Trace Id is missing
Przejdź do głównej zawartości
Rozwiązania zabezpieczające firmy Microsoft

Czym to jest wyszukiwanie cyberzagrożeń?

Wyszukiwanie cyberzagrożeń to proces proaktywnego wyszukiwania nieznanych lub niewykrytych zagrożeń w sieci, punktach końcowych i danych organizacji’.

Jak działa wyszukiwanie cyberzagrożeń

Wyszukiwanie cyberzagrożeń wykorzystuje poszukiwaczy zagrożeń do prewencyjnego wyszukiwania potencjalnych zagrożeń i ataków w systemie lub sieci. Dzięki temu można elastycznie i wydajnie odpowiadać na coraz bardziej złożone cyberataki obsługiwane przez człowieka. Podczas gdy tradycyjne metody cyberbezpieczeństwa identyfikują naruszenia zabezpieczeń po fakcie, wyszukiwanie cyberzagrożeń działa przy założeniu, że wystąpiło naruszenie, i może identyfikować, dostosowywać i reagować na potencjalne zagrożenia natychmiast po ich wykryciu.

Zaawansowani atakujący mogą naruszyć zabezpieczenia organizacji i pozostawać w ukryciu przez dłuższy czas — dni, tygodnie lub nawet dłużej. Dodanie wyszukiwania cyberzagrożeń do istniejącego profilu narzędzi zabezpieczeń, takich jak wykrywanie punktów końcowych i reagowanie na nie (EDR) oraz zarządzanie informacjami i zdarzeniami zabezpieczeń (SIEM), może pomóc w zapobieganiu atakom i ich korygowaniu, które w przeciwnym razie mogłyby nie zostać wykryte przez zautomatyzowane narzędzia zabezpieczeń.

Automatyczne wyszukiwanie zagrożeń

Poszukiwacze cyberzagrożeń mogą automatyzować niektóre aspekty procesu przy użyciu uczenia maszynowego, automatyzacji i sztucznej inteligencji. Korzystanie z rozwiązań, takich jak SIEM i EDR, może pomóc w usprawnieniu procedur wyszukiwania zagrożeń poprzez monitorowanie, wykrywanie i reagowanie na potencjalne zagrożenia. Poszukiwacze zagrożeń mogą tworzyć i automatyzować różne podręczniki w celu reagowania na różne zagrożenia, co zmniejsza obciążenie zespołów IT za każdym razem, gdy wystąpią podobne ataki.

Narzędzia i techniki wyszukiwania cyberzagrożeń

Poszukiwacze zagrożeń mają do dyspozycji wiele narzędzi, w tym rozwiązania, takie jak SIEM i XDR, które zostały zaprojektowane do współpracy ze sobą.

  • SIEM: Rozwiązanie SIEM, które zbiera dane z wielu źródeł za pomocą analizy w czasie rzeczywistym, może dostarczyć poszukiwaczom zagrożeń wskazówek dotyczących potencjalnych zagrożeń.
  • Rozszerzone możliwości wykrywania zagrożeń i reagowania na nie (XDR): W celu uzyskania lepszego wglądu w zagrożenia poszukiwacze mogą używać rozwiązania XDR, które zapewnia analizę zagrożeń i automatyczne zakłócenia ataków.
  • EDR: Usługa EDR, która monitoruje urządzenia użytkowników końcowych, udostępnia poszukiwaczom zagrożeń zaawansowane narzędzia, zapewniając im wgląd w potencjalne zagrożenia we wszystkich punktach końcowych organizacji.

Trzy typy cyberzagrożeń

Wyszukiwanie cyberzagrożeń zwykle przybiera jedną z następujących trzech form:

Ustrukturyzowane: Podczas wyszukiwania ustrukturyzowanego poszukiwacze szukają podejrzanych taktyk, technik i procedur (TTP), które sugerują potencjalne zagrożenia. Zamiast podchodzić do danych lub systemu w formie szukania naruszeń, poszukiwacz zagrożeń tworzy hipotezę dotyczącą metody potencjalnego atakującego i metodycznie pracuje nad zidentyfikowaniem symptomów tego ataku. Ponieważ ustrukturyzowane wyszukiwanie zagrożeń jest bardziej proaktywnym podejściem, informatycy stosujący tę taktykę często mogą szybko przechwytywać lub zatrzymywać osoby atakujące.

Nieustrukturyzowane: Podczas nieustrukturyzowanego wyszukiwania poszukiwacz cyberzagrożenia szuka oznaki naruszenia bezpieczeństwa (IoC) i przeprowadza wyszukiwanie od tego punktu początkowego. Ponieważ poszukiwacz zagrożeń może wyszukać wzorce i wskazówki w danych historycznych, nieustrukturyzowane wyszukiwania mogą czasami zidentyfikować wcześniej niewykryte zagrożenia, które mogą nadal narażać organizację na ryzyko.

Sytuacyjne: Sytuacyjne wyszukiwanie zagrożeń określa priorytety określonych zasobów lub danych w ekosystemie cyfrowym. Jeśli organizacja oceni, że konkretni pracownicy lub zasoby stanowią największe ryzyko, może skierować poszukiwaczy cyberzagrożeń do skoncentrowania wysiłków lub zapobiegania lub korygowania ataków na te zagrożone osoby, zestawy danych lub punkty końcowe.

Kroki i implementacja wyszukiwania zagrożeń

Poszukiwacze cyberzagrożeń często postępują zgodnie z następującymi podstawowymi krokami podczas badania i korygowania zagrożeń i ataków:

  1. Tworzenie teorii lub hipotezy dotyczącej potencjalnego zagrożenia. Poszukiwacze zagrożeń mogą zacząć od zidentyfikowania typowych elementów TTP osoby atakującej.
  2. Przeprowadzenie badań. Poszukiwacze zagrożeń badają dane, systemy i działania organizacji — rozwiązanie SIEM może być użytecznym narzędziem — oraz zbierają i przetwarzają odpowiednie informacje.
  3. Identyfikowanie wyzwalacza. Wyniki badań i inne narzędzia zabezpieczeń mogą pomóc poszukiwaczom zagrożeń w rozróżnieniu punktu wyjścia do ich badania.
  4. Badanie zagrożenia. Poszukiwacze zagrożeń używają narzędzi badawczych i zabezpieczeń, aby określić, czy zagrożenie jest złośliwe.
  5. Odpowiadanie i korygowanie. Poszukiwacze zagrożeń podejmują działania w celu rozwiązania zagrożenia.

Typy zagrożeń wykrywanych przez poszukiwaczy

Wyszukiwanie cyberzagrożeń umożliwia identyfikowanie szerokiego zakresu różnych zagrożeń, w tym następujących:

  • Złośliwe oprogramowanie i wirusy: Złośliwe oprogramowanie utrudnia korzystanie z normalnych urządzeń przez uzyskanie nieautoryzowanego dostępu do urządzeń punktu końcowego. Przykładami złośliwego oprogramowania są ataki wyłudzające informacje, programy szpiegujące, oprogramowanie z reklamami (adware), konie trojańskie, robaki i oprogramowanie wymuszające okup. Wirusy, niektóre z najczęściej występujących rodzajów złośliwego oprogramowania, są przeznaczone do zakłócania normalnego działania urządzenia przez rejestrowanie, uszkodzenie lub usuwanie danych przed rozprzestrzenianiem się na inne urządzenia w sieci.
  • Zagrożenia wewnętrzne: Zagrożenia wewnętrzne pochodzące od osób z autoryzowanym dostępem do sieci organizacji. Niezależnie od tego, czy są to złośliwe działania, nieumyślne akcje czy niedbalstwo, ci niejawni testerzy niewłaściwie wykorzystują sieci, dane, systemy lub obiekty organizacji albo powodują szkody w ich działaniu.
  • Zaawansowane zagrożenie trwałe: Zaawansowani aktorzy, którzy naruszają sieć organizacji i pozostają niewykryci przez pewien czas, reprezentują zaawansowane, trwałe zagrożenia. Ci atakujący mają nie tylko odpowiednie umiejętności, ale często posiadają również odpowiednie zasoby.
    Ataki z użyciem inżynierii społecznej: Cyberprzestępcy mogą używać manipulacji i podstępu, aby wprowadzić pracowników organizacji w błąd i zachęcić ich do udzielenia dostępu lub poufnych informacji. Typowe ataki inżynierii społecznej obejmują wyłudzanie informacji, zastawianie przynęty i oprogramowanie wzbudzające strach.

 

Najlepsze rozwiązania dotyczące wyszukiwania cyberzagrożeń

Podczas implementowania protokołu wyszukiwania cyberzagrożeń w organizacji należy pamiętać o następujących najlepszych rozwiązaniach:

  • Zapewnianie poszukiwaczom zagrożeń pełnego wglądu w Twoją organizację. Poszukiwacze zagrożeń odnoszą największe sukcesy, gdy mają ogólny pogląd.
  • Zachowanie uzupełniających narzędzi zabezpieczeń, takich jak SIEM, XDR i EDR. Poszukiwacze cyberzagrożeń polegają na automatyzacjach i danych udostępnianych przez te narzędzia, aby szybciej identyfikować zagrożenia i korzystać z większego kontekstu w celu szybszego rozwiązywania problemów.
  • Bycie na bieżąco z najnowszymi pojawiającym się zagrożeniami i taktykami. Osoby atakujące i ich taktyka stale ewoluują — upewnij się, że Twoi poszukiwacze zagrożeń mają najnowsze zasoby na temat bieżących trendów.
  • Szkolenie pracowników w celu identyfikowania i zgłaszania podejrzanych zachowań. Zmniejsz prawdopodobieństwo wystąpienia zagrożeń wewnętrznych, informując o tym swoich pracowników.
  • Zaimplementuj zarządzanie lukami w zabezpieczeniach, aby zmniejszyć ogólne narażenie organizacji na ryzyko.

Dlaczego wyszukiwanie zagrożeń jest ważne dla organizacji

Ze względu na to, że złośliwi aktorzy stają się coraz bardziej zaawansowani w swoich metodach ataku, organizacje muszą inwestować w proaktywne wyszukiwanie cyberzagrożeń. Oprócz bardziej pasywnych form ochrony przed zagrożeniami wyszukiwanie cyberzagrożeń usuwa luki w zabezpieczeniach, umożliwiając organizacjom korygowanie zagrożeń, które w przeciwnym razie nie zostałyby wykryte. Ochrona przed zagrożeniami ze strony złożonych osób atakujących oznacza, że organizacje muszą wzmocnić swoją ochronę, aby zachować zaufanie do swoich możliwości obsługi poufnych danych i zmniejszyć koszty związane z naruszeniami zabezpieczeń.

Produkty, takie jak Microsoft Sentinel, mogą pomóc w wyprzedzeniu zagrożeń poprzez zbieranie, przechowywanie i uzyskiwanie dostęp do danych historycznych w skali chmury, usprawniając badania i automatyzując typowe zadania. Te rozwiązania mogą zapewnić poszukiwaczom cyberzagrożeń zaawansowane narzędzia ułatwiające ochronę organizacji.

Dowiedz się więcej o rozwiązaniach zabezpieczających firmy Microsoft

Microsoft Sentinel

Wykrywaj i powstrzymuj zagrożenia w całym przedsiębiorstwie za pomocą inteligentnej analizy zabezpieczeń.

Dowiedz się więcej

Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Microsoft Defender

Rozszerz proaktywne wykrywanie zagrożeń poza punkty końcowe.

Dowiedz się więcej

Microsoft Defender Threat Intelligence

Pomóż chronić organizację przed współczesnymi przeciwnikami i zagrożeniami, takimi jak oprogramowanie wymuszające okup.

Dowiedz się więcej

Rozwiązania SIEM (zarządzanie informacjami i zdarzeniami zabezpieczeń) oraz XDR (rozszerzone wykrywanie i reagowanie)

Wykrywaj, badaj zagrożenia i reaguj na nie w całym majątku cyfrowym.

Dowiedz się więcej

Często zadawane pytania

  • Przykładem wyszukiwania cyberzagrożeń jest wyszukiwanie oparte na hipotezie, w którym poszukiwacz zagrożeń identyfikuje podejrzaną taktykę, techniki i procedury, których może użyć osoba atakująca, a następnie wyszukuje ich dowodu w sieci organizacji.

  • Wykrywanie zagrożeń jest aktywnym, często zautomatyzowanym podejściem do cyberbezpieczeństwa, podczas gdy proaktywne wyszukiwanie zagrożeń jest podejściem niezautomatyzowanym.

  • SOC to scentralizowana funkcja lub zespół, zarówno na miejscu, jak i zlecona innej firmie, odpowiedzialny za ulepszanie poziomu cyberbezpieczeństwa organizacji oraz zapobieganie zagrożeniom, wykrywanie ich i reagowanie na nie. Wyszukiwanie cyberzagrożeń to jedna z taktyk używanych przez SOC do identyfikowania i korygowania zagrożeń.

  • Narzędzia do wyszukiwania cyberzagrożeń to zasoby oprogramowania dostępne dla zespołów IT i poszukiwaczy zagrożeń, które ułatwiają wykrywanie i korygowanie zagrożeń. Przykłady narzędzi do wyszukiwania zagrożeń obejmują takie elementy jak ochrona antywirusowa i zapora, oprogramowanie EDR, narzędzia SIEM i analiza danych.

  • Głównym celem wyszukiwania cyberzagrożeń jest proaktywne wykrywanie i korygowanie zaawansowanych zagrożeń i ataków, zanim zaszkodzą one organizacji.

  • Analiza cyberzagrożeń to informacje i dane zbierane przez oprogramowanie cyberbezpieczeństwa, często automatycznie, w ramach protokołów zabezpieczeń w celu lepszej ochrony przed cyberatakami. Wyszukiwanie zagrożeń polega na analizowaniu informacji zebranych z analizy zagrożeń i używaniu ich do formułowania hipotez i akcji w celu wyszukiwania i korygowania zagrożeń.

Obserwuj rozwiązania zabezpieczające firmy Microsoft