This is the Trace Id: e087c984bd0b8a1f8ab09827e771c176
Přeskočit na hlavní obsah
Zabezpečení od Microsoftu

Co je detekce hrozeb a reakce na ně (TDR)?

Zjistěte, jak můžete chránit prostředky vaší organizace tím, že budete proaktivně identifikovat a zmírňovat rizika v oblasti kybernetické bezpečnosti s využitím detekce hrozeb a reakce na ně.

Objevte řešení rozšířené detekce a reakce (XDR) od Microsoftu

Definice detekce hrozeb a reakce na ně (TDR)

Detekce hrozeb a reakce na ně je proces kybernetická bezpečnostkybernetické bezpečnosti pro identifikaci kybernetických hrozeb ohrožujících digitálních prostředky organizace a provádění kroků k jejich co možná nejrychlejšímu zmírnění.

Jak detekce hrozeb a reakce na ně funguje?

Mnoho organizací za účelem řešení kybernetických hrozeb a dalších problémů se zabezpečením zřídilo Security Operations Center (SOC). To je centralizovaná funkce nebo tým mající zodpovědnost za zlepšování kybernetické bezpečnosti organizace a za prevenci a detekování hrozeb a reagování na ně. Kromě monitorování a reakce na probíhající kybernetické útoky tým SOC také proaktivně pracuje na identifikaci vznikajících kybernetických hrozeb a možných ohrožení zabezpečení organizace. Většina týmů SOC, které můžou působit přímo na pracovišti nebo můžou být externí, funguje nepřetržitě sedm dní v týdnu.

SOC používá analýzu hrozeb a technologie k odhalování pokusů o porušení zabezpečení – úspěšných nebo probíhajících. Po zjištění kybernetické hrozby použije tým pro zabezpečení nástroje pro detekci hrozeb a reakce k odstranění nebo zmírnění problému.

Součástí detekce hrozeb a reakce na ně jsou obvykle následující fáze:

  • Detekce. Nástroje zabezpečení, které monitorují koncové body, identity, sítě, aplikace a cloudy, pomáhají přednášet rizika a potenciální porušení zabezpečení. Odborníci na zabezpečení také používají techniky proaktivního vyhledávání kybernetických hrozeb k odhalování sofistikovaných kybernetických hrozeb, které se vyhnuly detekci.
  • Prověřování. Po zjištění rizika používá SOC AI a další nástroje k potvrzení, jestli se jedná o skutečnou kybernetickou hrozbu, určení způsobu, jakým k ní došlo, a posouzení ovlivněných prostředků společnosti.
  • Potlačení. Aby zabránily šíření takového kybernetického útoku, týmy a automatizované nástroje kybernetické bezpečnosti izolují infikovaná zařízení, identity a sítě od zbytku prostředků organizace.
  • Odstranění. Týmy eliminují hlavní příčinu bezpečnostního incidentu s cílem zcela odstranit škodlivého aktéra z prostředí. Zmírňují také možná místa ohrožení zabezpečení, která můžou organizaci vystavit riziku podobného kybernetického útoku.
  • Obnovení. Jakmile mají týmy přiměřenou jistotu, že kybernetickou hrozbu nebo ohrožení zabezpečení odstranily, zapojí všechny izolované systémy zpět do režimu online.
  • Oznámení. V závislosti na závažnosti incidentu týmy zabezpečení incident zdokumentují a informují vedoucí, management a případně představenstvo o tom, co se stalo a jak byl incident vyřešen.
  • Omezení rizik. Aby se předešlo opakování podobného porušení zabezpečení a zlepšila se reakce v budoucnosti, týmy incident prostudují a identifikují změny, které je potřeba udělat v prostředí a procesech.

Co je detekce hrozeb?

Identifikování kybernetických hrozeb je čím dál obtížnější s tím, jak organizace rozšiřují využívání cloudu, připojují k internetu více zařízení a přecházejí na hybridní pracoviště. Škodliví aktéři využívají tyto rozšířené možnosti útoků a fragmentaci v nástrojích zabezpečení s následujícími typy taktik:

  • Phishingové kampaněPhishingové kampaně. Jedním z nejběžnějších způsobů, jak škodliví aktéři infiltrují společnost, je odeslání e-mailů, které oklamou zaměstnance, aby stáhli škodlivý kód nebo poskytli své přihlašovací údaje.
  • Malware. Mnoho kybernetických útočníků nasazuje software, který je navržen tak, aby poškozoval počítače a systémy nebo shromažďoval citlivé informace.
  • Ransomware. Typ malwaru, kdy útočníci drží důležité systémy a data jako rukojmí a vyhrožují zveřejněním soukromých dat nebo krádeží cloudových prostředků k těžbě bitcoinů, dokud nebude zaplaceno výkupné. V poslední době se stále větším problémem pro týmy zabezpečení stává ransomware řízený lidmi, kdy skupina kyberútočníků získá přístup do celé sítě organizace.
  • Distribuované útoky s cílem odepření služeb (DDoS). Pomocí řady robotů naruší škodliví aktéři web nebo službu tím, že je zahlcují provozem.
  • Insiderská hrozba. Ne všechny kybernetické hrozby pocházejí zvenčí mimo organizaci. Existuje také riziko, že organizaci můžou neúmyslně nebo ze zlého úmyslu poškodit důvěryhodné osoby s přístupem k citlivým údajům.
  • Útoky založené na identitě. Většina porušení zabezpečení zahrnuje ohrožené identity, což znamená, že kybernetičtí útočníci ukradnou nebo uhodnou přihlašovací údaje uživatelů a použijí je k získání přístupu k systémům a datům organizace.
  • Útoky na Internet věcí (IoT). Zařízení IoT jsou také zranitelná vůči kybernetickým útokům, zejména starší zařízení, která nemají integrované kontroly zabezpečení jako moderní zařízení.
  • Útoky na dodavatelské řetězce. Někdy škodlivý aktér cílí na organizaci tím, že manipuluje se softwarem nebo hardwarem dodávaným třetí stranou.
  • Injektáž kódu. Zneužitím míst možného ohrožení zabezpečení v tom, jakým způsobem zdrojový kód zpracovává externí data, můžou kyberzločinci do aplikace vložit škodlivý kód.

Detekce hrozeb
Aby organizace získaly náskok před rostoucím počtem kybernetických útoků, využívají modelování hrozeb k definování požadavků na zabezpečení, identifikaci ohrožení zabezpečení a rizik a stanovení priorit nápravy. S využitím hypotetických scénářů se týmy SOC snaží proniknout do myšlení kyberzločinců, aby mohly zlepšit schopnost organizace předcházet bezpečnostním incidentům nebo je zmírňovat. Architektura MITRE ATT&CK® je užitečný model pro pochopení běžných technik a taktik kybernetických útoků.

Vícevrstvá obrana vyžaduje nástroje, které poskytují nepřetržité monitorování prostředí v reálném čase a odhalují potenciální problémy se zabezpečením. Řešení se také musí překrývat, takže pokud dojde k ohrožení jedné metody detekce, druhá metoda problém detekuje a upozorní tým zabezpečení. Řešení pro detekci kybernetických hrozeb používají k identifikaci hrozeb různé metody, mezi které patří:

  • Detekce založená na signaturách. Mnoho řešení zabezpečení kontroluje software a provoz a identifikuje jedinečné signatury, které jsou přidružené ke konkrétnímu typu malwaru.
  • Detekce založená na chování. Aby bylo možné zachytávat nové a vznikající kybernetické hrozby, hledají řešení zabezpečení také akce a chování, které jsou při kybernetických útocích běžné.
  • Detekce založená na anomáliích. AI a analýza pomáhají týmům porozumět typickému chování uživatelů, zařízení a softwaru, aby mohly identifikovat něco neobvyklého, co může ukazovat na kybernetickou hrozbu.

Přestože software má zásadní význam, lidé hrají při detekci kybernetických hrozeb stejně důležitou roli. Kromě třídění a zkoumání upozornění generovaných systémem používají analytici techniky vyhledávání kybernetických hrozeb k proaktivnímu vyhledávání indikace ohrožení, nebo hledají taktiky, techniky a postupy, které naznačují potenciální hrozbu. Tyto přístupy pomáhají týmům SOC rychle odhalit a zastavit sofistikované útoky, které se obtížně zjišťují.

Co je reakce na hrozby?

Poté, co byla identifikována věrohodná kybernetická hrozba, zahrnuje reakce na tuto hrozbu veškerá opatření, která tým SOC přijme k jejímu potlačení a eliminaci, obnově systémů a snížení pravděpodobnosti, že se podobný útok bude opakovat. Mnoho společností si vypracovává plán reakce na incidenty, který jim pomáhá během potenciálního porušení zabezpečení, kdy je schopnost jednat organizovaně a rychle velmi důležitá. Dobrý plán reakce na incidenty zahrnuje playbooky s pokyny pro konkrétní typy hrozeb s jednotlivými kroky, role a odpovědnosti a komunikační plán.

Co je součástí detekce hrozeb a reakce na ně

Organizace používají k efektivní detekci hrozeb a reakci na ně různé nástroje a procesy.

Rozšířená detekce a reakce (XDR)

Produkty prorozšířenou detekci a reakci (XDR) pomáhají týmům SOC zjednodušit celý životní cyklus prevence, detekce a reakce v souvislosti s kybernetickými hrozbami. Tato řešení monitorují koncové body, cloudové aplikace, e-maily a identity. Pokud řešení XDR zjistí kybernetickou hrozbu, upozorní týmy zabezpečení a automaticky reaguje na určité incidenty na základě kritérií, která definuje tým SOC.

Detekce ohrožení identit a reakce na ně

Vzhledem k tomu, že škodliví aktéři často cílí na zaměstnance, je důležité zavést nástroje a procesy pro identifikaci hrozeb pro identitu organizace a reakci na ně. Tato řešení obvykle využívají analýzu chování uživatelů a entit (UEBA) k definování základního chování uživatelů a odhalování anomálií, které představují potenciální hrozbu.

Správa akcí a informací o zabezpečení (SIEM)

Získání přehledu o celém digitálním prostředí je prvním krokem k pochopení prostředí hrozeb. Většina týmů SOC používá řešení správy událostí a informací o zabezpečení (SIEM), která agregují a korelují data napříč koncovými body, cloudy, e-maily, aplikacemi a identitami. Tato řešení využívají detekční pravidla a playbooky k odhalování potenciálních kybernetických hrozeb na základě korelace protokolů a upozornění. Moderní systémy SIEM také využívají AI k efektivnějšímu odhalování kybernetických hrozeb a zahrnují externí zdroje analýzy hrozeb, takže můžou identifikovat nové a vznikající kybernetické hrozby.

Analýza hrozeb

K získání komplexního pohledu na prostředí kybernetických hrozeb používají týmy SOC nástroje, které syntetizují a analyzují data z různých zdrojů, včetně koncových bodů, e-mailů, cloudových aplikací a externích zdrojů analýzy hrozeb. Přehledy z těchto dat pomáhají týmům zabezpečení připravit se na kybernetický útok, rozpoznat aktivní kybernetické hrozby, prověřit probíhající bezpečnostní incidenty a účinně reagovat.

Detekce a reakce v koncových bodech

Řešení pro detekci a reakce v koncových bodech (EDR) jsou starší verze řešení XDR. Zaměřují se pouze na koncové body, jako jsou počítače, servery, mobilní zařízení nebo zařízení IoT. Stejně jako řešení XDR generují tato řešení po odhalení potenciálního útoku upozornění a v případě některých dobře srozumitelných útoků reagují automaticky. Vzhledem k tomu, že řešení EDR se zaměřují jenom na koncové body, většina organizací migruje na řešení XDR.

Správa ohrožení zabezpečení

Správa ohrožení zabezpečení je nepřetržitý, proaktivní a často automatizovaný proces, který monitoruje vaše počítačové systémy, sítě a podnikové aplikace z hlediska slabých míst zabezpečení. Řešení pro správu ohrožení zabezpečení vyhodnocují ohrožení zabezpečení z hlediska závažnosti a úrovně rizika a poskytují sestavy, které SOC používá k nápravě problémů.

Orchestrace, automatizace a reakce zabezpečení

Řešení pro orchestraci, automatizaci a reakci zabezpečení (SOAR) pomáhají zjednodušit detekci kybernetických hrozeb a reakci na ně tím, že spojují interní a externí data a nástroje do jednoho centralizovaného místa. Automatizují také reakce na kybernetické hrozby na základě sady předem definovaných pravidel.

Spravovaná detekce a reakce

Ne všechny organizace mají prostředky na to, aby mohly účinně detekovat kybernetické hrozby a reagovat na ně. Spravované služby detekce a reakce pomáhají těmto organizacím rozšířit týmy zabezpečení o nástroje a lidi potřebné k vyhledávání hrozeb a odpovídající reakci.

Klíčové výhody detekce hrozeb a reakce na ně

Existuje několik způsobů, jak může účinná detekce hrozeb a reakce na ně pomoct organizaci zvýšit její odolnost a minimalizovat dopad porušení zabezpečení.

Včasná detekce hrozeb

Důležitým způsobem, jak lze výrazně snížit dopad incidentů, je zastavovat kybernetické hrozby dříve, než dojde k úplnému porušení zabezpečení. Díky moderním nástrojům pro detekci hrozeb a reakci na ně a vyhrazenému týmu, zvyšuje tým SOC šance na včasné odhalení hrozeb, kdy je snadnější je řešit.

Dodržování předpisů

Země a oblasti nadále přijímají přísné zákony o ochraně osobních údajů, které vyžadují, aby organizace měly zavedena důkladná opatření pro zabezpečení dat a podrobný proces reakce na bezpečnostní incidenty. Společnostem, které tato pravidla nedodržují, hrozí vysoké pokuty. Program detekce hrozeb a reakce na ně pomáhá organizacím plnit požadavky těchto zákonů.

Zkrácená doba pobytu

Nejničivější kybernetické útoky obvykle pocházejí z incidentů, při kterých kybernetičtí útočníci strávili nejvíce času nedetekováni v digitálním prostředí. Rozhodující pro omezení škod je zkrácení doby, kdy nejsou detekováni, neboli doby pobytu. Procesy detekce hrozeb a reakce na ně, jako je proaktivní vyhledávání hrozeb, pomáhají týmům SOC rychle zachytit tyto škodlivé aktéry a omezit jejich dopad.

Lepší přehled

Nástroje pro detekci hrozeb a reakci na ně, jako jsou řešení SIEM a XDR, pomáhají týmům SOC získat větší přehled o prostředí, takže můžou nejen rychle identifikovat hrozby, ale také odhalovat potenciální místa ohrožení zabezpečení, jako je například zastaralý software, která je třeba řešit.

Ochrana citlivých dat

Pro mnoho organizací jsou data jedním z jejich nejdůležitějších prostředků. Správné nástroje a postupy pro detekci hrozeb a reakci na ně pomáhají týmům zabezpečení zachytit škodlivé aktéry dříve, než získají přístup k citlivým datům, a snižují tak pravděpodobnost, že se tyto informace dostanou na veřejnost nebo budou prodány na darkwebu.

Proaktivní řízení stavu zabezpečení

Detekce hrozeb a reakce na ně také osvětluje nové hrozby a objasňuje, jak můžou škodliví aktéři získat přístup do digitálního prostředí společnosti. Díky těmto informacím můžou týmy SOC posílit zabezpečení organizace a zabránit budoucím útokům.

Úspora nákladů

Úspěšný kybernetický útok může být pro organizaci velmi nákladný, pokud jde o vlastní peníze vynaložené na výkupné, regulační poplatky nebo úsilí o obnovu. Může také vést ke ztrátě produktivity a tržeb. Rychlým detekováním hrozeb a reagováním na ně v raných fázích kybernetického útoku můžou organizace snížit náklady na bezpečnostní incidenty.

Řízení reputace

Významný únik dat může značně poškodit reputaci společnosti nebo vlády. Lidé ztrácejí důvěru v instituce, které podle nich neodvádějí dobrou práci při ochraně osobních údajů. Detekce hrozeb a reakce na ně může pomoct snížit pravděpodobnost incidentu hodného pozornosti a ujistit zákazníky, občany a další zúčastněné strany, že osobní údaje jsou chráněny.

Osvědčené postupy detekce hrozeb a reakce na ně

Organizace, které účinně odhalují hrozby a reagují na ně, používají postupy, které pomáhají týmům spolupracovat a zlepšovat svůj přístup, což vede k menšímu počtu kybernetických útoků a nižším nákladům.

Pořádejte pravidelná školení

Ačkoli největší odpovědnost za zabezpečení organizace nese tým SOC, svou roli v něm hraje každý ve společnosti. Většina bezpečnostních incidentů začíná tím, že se některý zaměstnanec nechá oklamat phishingovou kampaní nebo použije neschválené zařízení. Pravidelná školení pomáhají zaměstnancům udržet si povědomí o možných hrozbách, aby mohli upozorňovat tým zabezpečení. Dobrý školicí program také zajišťuje, že odborníci na zabezpečení jsou neustále informováni o nejnovějších nástrojích, zásadách a postupech reakce na hrozby.

Vytvořte plán reakce na incidenty

Bezpečnostní incident je obvykle stresující událost, která vyžaduje, aby lidé rychle postupovali nejen při řešení a obnově, ale také při poskytování přesných informací příslušným zúčastněným stranám. Plán reakce na incidenty odstraňuje některé dohady tím, že definuje příslušné kroky k potlačení hrozby, jejímu odstranění a k obnově systémů. Poskytuje také pokyny pro personalisty, firemní komunikaci, vztahy s veřejností, právníky a senior manažery, kteří musí zajistit, že zaměstnanci a další zainteresované strany vědí, co se děje, a že organizace dodržuje příslušné předpisy.

Podpora silné spolupráce

Udržování si náskoku před vznikajícími hrozbami a koordinace účinné reakce vyžaduje dobrou spolupráci a komunikaci mezi členy týmu zabezpečení. Jednotlivci potřebují rozumět tomu, jak ostatní členové týmu vyhodnocují hrozby, porovnávat si poznámky a společně řešit případné problémy. Spolupráce se vztahuje i na další oddělení společnosti, která můžou být schopná pomáhat odhalit hrozby nebo pomáhat při reakci.

Nasaďte AI

AI pro kybernetickou bezpečnost syntetizuje data z celé organizace a poskytuje přehledy, které pomáhají týmům zaměřit svůj čas a rychle řešit incidenty. Moderní řešení SIEM a XDR využívají AI ke korelaci jednotlivých upozornění do incidentů, což pomáhá organizacím detekovat kybernetické hrozby rychleji. Některá řešení, jako je například Microsoft Defender XDR, využívají AI k automatickému přerušování probíhajících kybernetických útoků. Generativní AI v řešeních, jako je Microsoft Copilot pro Security, pomáhá týmům SOC rychle prověřovat incidenty a reagovat na ně.

Řešení pro detekci hrozeb a reakci na ně

Detekce hrozeb a reakce na ně je důležitou funkcí, která může všem organizacím pomoct nacházet a řešit kybernetické hrozby dříve, než způsobí škodu. Zabezpečení od Microsoftu nabízí několik řešení ochrany před hrozbami, která pomáhají týmům zabezpečení monitorovat a detekovat kybernetické hrozby a reagovat na ně. Pro organizace s omezenými prostředky poskytuje služba Microsoft Defender experti na proaktivní vyhledávání spravované služby, které rozšiřují možnosti stávajících zaměstnanců a nástrojů.

Další informace o zabezpečení od Microsoftu

Jednotná platforma operací zabezpečení

Chraňte se před kybernetickými hrozbami s využitím sjednoceného prostředí pro detekci, prověřování a reakce.

Další informace

Microsoft Defender XDR

Urychlete svou reakci díky přehledu na úrovni incidentů a automatickému přerušování útoků.

Další informace

Microsoft Sentinel

Inteligentní analytika zabezpečení vám umožní odhalovat a eliminovat kybernetické hrozby v celém podniku.

Další informace

Microsoft Defender experti na XDR

Získejte pomoc při zastavování útočníků a prevenci budoucího napadení pomocí spravované služby XDR.

Další informace

Microsoft Defender Správa zranitelností

Omezujte kybernetické hrozby díky průběžnému posuzování ohrožení zabezpečení, stanovování priorit na základě míry rizika a jejich nápravě.

Další informace

Microsoft Defender pro firmy

Chraňte svou malou nebo střední firmu před kybernetickými útoky, jako je malware a ransomware.

Další informace

Časté otázky

  • Rozšířená detekce hrozeb zahrnuje techniky a nástroje, které odborníci na zabezpečení používají k odhalování rozšířených trvalých hrozeb, což jsou sofistikované hrozby, které jsou navrženy tak, aby zůstaly nedetekovány po delší dobu. Tyto hrozby jsou často závažnější a můžou zahrnovat špionáž nebo krádeže dat.

  • Primárními metodami detekce hrozeb jsou řešení zabezpečení, jako jsou řešení SIEM nebo XDR, která analyzují aktivitu v celém prostředí a zjišťují náznaky ohrožení nebo chování, které se liší od očekávaného chování. Lidé s těmito nástroji pracují při třídění potenciálních hrozeb a reagování na ně. Pomocí XDR a SIEM také proaktivně vyhledávají sofistikované útočníky, kteří se můžou vyhnout detekci.

  • Detekce hrozeb je proces odhalování potenciálních bezpečnostních rizik včetně aktivit, které můžou indikovat ohrožení zařízení, softwaru, sítě nebo identity. Reakce na incidenty zahrnuje kroky, které tým zabezpečení a automatizované nástroje podniknou za účelem eliminace kybernetické hrozby.

  • Proces detekce hrozeb a reakce na ně zahrnuje:

    • Detekce. Nástroje zabezpečení, které monitorují koncové body, identity, sítě, aplikace a cloudy, pomáhají přednášet rizika a potenciální porušení zabezpečení. Odborníci na zabezpečení také používají techniky proaktivního vyhledávání kybernetických hrozeb, aby se pokusili odhalit nově vznikající kybernetické hrozby.
    • Prověřování. Po zjištění rizika používají lidé AI a další nástroje k potvrzení, jestli se jedná o skutečnou kybernetickou hrozbu, určení způsobu, jakým k ní došlo, a posouzení ovlivněných prostředků společnosti.
    • Potlačení. Aby zabránily šíření kybernetického útoku, izolují týmy pro kybernetickou bezpečnost infikovaná zařízení, identity a sítě od zbytku prostředků organizace.
    • Odstranění. Týmy eliminují hlavní příčinu bezpečnostního incidentu s cílem zcela odstranit nežádoucí osobu z prostředí a zmírnit místa možného ohrožení zabezpečení, která by mohla organizaci ohrozit podobným kybernetickým útokem.
    • Obnovení. Jakmile mají týmy přiměřenou jistotu, že kybernetickou hrozbu nebo ohrožení zabezpečení odstranily, zapojí všechny izolované systémy zpět do režimu online.
    • Oznámení. V závislosti na závažnosti incidentu týmy zabezpečení incident zdokumentují a informují vedoucí, management a případně představenstvo o tom, co se stalo a jak byl incident vyřešen.
    • Omezení rizik. Aby se předešlo opakování podobného porušení zabezpečení a zlepšila se reakce v budoucnosti, týmy incident prostudují a identifikují změny, které je potřeba udělat v prostředí a procesech.

  • TDR je zkratka pro detekci hrozeb a reakci na ně, což je proces identifikace kybernetických bezpečnostních hrozeb pro organizaci a provádění kroků ke zmírnění těchto hrozeb dříve, než způsobí skutečné škody. EDR je zkratka pro detekci a reakci v koncových bodech, což je kategorie softwarových produktů, které monitorují koncové body organizace z hlediska potenciálních kybernetických útoků, informují o těchto kybernetických hrozbách tým zabezpečení a automaticky reagují na určité typy kybernetických útoků.

Sledujte Microsoft 365