kurios vis tiek gali kelti grėsmę organizacijai.

Situacinės: Situacinė grėsmių paieška teikia pirmenybę konkretiems skaitmeninės ekosistemos ištekliams arba duomenims. Jei organizacija įvertina, kad tam tikri darbuotojai ar ištekliai yra didžiausia rizika, ji gali nukreipti kibernetinių grėsmių paieškos tarnybas, kad sutelktų pastangas, užkirstų kelią arba pašalintų atakas prieš šiuos pažeidžiamus žmones, duomenų rinkinius ar galinius punktus.

Grėsmių paieškos veiksmai ir įgyvendinimas

Kibernetinių grėsmių paieškos tarnybos dažnai atlieka šiuos pagrindinius veiksmus, kai tiria ir šalina grėsmes bei atakas:

  1. Sukuria teoriją arba hipotezę apie galimą grėsmę. Grėsmių paieškos tarnybos gali pradėti identifikuodami pažeidėjo bendruosius TTP.
  2. Atlieka tyrimą. Grėsmių paieškos tarnyba tiria organizacijos duomenis, sistemas ir veiklas, todėl SIEM sprendimas gali būti naudingas įrankis, kuris gali rinkti bei apdoroti susijusią informaciją.
  3. Identifikuoja paleidiklį. Tyrimų rezultatai ir kiti saugos įrankiai gali padėti grėsmių paieškos tarnyboms išskirti tyrimo pradžios tašką.
  4. Tiria grėsmę. Grėsmių paieškos tarnybos naudoja savo tyrimų ir saugos įrankius, kad nustatytų, ar grėsmė yra kenkėjiška.
  5. Stebi ir ištaiso. Grėsmių paieškos tarnyba imasi veiksmų, kad pašalintų grėsmę.

Grėsmių, kurios gali aptikti grėsmių paieškos tarnybos, tipai

Kibernetinių grėsmių paieška turi galimybę nustatyti įvairiausias grėsmes, įskaitant šias:

  • Kenkėjiška programa ir virusai: Kenkėjiška programaKenkėjiška programa trukdo naudoti įprastus įrenginius, gaudama neteisėtą prieigą prie galinio punkto įrenginių. Sukčiavimas apsimetantSukčiavimo apsimetant atakos, šnipinėjimo programos, reklamos programos, Trojos arkliai, kirminai ir išpirkos reikalaujančios programos yra kenkėjiškų programų pavyzdžiai. Virusai, kai kurios dažniausiai pasitaikančios kenkėjiškos programinės įrangos formos, sukurtos trukdyti normaliam įrenginio veikimui įrašant, sugadinant arba naikinant jo duomenis prieš platinant juos kituose įrenginiuose tinkle.
  • Vidinės grėsmės: Vidinės grėsmės kyla iš asmenų, turinčių įgaliotąją prieigą prie organizacijos tinklo. Tiek atlikdami kenkėjiškus veiksmus, elgdamiesi atsitiktinai ar aplaidžiai,šie įmonės darbuotojai netinkamai naudoja arba daro žalą organizacijos tinklams, duomenims, sistemoms ar įrenginiams.
  • Išplėstinės nuolatinės grėsmės: Patyrę veikėjai, kurie pažeidžia organizacijos tinklą ir kurį laiką lieka neaptikti, kelia sudėtingas ir nuolatines grėsmes. Šie įsilaužėliai yra įgudę ir dažnai gerai apsirūpinę.
    Socialinės inžinerijos atakos: Kibernetinės atakos gali naudoti manipuliavimą ir apgaulės funkciją, kad suklaidintų organizacijos darbuotojus, kad jie perduotų prieigą arba slaptą informaciją. Įprastos socialinės inžinerijos atakos apima sukčiavimą apsimetant, siūlant ką nors nemokamai ir gąsdinant.

 

Geriausia kibernetinių grėsmių paieškų praktikos

Savo organizacijoje įgyvendindami kibernetinės grėsmių paieškos protokolą, turėkite omenyje šias geriausias praktikas:

  • Suteikite grėsmių paieškos tarnyboms visišką matomumą organizacijoje. Grėsmių paieškos tarnybos veikia sėkmingiausiai, kai supranta bendrą vaizdą.
  • Naudokite papildomus saugos įrankius, pvz., SIEM, XDR ir EDR. Kibernetinių grėsmių paieškos tarnybos naudoja automatizavimus ir duomenis, kuriuos teikia šie įrankiai, kad greičiau nustatytų grėsmes ir būtų galima greičiau jas pašalinti.
  • Sužinokite apie naujausias kylančias grėsmes ir taktikas. Įsilaužėliai ir jų taktika nuolat tobulėja, todėl užtikrinkite, jog jūsų grėsmių paieškos tarnybos turėtų naujausius išteklius, susijusius su dabartinėmis tendencijomis.
  • Mokykite darbuotojus nustatyti ir pranešti apie įtartinas veiklas. Sumažinkite vidinių grėsmių galimybę informuodami savo žmones.
  • Įdiekite pažeidžiamumo valdymą, kad sumažintumėte bendrą rizikos poveikį organizacijai.

Grėsmių paieškos svarba organizacijoms

Kenkėjiški veikėjai tampa vis tobulėja taikydami savo atakų metodus, todėl labai svarbu organizacijoms investuoti į aktyvią kibernetinių grėsmių paiešką. Papildo pasyvesnes apsaugos nuo grėsmių formas, todėl kibernetinė grėsmių paieška panaikina saugos spragas ir leidžia organizacijoms ištaisyti grėsmes, kurios kitu atveju būtų neaptiktos. Intensyvėjančios sudėtingos įsilaužėlių atakų keliamos grėsmės reiškia, kad organizacijos turi sustiprinti savo gynybą, kad išlaikytų pasitikėjimą savo jėgomis tvarkyti slaptus duomenis ir sumažintų išlaidas, susijusias su saugos pažeidimais.

Produktai, pvz., „Microsoft Sentinel“ gali padėti išvengti grėsmių rinkdami, saugodami ir pasiekdami istorinius duomenis debesies lygiu, taip supaprastindami tyrimus ir automatizuodami įprastas užduotis. Šie sprendimai gali suteikti kibernetinių grėsmių paieškos tarnyboms galingų įrankių, padėsiančių apsaugoti jūsų organizaciją.

Sužinokite daugiau apie „Microsoft“ saugą

„Microsoft Sentinel“

Matykite ir sustabdykite grėsmes visoje įmonėje naudodami intelektualiosios saugos analizę.

Sužinoti daugiau

„Microsoft Defender“ grėsmių paieškos specialistai

Išplėskite aktyvią grėsmių paiešką už galutinio punkto ribų.

Sužinoti daugiau

„Microsoft Defender“ grėsmių žvalgyba

Padėkite apsaugoti savo organizaciją nuo šiuolaikinių kenkėjų ir grėsmių, pvz., išpirkos reikalaujančių programų.

Sužinoti daugiau

SIEM ir XDR

Aptikite, ištirkite ir reaguokite į grėsmes visame skaitmeniniame turte.

Sužinoti daugiau

Dažnai užduodami klausimai

  • Kibernetinės grėsmių paieškos pavyzdys yra hipoteze pagrįsta grėsmių paieška, kurioje grėsmių paieškos tarnyba identifikuoja įtariamas taktikas, metodus ir procedūras, kurias gali naudoti įsilaužėlis, tada ieško jų įrodymo organizacijos tinkle.

  • Grėsmių aptikimas yra aktyvus, dažnai automatizuotas, kibernetinės saugos metodas, o grėsmių paieška yra aktyvus, ne automatizuotas metodas.

  • Saugos operacijų centras (SOC) yra centralizuota funkcija arba komanda, veikianti vietoje arba nuomojama, ir atsakinga už organizacijos kibernetinės saugos būsenos gerinimą ir grėsmių prevenciją, aptikimą bei reagavimą į jas. Kibernetinių grėsmių paieška yra viena iš SOC taktikų, naudojamų grėsmėms nustatyti ir ištaisyti.

  • Kibernetinių grėsmių paieškos įrankiai yra programinės įrangos ištekliai, pasiekiami IT komandoms ir grėsmių paieškos tarnyboms, kad būtų galima lengviau aptikti ir ištaisyti grėsmes. Grėsmių paieškos įrankių pavyzdžiai apima tokius dalykus kaip apsauga nuo virusų ir užkardos, EDR programinė įranga, SIEM įrankiai ir duomenų analizė.

  • Pagrindinis kibernetinės grėsmių paieškos tikslas yra aktyviai aptikti ir ištaisyti sudėtingas grėsmes bei atakas prieš joms pakenkiant organizacijai.

  • Kibernetinių grėsmių analizė Kibernetinių grėsmių analizė yra informacija ir duomenys, kuriuos kibernetinės saugos programinė įranga dažnai renkama automatiškai. Tai yra jos saugos protokolų dalis, skirta geriau apsisaugoti nuo kibernetinių atakos. Grėsmių paieška apima informacijos, surinktos iš grėsmių analizės, ėmimą ir jos panaudojimą siekiant informuoti hipotezes ir veiksmus, skirtus ieškoti grėsmių ir jas ištaisyti.

Sekite „Microsoft“