This is the Trace Id: 928be823e38cbdeeb0f8769bb0fcb299
Siirry pääsisältöön
Microsoft Security

Mikä on uhkien havaitseminen ja reagointi (TDR)?

Opi suojaamaan organisaatiosi resurssit havaitsemalla ja lieventämällä ennakoivasti kyberturvallisuusriskejä uhkien havaitsemisen ja reagoinnin avulla.

Tutustu Microsoft XDR -ratkaisuun

Uhkien havaitseminen ja reagointi (TDR) määriteltynä

Uhkien havaitseminen ja reagointi on kyberturvallisuusprosessi, jossa havaitaan organisaation digitaalisiin resursseihin kohdistuvia kyberuhkia ja tehdään toimenpiteitä niiden lieventämiseen mahdollisimman nopeasti.

Miten uhkien havaitseminen ja reagointi toimii?

Monet organisaatiot ovat perustaneet tietoturvakeskuksen (SOC) vastatakseen kyberuhkiin ja muihin tietoturvaongelmiin. Se on keskitetty toiminto tai tiimi, joka on vastuussa organisaation kyberturvallisuustason parantamisesta sekä uhkien estämisestä, havaitsemisesta ja niihin reagoimisesta. Sen lisäksi, että SOC valvoo jatkuvia kyberhyökkäyksiä ja reagoi niihin, se pyrkii myös tunnistamaan uusia kyberuhkia ja organisaation haavoittuvuuksia ennakoivasti. Useimmat SOC-tiimit, jotka voivat toimia paikan päällä tai olla ulkoistettuja, tekevät työtä kellon ympäri seitsemänä päivänä viikossa.

SOC käyttää uhkatietoja ja teknologiaa löytääkseen yritettyjä, onnistuneita tai käynnissä olevia murtoja. Kun kyberuhka on tunnistettu, tietoturvatiimi käyttää uhkien havaitsemis- ja reagointityökaluja ongelman poistamiseksi tai lieventämiseksi.

Uhkien havaitseminen ja reagointi sisältävät yleensä seuraavat vaiheet:

  • Havaitseminen. Tietoturvatyökalut, jotka valvovat päätepisteitä, käyttäjätietoja, verkkoja, sovelluksia ja pilvipalveluita, auttavat riskien ja mahdollisten rikkomuksien havaitsemisessa. Tietoturva-ammattilaiset käyttävät myös tekniikoita kyberuhkien etsimiseen paljastaakseen kehittyneitä kyberuhkia, jotka välttävät havaitsemiseksi tulemisen.
  • Tutkinta. Kun riski on tunnistettu, SOC käyttää tekoälyä ja muita työkaluja vahvistaakseen, että kyberuhka on todellinen, määrittääkseen, miten se tapahtui, ja arvioidakseen, mitkä yrityksen resurssit ovat altistuneet uhalle.
  • Eristäminen. Kyberhyökkäyksen leviämisen estämiseksi kyberturvallisuustiimit ja automaattiset työkalut eristävät tartunnan saaneet laitteet, käyttäjätiedot ja verkot muista organisaation resursseista.
  • Hävittäminen. Tiimit poistavat tietoturvahäiriön perimmäisen syyn tavoitteenaan häätää haitallinen toimija kokonaan ympäristöstä. He myös korjaavat haavoittuvuuksia, jotka saattavat altistaa organisaation samanlaiselle kyberhyökkäykselle.
  • Palautuminen. Kun tiimit ovat kohtuullisen varmoja siitä, että kyberuhka tai haavoittuvuus on poistettu, he palauttavat eristetyt järjestelmät takaisin online-tilaan.
  • Raportointi. Tapauksen vakavuudesta riippuen tietoturvatiimit dokumentoivat ja tiedottavat johtajille, päälliköille ja/tai hallitukselle, mitä tapahtui ja miten tapaus ratkaistiin.
  • Riskien lieventäminen. Jotta samankaltainen rikkomus ei toistuisi ja jotta siihen voidaan reagoida jatkossa paremmin, tiimit tutkivat tapausta ja tunnistavat, mitä muutoksia ympäristöön ja prosesseihin täytyy tehdä.

Mitä on uhkien havaitseminen?

Kyberuhkien havaitseminen on muuttunut yhä vaikeammaksi, kun organisaatiot ovat laajentaneet pilvipalveluiden jalanjälkeään, yhdistäneet enemmän laitteita Internetiin ja siirtyneet hybridityöhön. Haitalliset toimijat hyödyntävät tätä laajentunutta pinta-alaa ja tietoturvatyökalujen pirstoutumista käyttämällä seuraavantyyppisiä taktiikoita:

  • Tietojenkalastelukampanjat. Yksi yleisimmistä tavoista, joilla haitalliset toimijat tunkeutuvat yrityksen järjestelmään, on sähköpostiviestien lähettäminen, joissa huijataan työntekijöitä lataamaan haitallinen koodi tai antamaan tunnistetietonsa.
  • Haittaohjelmat. Monet kyberhyökkäysten tekijät käyttävät ohjelmistoja, jotka on suunniteltu vahingoittamaan tietokoneita ja järjestelmiä tai keräämään arkaluonteisia tietoja.
  • Kiristysohjelmat. Kiristysohjelmahyökkäysten, jotka ovat yksi haittaohjelmien tyyppi, tekijät ottavat tärkeitä järjestelmiä ja tietoja panttivangiksi ja uhkaavat levittää yksityisiä tietoja tai varastaa pilviresursseja bitcoinien louhintaa varten, kunnes lunnasraha on maksettu. Viime aikoina ihmisten tekemistä kiristysohjelmahyökkäyksistä, joissa ryhmä kyberhyökkääjiä pääsee käsiksi organisaation koko verkkoon, on tullut kasvava ongelma tietoturvatiimeille.
  • Hajautetut palvelunestohyökkäykset (DDoS). Bottijoukkoja käyttämällä haitalliset toimijat häiritsevät verkkosivustoa tai palvelua kohdistamalla siihen paljon liikennettä.
  • Sisäiset uhat. Kaikki kyberuhat eivät ole peräisin organisaation ulkopuolelta. On myös olemassa riski, että luotetut henkilöt, joilla on pääsy arkaluonteisiin tietoihin, voivat vahingossa tai haitallisesti vahingoittaa organisaatiota.
  • Käyttäjätietoihin perustuvat hyökkäykset. Useimmissa rikkomuksissa on kyse vaarantuneista käyttäjätiedoista eli siitä, kun kyberhyökkäysten tekijät varastavat tai arvaavat käyttäjän tunnistetietoja ja käyttävät niitä päästäkseen sisälle organisaation järjestelmiin ja tietoihin.
  • Esineiden Internet (IoT) -hyökkäykset. IoT-laitteet ovat myös alttiita kyberhyökkäyksille, erityisesti vanhat laitteet, joissa ei ole nykyaikaisten laitteiden sisäisiä suojaustoimintoja.
  • Toimitusketjuhyökkäykset. Joskus haitallinen toimija hyökkää organisaatioon peukaloimalla kolmannen osapuolen ohjelmistoja tai laitteistoja.
  • Koodin lisäämishyökkäykset. Kyberrikolliset hyödyntävät heikkouksia, jotka liittyvät siihen, miten lähdekoodi käsittelee ulkoisia tietoja, ja lisäävät haitallisen koodin sovellukseen.

Uhkien havaitseminen
Jotta organisaatiot pysyvät kasvavien kyberturvallisuus edellä, ne käyttävät uhkien mallinnusta tietoturvavaatimusten määrittämiseen, haavoittuvuuksien tunnistamiseen ja korjauksien priorisoimiseen. Hypoteettisten skenaarioiden avulla SOC yrittää päästä kyberrikollisten pään sisälle, jotta he voivat parantaa organisaation kykyä estää tai lieventää tietoturvahäiriöitä. MITRE ATT&CK® -ratkaisu on hyödyllinen malli yleisten kyberhyökkäystekniikoiden ja -taktiikoiden ymmärtämiseen.

Monikerroksinen puolustus edellyttää työkaluja, jotka tarjoavat jatkuvan reaaliaikaisen ympäristön valvonnan ja tuovat esiin mahdollisia tietoturvaongelmia. Ratkaisujen on myös oltava päällekkäisiä, jotta jos yksi havaitsemismenetelmä vaarantuu, toinen menetelmä voi havaita ongelman ja ilmoittaa siitä tietoturvatiimille. Kyberuhkien havaitsemisratkaisut havaitsevat uhkia useilla eri tavoilla, esimerkiksi seuraavilla:

  • Allekirjoituspohjainen tunnistus. Monet tietoturvaratkaisut tarkistavat ohjelmistoja ja liikennettä tunnistaakseen yksilölliset allekirjoitukset, jotka liittyvät tietyntyyppiseen haittaohjelmaan.
  • Käyttäytymispohjainen tunnistus. Tietoturvaratkaisut etsivät kyberhyökkäyksille yleisiä toimintoja ja käyttäytymisiä estääkseen uudet kyberuhat.
  • Poikkeamiin perustuva tunnistus. Tekoäly ja analytiikka auttavat tiimejä ymmärtämään käyttäjien, laitteiden ja ohjelmistojen tyypillistä toimintaa, jotta ne tunnistavat mahdollisesti kyberuhkaan viittaavan epätavallisen toiminnan.

Vaikka ohjelmistot ovat tärkeitä, ihmisillä on yhtä tärkeä rooli kyberuhkien havaitsemisessa. Luokittelun ja järjestelmän luomien hälytysten tutkimisen lisäksi analyytikot käyttävät kyberuhkien etsintätekniikoita etsiäkseen ennakoivasti merkkejä vaarantumisesta tai etsiäkseen taktiikoita, tekniikoita ja menettelytapoja, jotka viittaavat mahdolliseen uhkaan. Nämä lähestymistavat auttavat SOC:tä paljastamaan ja estämään kehittyneitä ja vaikeasti havaittavia hyökkäyksiä nopeasti

Mitä on uhkiin reagoiminen?

Kun oikea kyberuhka on tunnistettu, uhkiin reagointi sisältää kaikki toimet, jotka SOC suorittaa eristääkseen ja poistaakseen uhan, siitä palautumiseen sekä pienentääkseen sen mahdollisuutta, että samanlainen hyökkäys toistuu. Monet yritykset luovat tapausten käsittelysuunnitelman, joka ohjaa heitä mahdollisen rikkomuksen aikana, kun järjestelmällisyys ja nopeus on erittäin tärkeää. Hyvä tapausten käsittelysuunnitelma sisältää käsikirjoja, joissa on vaiheittaiset ohjeet tietyntyyppisille uhille, rooleille ja työtehtäville, sekä viestintäsuunnitelman.

Uhkien havaitsemisen ja reagoimisen komponentit

Organisaatiot käyttävät erilaisia työkaluja ja prosesseja havaitakseen uhkia ja reagoidakseen niihin tehokkaasti.

Laajennettu havaitseminen ja reagointi

Laajennetun havaitsemisen ja reagoinnin (XDR) tuotteet auttavat SOC:itä yksinkertaistamaan koko kyberuhkien estämisen, havaitsemisen ja reagoinnin elinkaaren. Nämä ratkaisut valvovat päätepisteitä, pilvipalvelusovelluksia, sähköpostia ja käyttäjätietoja. Jos XDR-ratkaisu havaitsee kyberuhan, se hälyttää tietoturvatiimin ja reagoi automaattisesti tiettyihin tapauksiin SOC:n määrittämien ehtojen mukaan.

Käyttäjätietouhkien tunnistaminen ja käsittely

Koska haitalliset toimijat kohdistavat hyökkäyksiä usein työntekijöihin, on tärkeää ottaa käyttöön työkaluja ja prosesseja, joilla voi tunnistaa organisaation käyttäjätietouhkia ja reagoida niihin. Nämä ratkaisut käyttävät yleensä käyttäjän ja laitteiden toiminnan analysointia (UEBA) käyttäjien perustoimintatapojen määrittämiseen ja mahdollisesti uhkaa edustavien poikkeamien löytämiseen.

Suojaustiedot ja tapahtumien hallinta

Koko digitaaliseen ympäristön ymmärtäminen on ensimmäinen vaihe uhkaympäristön ymmärtämisessä. Useimmat SOC-tiimit käyttävät suojaustietojen ja tapahtumien hallinnan (SIEM) ratkaisuja, jotka koostavat ja yhdistävät tietoja päätepisteistä, pilvipalveluista, sähköposteista, sovelluksista ja käyttäjätiedoista. Nämä ratkaisut käyttävät havaitsemissääntöjä ja käsikirjoja mahdollisten kyberuhkien paljastamiseen yhdistämällä lokeja ja hälytyksiä. Nykyaikaiset SIEM:t käyttävät myös tekoälyä havaitakseen kyberuhkia vielä tehokkaammin, ja ne hyödyntävät ulkoisia uhkatietosyötteitä havaitakseen uusia kyberuhkia.

Uhkatietämys

SOC:t käyttävät työkaluja, jotka yhdistelevät ja analysoivat tietoja eri lähteistä, kuten päätepisteistä, sähköpostista, pilvipalvelusovelluksista ja ulkoisista uhkatietolähteistä saadakseen kattavan kuvan kyberuhista. Näiden tietojen merkitykselliset tiedot auttavat tietoturvatiimejä valmistautumaan kyberhyökkäykseen, havaitsemaan aktiivisia kyberuhkia, tutkimaan meneillä olevia tietoturvahäiriöitä ja reagoimaan niihin tehokkaasti.

Päätepisteiden tunnistus ja käsittely

Päätepisteiden tunnistus- ja käsittelyratkaisut (EDR) ovat XDR-ratkaisujen aiempi versio, jotka keskittyvät vain päätepisteisiin, kuten tietokoneisiin, palvelimiin, mobiililaitteisiin ja IoT:hen. Kuten XDR-ratkaisut, kun mahdollinen hyökkäys havaitaan, nämä ratkaisut luovat hälytyksen ja reagoivat tiettyihin hyvin tunnettuihin hyökkäyksiin automaattisesti. Koska EDR-ratkaisut keskittyvät vain päätepisteisiin, useimmat organisaatiot siirtyvät XDR-ratkaisuihin.

Haavoittuvuuksien hallinta

Haavoittuvuuksien hallinta on jatkuva, ennakoiva ja usein automatisoitu prosessi, joka valvoo tietokonejärjestelmiä, verkkoja ja yrityssovelluksia tietoturvariskien varalta. Haavoittuvuuksien hallintaratkaisut arvioivat haavoittuvuuksia vakavuuden ja riskitason mukaan ja tarjoavat raportteja, joita SOC käyttää tapauksien korjaamiseen.

Suojauksen järjestäminen, automatisointi ja reagointi

Suojauksen järjestämis-, automatisointi- ja reagointiratkaisut (SOAR) auttavat yksinkertaistamaan kyberuhkien havaitsemista ja niihin reagointia tuomalla sisäiset ja ulkoiset tiedot ja työkalut yhteen keskitettyyn paikkaan. Ne myös automatisoivat kyberuhkiin reagoimisen ennalta määritettyjen sääntöjen perusteella.

Hallittu havaitseminen ja reagointi

Kaikilla organisaatioilla ei ole resursseja kyberuhkien tehokkaaseen havaitsemiseen ja niihin reagoimiseen. Hallitut havaitsemis- ja vastauspalvelut auttavat näitä organisaatioita täydentämään tietoturvatiimejä työkaluilla ja henkilöillä, joita tarvitaan uhkien jäljittämiseen ja niihin reagoimiseen asianmukaisesti.

Uhkien havaitsemisen ja reagoinnin tärkeimmät edut

On useita tapoja, joilla tehokas uhkien havaitseminen ja reagointi voivat auttaa organisaatiota parantamaan sietokykyään ja minimoimaan tietomurtojen vaikutukset.

Varhainen uhkien havaitseminen

Kyberuhkien pysäyttäminen ennen perusteellista murtoa on tärkeä tapa vähentää tapauksen vaikutuksia huomattavasti. Moderneilla uhkien havaitsemis- ja reagointityökaluilla ja erillisellä tiimillä. SOC:t lisäävät todennäköisyyttä sille, että uhat havaitaan aikaisessa vaiheessa, kun niihin on helpompi puuttua.

Säädösten mukainen yhteensopivuus

Maat ja alueet noudattavat edelleen tiukkoja tietosuojalakeja, jotka edellyttävät, että organisaatioilla on käytössään tehokkaita tietosuojatoimia ja yksityiskohtainen prosessi, joita ne noudattavat reagoidessaan tietoturvahäiriöihin. Yrityksiä, jotka eivät noudata näitä sääntöjä, sakotetaan ankarasti. Uhkien havaitsemis- ja reagointiohjelma auttaa organisaatioita täyttämään näiden lakien vaatimukset.

Lyhennetty oleskeluaika

Yleensä kaikkein vahingollisimmat kyberhyökkäykset ovat tapauksia, joissa kyberhyökkäykset pysyvät pitkään huomaamattomina digitaalisessa ympäristössä. Vahinkojen minimoimiseksi on tärkeää vähentää sitä aikaa, jona hyökkäykset pysyvät huomaamattomina, eli oleskeluaikaa. Uhkien havaitsemis- ja reagointiprosessit, kuten uhkien jäljittäminen, auttavat SOC:itä nappaamaan nämä haitalliset toimijat nopeasti ja vähentämään niiden vaikutuksia.

Parannettu näkyvyys

Uhkien havaitsemis- ja reagointityökalut, kuten SIEM ja XDR, antavat tietoturvaryhmille paremman näkyvyyden ympäristöihinsä, jotta ne voivat havaita uhkia nopeasti sekä havaita mahdollisia haavoittuvuuksia, kuten vanhentuneita ohjelmistoja, joihin on reagoitava.

Arkaluonteisten tietojen suojaus

Tiedot ovat monissa organisaatioissa yksi niiden tärkeimmistä resursseista. Oikeanlaiset uhkien havaitsemis- ja reagointityökalut sekä -toimenpiteet auttavat tietoturvatiimejä nappaamaan haitalliset toimijat, ennen kuin ne pääsevät käsiksi arkaluontoisiin tietoihin, mikä vähentää sen todennäköisyyttä, että tiedoista tulee julkisia ja ne myydään pimeässä verkossa.

Ennakoivan suojaustaso

Uhkien havaitseminen ja reagointi antaa myös tietoja uusista uhista ja siitä, miten haitalliset toimijat voivat päästä käsiksi yrityksen digitaaliseen ympäristöön. Näiden tietojen avulla SOC:t voivat vahvistaa organisaatiota ja estää tulevat hyökkäykset.

Kustannussäästöt

Onnistunut kyberhyökkäys voi olla organisaatiolle erittäin kallista lunnasrahoihin, lakisääteisiin maksuihin tai palautustoimiin käytetyn rahan osalta. Se voi myös johtaa tuottavuuden ja myynnin menettämiseen. Tunnistamalla uhat nopeasti ja reagoimalla kyberhyökkäyksen alkuvaiheissa organisaatiot voivat vähentää tietoturvahäiriöiden kustannuksia.

Maineen hallinta

Korkean profiilin tietomurto voi aiheuttaa paljon vahinkoa yrityksen tai julkishallinnon maineelle. Ihmiset menettävät uskonsa laitoksiin, jotka eivät heidän mielestään suojaa henkilökohtaisia tietoja tarpeeksi hyvin. Uhkien havaitseminen ja reagointi voi auttaa pienentämään todennäköisyyttä sille, että jotain uutisarvoista tapahtuu, ja vakuuttamaan asiakkaat, kansalaiset ja muut sidosryhmät siitä, että henkilökohtaiset tiedot ovat turvassa.

Uhkien havaitsemisen ja reagoimisen parhaat käytännöt

Organisaatiot, jotka ovat tehokkaita uhkien havaitsemisessa ja niihin reagoimisessa, noudattavat käytäntöjä, jotka auttavat tiimejä tekemään yhteistyötä ja parantamaan lähestymistapaansa, mikä johtaa entistä harvempiin ja vähemmän kalliisiin kyberhyökkäyksiin.

Säännöllisen koulutuksen järjestäminen

Vaikka SOC-tiimillä on suurin vastuu organisaation suojaamisessa, kaikilla yrityksen jäsenillä on oma roolinsa. Suurin osa tietoturvahäiriöistä alkaa siitä, että työntekijä joutuu tietojenkalastelukampanjan uhriksi tai käyttää laitetta, jota ei ole hyväksytty. Säännöllinen koulutus auttaa työvoimaa pysymään ajan tasalla mahdollisista uhista, jotta he voivat ilmoittaa asiasta tietoturvatiimille. Hyvä koulutusohjelma varmistaa myös, että tietoturva-ammattilaiset pysyvät ajan tasalla uusimmista työkaluista, käytännöistä ja uhkien torjuntatoimista.

Kehitä tapausten käsittelysuunnitelma

Tietoturvahäiriö on yleensä stressaava tapahtuma, joka edellyttää, että ihmiset reagoivat uhkiin ja palautuvat niistä nopeasti sekä antavat tarkkoja päivityksiä asiaankuuluville sidosryhmille. Tapausten käsittelysuunnitelma ei jätä kaikkea arvailun varaan määrittämällä asianmukaiset vaiheet eristämiselle, poistamiselle ja palautumiselle. Se antaa myös ohjeita henkilöstöhallinnolle, yritysviestinnälle, PR-tiimille, asianajajille ja johtajille, joiden on varmistettava, että työntekijät ja muut sidosryhmät tietävät, mitä on meneillään ja että organisaatio noudattaa asianmukaisia säädöksiä.

Edistä vahvaa yhteistyötä

Uusien uhkien edellä pysyminen ja tehokkaiden reagointitoimenpiteiden koordinoiminen edellyttää hyvää yhteistyötä ja viestintää tietoturvatiimin jäsenten välillä. Työntekijöiden on ymmärrettävä, miten muut työryhmän jäsenet arvioivat uhkia, vertailtava muistiinpanoja ja työskenneltävä yhdessä mahdollisten ongelmien parissa. Yhteistyö kattaa myös yrityksen muut osastot, jotka voivat ehkä auttaa uhkien tunnistamisessa tai niihin reagoimisessa.

Ota tekoäly käyttöön

Kyberturvallisuuden tekoäly  yhdistelee tietoja koko organisaatiosta ja tarjoaa merkityksellisiä tietoja, jotka auttavat tiimejä keskittymään olennaiseen ja ratkaisemaan tapauksia nopeasti. Nykyaikaiset SIEM- ja XDR-ratkaisut käyttävät tekoälyä yhdistääkseen yksittäiset hälytykset tietoturvahäiriöksi, mikä auttaa organisaatioita havaitsemaan kyberuhkia nopeammin. Jotkin ratkaisut, kuten Microsoft Defender XDR, käyttävät tekoälyä meneillä oleviin kyberhyökkäyksiin automaattisesti. Generatiivinen tekoäly ratkaisuissa, kuten Microsoft Security Copilotissa, auttaa SOC-tiimejä tutkimaan tapauksia nopeasti ja reagoimaan niihin.

Uhkien havaitsemis- ja reagointiratkaisut

Uhkien havaitseminen ja niihin reagoiminen on kriittinen toimenpide, jota kaikki organisaatiot voivat käyttää havaitakseen kyberuhkia ja reagoidakseen niihin, ennen kuin tekevät vahinkoa. Microsoft Security tarjoaa useita uhkien torjuntaratkaisuja, joiden avulla tietoturvatiimit voivat valvoa kyberuhkia, havaita niitä ja reagoida niihin. Organisaatioille, joilla on rajoitetut resurssit, Microsoft Defender Experts tarjoaa hallittuja palveluita olemassa olevan henkilöstön ja työkalujen täydentämiseksi.

Lue lisää Microsoft Securitysta

Yhdistetty tietoturvatoimintojen ympäristö

Suojaa koko digitaalinen tilasi yhdistetyllä havaitsemisen, tutkimisen ja reagoinnin kokemuksella.

Lue lisää

Microsoft Defender XDR

Nopeuta reagointia uhkiin tapaustason näkyvyydellä ja automaattisella hyökkäysten estämisellä.

Lue lisää

Microsoft Sentinel

Älykkään tietoturva-analytiikan avulla voit nähdä ja pysäyttää kyberuhkia koko yrityksessäsi.

Lue lisää

Microsoft Defender Experts for XDR

Hallitun XDR-palvelun avulla saat apua hyökkääjien pysäyttämiseen ja tulevien vaarantumisten estämiseen.

Lue lisää

Microsoft Defenderin haavoittuvuuksien hallinta

Vähennä kyberriskejä jatkuvan haavoittuvuuksien arvioinnin sekä riskipohjaisen priorisoinnin ja korjauksen avulla.

Lue lisää

Microsoft Defender for Business

Suojaa pieni tai keskikokoinen yrityksesi kyberhyökkäyksiltä, kuten haitta- ja kiristysohjelmilta.

Lue lisää

Usein kysytyt kysymykset

  • Kehittynyt uhkien havaitseminen sisältää tekniikoita ja työkaluja, joita tietoturva-ammattilaiset käyttävät paljastaakseen kehittyneitä ja sinnikkäitä uhka, jotka on suunniteltu pysymään huomaamattomina pitkään. Nämä uhat ovat usein vakavampia, ja niihin voi sisältyä vakoilua tai tietovarkauksia.

  • Suojausratkaisut, kuten SIEM ja XDR, ovat ensisijaiset uhkien havaitsemismenetelmät, jotka analysoivat toimintaa koko ympäristössä löytääkseen merkkejä vaarantumisesta tai poikkeavasta toiminnasta. Ihmiset työskentelevät näiden työkalujen parissa luokitellakseen mahdollisia uhkia ja reagoidakseen niihin. He käyttävät myös XDR- ja SIEM-ratkaisuja jäljittääkseen kehittyneitä hyökkääjiä, jotka saattavat välttää havaitsemiseksi tulemisen.

  • Uhkien havaitseminen tarkoittaa mahdollisten tietoturvariskien paljastamista, mukaan lukien sellaisen toiminnan, joka saattaa ilmaista, että laite, ohjelmisto, verkko tai käyttäjätieto on vaarantunut. Tapauksiin reagoiminen sisältää vaiheet, jotka tietoturvatiimi ja automatisoidut työkalut suorittavat eristääkseen ja poistaakseen kyberuhkia.

  • Uhkien havaitsemis- ja reagointiprosessi sisältää seuraavat vaiheet:

    • Havaitseminen. Tietoturvatyökalut, jotka valvovat päätepisteitä, käyttäjätietoja, verkkoja, sovelluksia ja pilvipalveluita, auttavat riskien ja mahdollisten rikkomuksien havaitsemisessa. Tietoturva-ammattilaiset käyttävät myös tekniikoita kyberuhkien etsimiseen paljastaakseen uusia kyberuhkia.
    • Tutkinta. Kun riski on tunnistettu, ihmiset käyttää tekoälyä ja muita työkaluja vahvistaakseen, että kyberuhka on todellinen, määrittääkseen, miten se tapahtui, ja arvioidakseen, mitkä yrityksen resurssit ovat altistuneet uhalle.
    • Eristäminen. Kyberhyökkäyksen leviämisen estämiseksi kyberturvallisuustiimit eristävät tartunnan saaneet laitteet, käyttäjätiedot ja verkot muista organisaation resursseista.
    • Hävittäminen. Tiimit poistavat tietoturvahäiriön pääsyyn tavoitteenaan häätää vihollinen kokonaan ympäristöstä ja lieventää haavoittuvuuksia, jotka saattavat altistaa organisaation samanlaiselle kyberhyökkäykselle.
    • Palautuminen. Kun tiimit ovat kohtuullisen varmoja siitä, että kyberuhka tai haavoittuvuus on poistettu, he palauttavat eristetyt järjestelmät takaisin online-tilaan.
    • Raportointi. Tapauksen vakavuudesta riippuen tietoturvatiimit dokumentoivat ja tiedottavat johtajille, päälliköille ja/tai hallitukselle, mitä tapahtui ja miten tapaus ratkaistiin.
    • Riskien lieventäminen. Jotta samankaltainen rikkomus ei toistuisi ja jotta siihen voidaan reagoida jatkossa paremmin, tiimit tutkivat tapausta ja tunnistavat, mitä muutoksia ympäristöön ja prosesseihin täytyy tehdä.

  • TDR tarkoittaa uhkien havaitsemista ja niihin reagoimista, mikä on prosessi, jossa tunnistetaan organisaatioon kohdistuvat kyberturvallisuusuhat ja ryhdytään toimiin näiden uhkien lieventämiseksi, ennen kuin ne tekevät todellista vahinkoa. EDR tarkoittaa päätepisteiden tunnistusta ja käsittelyä. Se on ohjelmistotuotteiden luokka, joka valvoo organisaation päätepisteitä mahdollisten kyberhyökkäysten varalta, ilmoittaa kyberuhista tietoturvatiimille ja reagoi automaattisesti tietyntyyppisiin kyberhyökkäyksiin.

Seuraa Microsoft 365:tä