This is the Trace Id: 4b5dcb5ce9237726b69ab8d3eb0bff81
Pereiti prie pagrindinio turinio
„Microsoft“ sauga

Kas yra grėsmių aptikimas ir reagavimas (TDR)?

Sužinokite, kaip apsaugoti savo organizacijos išteklius aktyviai nustatant ir sumažinant kibernetinės saugos riziką, aptinkant grėsmes ir reaguojant į jas.

Atraskite „Microsoft“ XDR sprendimą

Grėsmių aptikimo ir reagavimo (TDR) apibrėžimas

Grėsmių aptikimas ir reagavimas yra kibernetinės saugos procesas, skirtas nustatyti kibernetines grėsmes organizacijos skaitmeniniams ištekliams ir imtis veiksmų joms kuo greičiau sumažinti.

Kaip veikia grėsmių aptikimas ir reagavimas (TDR)?

Kad išspręstų kibernetines grėsmes ir kitas saugos problemas, daugelis organizacijų sukuria saugos operacijų centrą (SOC), t y. centralizuotą funkciją arba komandą, kuri yra atsakinga už organizacijos kibernetinės saugos būsenos gerinimą ir grėsmių prevenciją, aptikimą bei reagavimą į jas. Be nuolatinio kibernetinės atakoskibernetinių atakųstebėjimo ir reagavimo į jas, SOC taip pat aktyviai dirba, kad nustatytų kylančias kibernetines grėsmes ir organizacijos pažeidžiamumus. Dauguma SOC komandų, kurios gali veikti vietoje arba būti nuomojamos, veikia visą parą septynias dienas per savaitę.

SOC naudoja grėsmių analizę ir technologiją, kad galėtų aptikti bandytą, sėkmingą arba vykdomą pažeidimą. Nustačius kibernetinę grėsmę, saugos komanda naudos grėsmių aptikimo ir reagavimo įrankius, kad pašalintų arba sumažintų problemą.

Grėsmių aptikimą ir reagavimą paprastai sudaro šie etapai:

  • Aptikimas. Saugos įrankiai, kurie stebi galinius punktus, tapatybes, tinklus, programas ir debesis, padeda nustatyti riziką ir galimus pažeidimus. Saugos specialistai taip pat naudoja kibernetinių grėsmių paieškos metodus, kad atskleistų sudėtingas aptikimo išvengiančias kibernetines grėsmes.
  • Tyrimas. Nustačius riziką, SOC naudoja dirbtinį intelektą ir kitus įrankius, kad įsitikintų, jog kibernetinė grėsmė yra reali, nustatytų, kaip tai įvyko, ir įvertintų, kokie įmonės ištekliai yra paveikti.
  • Sulaikymas. Siekiant sustabdyti kibernetinės atakos plitimą, kibernetinės saugos komandos ir automatizuoti įrankiai izoliuoja užkrėstus įrenginius, tapatybes ir tinklus nuo likusių organizacijos išteklių.
  • Likvidavimas. Komandos pašalina pagrindinę saugos incidento priežastį, kad piktavalis būtų visiškai iškeltas iš aplinkos. Jos taip pat sumažina pažeidžiamumus, dėl kurių organizacijai gali grėsti panaši kibernetinė ataka.
  • Atkūrimas. Kai komandos pagrįstai įsitikina, kad kibernetinė grėsmė arba pažeidžiamumai buvo pašalinti, jos vėl prijungia visas izoliuotas sistemas.
  • Ataskaita. Atsižvelgiant į incidento svarbą, saugos komandos dokumentuoja ir trumpai informuoja vadovus, vadovybę ir (arba) tarybą apie tai, kas atsitiko ir kaip tai buvo išspręstas.
  • Rizikos mažinimas. Kad panašus pažeidimas nepasikartotų ir pagerėtų reagavimas ateityje, komandos ištiria incidentą ir nustato aplinkos ir procesų pakeitimus.

Kas yra grėsmių aptikimas?

Vis sunkiau nustatyti kibernetines grėsmes, nes organizacijos padidino savo debesies pėdsaką, prijungė daugiau įrenginių prie interneto ir perėjo prie hibridinių darbo vietų. Piktavaliai naudoja šią išaugusią veiklos zoną ir saugos įrankių fragmentaciją imdamiesi įvairių tipų taktikos, kuri gali būti:

  • Sukčiavimo apsimetant kampanijosSukčiavimo apsimetant kampanijos. Vienas iš dažniausiai pasitaikančių piktavalių įsiskverbimo į įmonę būdų yra siųsti el. laiškus, kuriais darbuotojai įviliojami atsisiųsti kenkėjišką kodą arba pateikti savo kredencialus.
  • Kenkėjiška programa. Daugelis kibernetinių įsilaužėlių diegia programinę įrangą, skirtą kompiuteriams ir sistemoms sugadinti arba slaptai informacijai rinkti.
  • Išpirkos reikalaujančios programos. Naudodami tam tikro tipo kenkėjiškas išpirkos reikalaujančias programas įsilaužėliai paima įkaitais svarbias sistemas ir duomenis, grasina paviešinti asmeninius duomenis arba pavagia debesies išteklius ir juos naudoja „Bitcoin“ valiutai kasti, kol bus sumokėta išpirka. Pastaruoju metu žmogaus valdomos išpirkos reikalaujančios programos, kurias naudodama kibernetinių įsilaužėlių grupė gauna prieigą prie viso organizacijos tinklo, tampa vis didėjančia saugos komandų problema.
  • Paskirstytoji aptarnavimo perkrovos (DDoS) ataka. Naudodami daugybę robotų piktavaliai sutrikdo svetainę ar paslaugą užtvindydami ją srautu.
  • Vidinė grėsmė. Ne visos kibernetinės grėsmės kyla iš už organizacijos ribų. Taip pat yra rizika, kad prieigą prie neskelbtinų duomenų turintys patikimi asmenys gali netyčia arba piktavališkai pakenkti organizacijai.
  • Tapatybe pagrįstos atakos. Dauguma pažeidimų apima tapatybių pažeidimą, t. y. atvejus, kai kibernetiniai įsilaužėliai pavagia arba atspėja vartotojo kredencialus ir juos naudoja, kad gautų prieigą prie organizacijos sistemų ir duomenų.
  • Internetu sąveikaujančių įrenginių (IoT) atakos. IoT įrenginiai, ypač senstelėję įtaisytųjų šiuolaikinių įrenginių turimų saugos valdiklių neturintys įrenginiai, taip pat yra pažeidžiami kibernetinių atakų atžvilgiu.
  • Tiekimo grandinės atakos. Kartais piktavalis nusitaiko į organizaciją piktavališkai pakeisdamas programinę arba aparatinę įrangą, kurią teikia trečiosios šalies tiekėjas.
  • Kodo įdėjimas. Išnaudodami pažeidžiamumus, kai išeitinis kodas apdoroja išorinius duomenis, kibernetiniai nusikaltėliai į programą įdeda kenkėjišką kodą.

Grėsmių aptikimas
Norėdamos užbėgti už akių didėjančioms kibernetinio saugumo atakoms, organizacijos naudoja grėsmių modeliavimą, kad apibrėžtų saugos reikalavimus, nustatytų pažeidžiamumus ir rizikas bei nustatytų taisymo prioritetus. Naudodama hipotetinius scenarijus, SOC bando suprasti kibernetinių nusikaltėlių mąstyseną, kad galėtų pagerinti organizacijos gebėjimą išvengti saugos incidentų arba sumažinti jų padarinius. MITRE ATT&CK® sistema yra naudingas modelis, skirtas suprasti įprastų kibernetinių atakų metodus ir taktiką.

Kelių sluoksnių gynybai reikia įrankių, kurie užtikrina nuolatinį aplinkos stebėjimą realiuoju laiku ir parodo galimas saugos problemas. Be to, sprendimai turi persidengti, kad pažeidus vieną aptikimo metodą problemą aptiktų ir saugos komandai apie ją praneštų antrasis metodas. Kibernetinių grėsmių aptikimo sprendimai naudoja įvairius metodus grėsmėms nustatyti, kurie gali būti:

  • Parašu pagrįstas aptikimas. Daugelis saugos sprendimų nuskaito programinę įrangą ir srautą, kad nustatytų unikalius parašus, siejamus su konkretaus tipo kenkėjiškomis programomis.
  • Elgesiu pagrįstas aptikimas. Siekiant aptikti naujas ir kylančias kibernetines grėsmes, saugos sprendimais taip pat ieškoma kibernetinėms atakoms įprastų veiksmų ir elgesio.
  • Anomalijomis pagrįstas aptikimas. Dirbtinis intelektas ir analizė padeda komandoms suprasti įprastą vartotojų, įrenginių ir programinės įrangos veikimą ir tokiu būdu nustatyti neįprastus dalykus, kurie gali reikšti kibernetinę grėsmę.

Nors programinė įranga yra labai svarbi, ne mažiau svarbus vaidmuo aptinkant kibernetines grėsmes tenka žmonėms. Analitikai ne tik rūšiuoja ir tiria sistemos generuojamus perspėjimus, bet ir naudoja kibernetinių grėsmių medžioklės metodus, kad aktyviai ieškotų pažeidimo požymių, arba ieško taktikų, metodų ir procedūrų, kurios rodo galimą grėsmę. Šie metodai padeda SOC greitai atrasti ir sustabdyti sudėtingas, sunkiai aptinkamas atakas

Kas yra reagavimas į grėsmes?

Patikimai nustačius kibernetinę ataką, reagavimas į grėsmes apima visus SOC atliekamus veiksmus, skirtus atakai sulaikyti ir pašalinti, atkurti veikimą ir sumažinti galimos naujos panašios atakos tikimybę. Daugelis įmonių sudaro reagavimo į incidentus planą, kad galėtų juo vadovautis galimo pažeidimo metu, kai labai svarbu veikti organizuotai ir greitai. Į gerą reagavimo į incidentus planą įtraukiamos taisyklės su išsamiomis rekomendacijomis dėl konkrečių grėsmių tipų, vaidmenys ir atsakomybės bei bendravimo planas.

Grėsmių aptikimo ir reagavimo komponentai

Organizacijos naudoja įvairius įrankius ir procesus, kad galėtų efektyviai aptikti grėsmes ir į jas reaguoti.

Išplėstinis aptikimas ir reagavimas

Išplėstinio aptikimo ir reagavimo (XDR) produktai padeda SOC supaprastinti visą prevencijos, aptikimo ir reagavimo į kibernetines grėsmes ciklą. Šie sprendimai stebi galinius punktus, debesies programas, el. paštą ir tapatybes. Jei XDR sprendimas aptinka kibernetinę grėsmę, jis įspėja saugos komandas ir į tam tikrus incidentus reaguoja automatiškai pagal SOC apibrėžtus kriterijus.

Tapatybės grėsmių aptikimas ir reagavimas

Piktavaliai dažnai nusitaiko į darbuotojus, todėl svarbu įdiegti įrankius ir procesus, skirtus nustatyti grėsmes organizacijos tapatybėms ir tas grėsmes reaguoti. Šiais sprendimais paprastai naudojama vartotojo ir objekto elgesio analizė (UEBA), skirta nustatyti bazinį vartotojo veikimą ir aptikti anomalijas, kurios potencialiai gali kelti grėsmę.

Saugos informacijos ir įvykių valdymas

Pirmas žingsnis norint suprasti grėsmių aplinką yra visos skaitmeninės aplinkos matomumo užtikrinimas. Dauguma SOC komandų naudoja saugos informacijos ir įvykių valdymo (SIEM) sprendimus, kurie sujungia ir susieja duomenis tarp galinių punktų, debesų, el. laiškų, programų ir tapatybių. Šie sprendimai naudoja aptikimo taisykles ir instrukcijas, kad aptiktų galimas kibernetines grėsmes, siejant žurnalus ir įspėjimus. Šiuolaikiniai SIEM sprendimai taip pat naudoja dirbtinį intelektą, kad efektyviau atskleistų kibernetines grėsmes, ir įtraukia išorinių grėsmių analizės informacijos santraukas, kad galėtų nustatyti naujas ir kylančias kibernetines grėsmes.

Grėsmių analizė

Norėdami gauti išsamų kibernetinių grėsmių vaizdą, SOC naudoja įrankius, kurie sinchronizuoja ir analizuoja duomenis iš įvairių šaltinių, įskaitant galinius punktus, el. paštą, debesies programas ir išorinius grėsmių analizės šaltinius. Šių duomenų įžvalgos padeda saugos komandoms pasirengti kibernetinėms atakoms, aptikti aktyvias kibernetines grėsmes, tirti vykstančius saugos incidentus ir efektyviai reaguoti.

Atakų prieš galinius punktus aptikimas ir reagavimas

Atakų prieš galinius punktus aptikimo ir reagavimo (EDR) sprendimai yra ankstesnė tik galiniams punktams, pvz., kompiuteriams, serveriams, mobiliesiems įrenginiams, IoT, skirta XDR sprendimų versija. Kaip ir XDR sprendimų atveju, aptikus galimą ataką, šie sprendimai sugeneruoja įspėjimą ir, esant tam tikroms gerai suprantamoms atakoms, reaguoja automatiškai. EDR sprendimai yra skirti tik galiniams punktams, todėl dauguma organizacijų pereina prie XDR sprendimų.

Pažeidžiamumo valdymas

Pažeidžiamumo valdymas yra nuolatinis, aktyvus ir dažnai automatizuotas procesas, kuris stebi kompiuterių sistemas, tinklus ir įmonės programas saugos spragų atžvilgiu. Pažeidžiamumo valdymo sprendimai įvertina pažeidžiamumus pagal svarbą ir rizikos lygį ir teikia ataskaitas, kurias SOC naudoja problemoms spręsti.

Saugos sustygavimas, automatizavimas ir reagavimas

Saugos sustygavimo, automatizavimo ir reagavimo (SOAR) sprendimai padeda supaprastinti kibernetinių grėsmių aptikimą ir reagavimą, sujungdami vidinius ir išorinius duomenis bei įrankius vienoje centralizuotoje vietoje. Jie taip pat automatizuoja reagavimą į kibernetines grėsmes pagal iš anksto nustatytų taisyklių rinkinį.

Valdomas aptikimas ir reagavimas

Ne visos organizacijos turi išteklių, kad galėtų efektyviai aptikti kibernetines grėsmes ir reaguoti į jas. Valdomo aptikimo ir reagavimo tarnybos padeda šioms organizacijoms papildyti savo saugos komandas įrankiais ir žmonėmis, kurių reikia grėsmėms ieškoti ir tinkamai reaguoti.

Pagrindiniai grėsmių aptikimo ir reagavimo pranašumai

Yra keletas būdų, kaip efektyvus grėsmių aptikimas ir reagavimas gali padėti organizacijai pagerinti savo atsparumą ir sumažinti pažeidimų poveikį.

Ankstyvas grėsmių aptikimas

Kibernetinių grėsmių stabdymas iki tol, kol įvykdomas visiškas įsilaužimas, yra svarbus būdas smarkiai sumažinti incidento poveikį. Naudodamas modernius grėsmių aptikimo ir reagavimo įrankius ir paskirtąją komandą, SOC padidina šansus, kad grėsmės bus nustatytos anksti, kai jas išspręsti lengviau.

Reguliavimo atitiktis

Šalys ir regionai toliau taiko griežtus privatumo įstatymus, pagal kuriuos organizacijos turi taikyti patikimas duomenų apsaugos priemones ir vykdyti išsamų reagavimo į saugos incidentus procesą. Šių taisyklių nesilaikančioms įmonėms gresia didelės baudos. Grėsmių aptikimo ir reagavimo programa padeda organizacijoms atitikti šių įstatymų reikalavimus.

Sutrumpintas buvimo laikas

Paprastai didžiausius pažeidimus padarančios kibernetinės atakos kyla dėl incidentų, kurių metu kibernetiniai įsilaužėliai didžiąją laiko dalį skaitmeninėje aplinkoje praleido neaptikti. Norint apriboti žalą, labai svarbu sumažinti nepastebėtam praleistą laiką arba buvimo laiką. Grėsmių aptikimo ir reagavimo procesai, pvz., grėsmių paieška, padeda SOC greitai aptikti šiuos piktavalius ir apriboti jų poveikį.

Didesnis matomumas

Grėsmių aptikimo ir reagavimo įrankiai, pvz., SIEM ir XDR, padeda saugos operacijų komandoms geriau matyti savo aplinką, kad jos ne tik greitai nustatytų grėsmes, bet ir aptiktų galimas ir (arba) būtinas taisyti spragas, pvz., pasenusią programinę įrangą.

Slaptų duomenų apsauga

Daugeliui organizacijų duomenys yra vienas svarbiausių išteklių. Tinkami grėsmių aptikimo ir reagavimo įrankiai bei procedūros padeda saugos komandoms aptikti piktavalius iki šiems gaunant prieigą prie slaptų duomenų, todėl sumažėja tikimybė, kad tokia informacija taps vieša arba bus parduodama tamsiajame žiniatinklyje.

Aktyvi saugos būsena

Grėsmių aptikimas ir reagavimas taip pat išryškina kylančias grėsmes ir parodo, kaip piktavaliai gali gauti prieigą prie įmonės skaitmeninės aplinkos. Turėdami šią informaciją, SOC gali sustiprinti organizaciją ir užkirsti kelią būsimoms atakoms.

Sutaupymas

Sėkminga kibernetinė ataka gali labai brangiai kainuoti organizacijai, nes gali būti išleista daug realių pinigų išpirkoms, reguliavimo baudoms ar atkūrimo pastangoms. Dėl to taip pat gali sumažėti produktyvumas ir pardavimai. Greitai aptikdamos grėsmes ir reaguodamos ankstyvose kibernetinės atakos stadijose, organizacijos gali sumažinti saugumo incidentų išlaidas.

Reputacijos valdymas

Aukšto lygio duomenų saugos pažeidimas gali padaryti didelę žalą įmonės ar valdžios reputacijai. Žmonės praranda pasitikėjimą institucijomis, kurios, jų manymu, blogai saugo asmeninę informaciją. Grėsmių aptikimas ir reagavimas į jas gali padėti sumažinti naujienų verto incidento tikimybę ir užtikrinti klientus, piliečius ir kitas suinteresuotąsias šalis, kad asmeninė informacija yra apsaugota.

Geriausios grėsmių aptikimo ir reagavimo praktikos

Veiksmingai grėsmes aptinkančios ir į jas reaguojančios organizacijos taiko praktiką, padedančią komandoms dirbti kartu ir tobulinti savo metodus, todėl kibernetinių atakų būna mažiau ir jos kainuoja pigiau.

Reguliarus mokymas

Nors SOC komanda prisiima didžiausią atsakomybę už organizacijos apsaugą, tam tikras vaidmuo tenka kiekvienam įmonės nariui. Dauguma saugos incidentų prasideda nuo to, kad darbuotojas patiki sukčiavimo apsimetant kampanija arba naudoja nepatvirtinta įrenginį. Reguliarus mokymas padeda darbuotojams išlikti budriems galimų grėsmių atžvilgiu ir sudaro jiems galimybes apie jas pranešti saugos komandai. Gera mokymo programa taip pat užtikrina, kad saugumo specialistai būtų nuolat susipažinę su naujausiomis priemonėmis, strategijomis ir reagavimo į grėsmes procedūromis.

Reagavimo į incidentus plano sukūrimas

Saugumo incidentas paprastai yra stresą keliantis įvykis, reikalaujantis, kad žmonės ne tik greitai imtųsi sprendimo ir atkūrimo veiksmų, bet ir pateiktų tikslią informaciją atitinkamoms suinteresuotosioms šalims. Reagavimo į incidentus planas pašalina dalį spėlionių, nes jame apibrėžiami atitinkami sulaikymo, likvidavimo ir atkūrimo veiksmai. Jame taip pat pateikiamos rekomendacijos žmogiškųjų išteklių, įmonių komunikacijų ir viešųjų ryšių specialistams bei teisininkams ir vyresniesiems vadovams, kurie turi užtikrinti, kad darbuotojai ir kitos suinteresuotosios šalys žinotų, kas vyksta, ir kad organizacija laikytųsi atitinkamų teisės aktų.

Stipraus bendradarbiavimo skatinimas

Norint užbėgti už akių kylančioms grėsmėms ir koordinuoti veiksmingą reagavimą, reikia gero saugos komandos narių bendradarbiavimo ir bendravimo. Asmenys turi suprasti, kaip kiti komandos nariai vertina grėsmes, palyginti pastebėjimus ir kartu spręsti galimas problemas. Be to, bendradarbiaujama ir su kitais įmonės skyriais, kurie gali padėti aptikti grėsmes arba reaguoti į jas.

Dirbtinio intelekto panaudojimas

Dirbtinis intelektas kibernetinės saugos srityje sujungia duomenis iš visos organizacijos ir pateikia įžvalgų, padedančių komandoms sutelkti savo laiką ir greitai spręsti incidentus. Šiuolaikiniai SIEM ir XDR sprendimai naudoja dirbtinį intelektą atskiriems įspėjimams susieti su incidentais ir padėti organizacijoms greičiau aptikti kibernetines grėsmes. Kai kurie sprendimai, pvz., „Microsoft Defender XDR“, naudoja dirbtinį intelektą, kad automatiškai sutrikdytų vykdomas kibernetines atakas. Generuojamasis dirbtinis intelektas tokiuose sprendimuose, kaip „Microsoft Security Copilot“, padeda SOC komandoms greitai ištirti incidentus ir į juos reaguoti.

Grėsmių aptikimo ir reagavimo sprendimai

Grėsmių aptikimas ir reagavimas yra kritinė funkcija, kurią gali naudoti visos organizacijos, kad lengviau rastų ir išspręstų kibernetines grėsmes prieš joms padarant žalą. „Microsoft“ sauga siūlo kelis apsaugos nuo grėsmių sprendimus, kurie padeda saugos komandoms stebėti ir aptikti kibernetines grėsmes, bei į jas reaguoti. Ribotų išteklių organizacijoms „Microsoft Defender“ specialistai teikia valdomąsias paslaugas, kad papildytų turimus darbuotojus ir įrankius.

Sužinokite daugiau apie „Microsoft“ saugą

Vieningoji saugos operacijų platforma

Apsaugokite visą savo skaitmeninį turtą naudodami vieningas aptikimo, tyrimo ir reagavimo funkcijas.

Sužinokite daugiau

„Microsoft Defender“ XDR

Pagreitinkite savo reagavimą naudodami incidento lygio matomumą ir automatinį atakų sutrikdymą.

Sužinokite daugiau

„Microsoft Sentinel“

Matykite ir sustabdykite kibernetines grėsmes visoje įmonėje naudodami intelektualiosios saugos analizę.

Sužinokite daugiau

„Microsoft Defender“ XDR specialistai

Gaukite pagalbos stabdant įsilaužėlius ir užkertant kelią būsimiems pažeidimas naudodami valdomąja XDR tarnybą.

Sužinokite daugiau

„Microsoft Defender“ pažeidžiamumų valdymas

Sumažinkite kibernetines grėsmes naudodami nuolatinį pažeidžiamumų vertinimą, rizika pagrįstą prioritetų nustatymą ir taisymą.

Sužinokite daugiau

„Microsoft Defender“ verslui

Apsaugokite savo mažą ar vidutinio dydžio įmonę nuo kibernetinių atakų, pvz., nuo kenkėjiškų ir (arba) išpirkos reikalaujančių programų.

Sužinokite daugiau

Dažnai užduodami klausimai

  • Patobulintas grėsmių aptikimas apima metodus ir įrankius, kuriuos saugos specialistai naudoja norėdami aptikti sudėtingas ilgalaikes grėsmes, kurios yra modernios grėsmės, sukurtos taip, kad ilgą laiką išliktų nepastebėtos. Tokios grėsmės dažnai yra rimtesnės ir gali apimti šnipinėjimą arba duomenų vagystes.

  • Pagrindiniai grėsmių aptikimo metodai yra saugos sprendimai, pvz., SIEM arba XDR, kurie analizuoja veiklą visoje aplinkoje, kad aptiktų pažeidimo ar veikimo, kuris skiriasi nuo tikėtino, požymius. Žmonės dirba naudodami šiuos įrankius, kad rūšiuotų galimas grėsmes ir į jas reaguotų. Jie taip pat naudoja XDR ir SIEM, kad ieškotų sumanių įsilaužėlių, kurie gali išvengti aptikimo.

  • Grėsmių aptikimas yra galimos saugos rizikos, įskaitant veiklą, kuri gali nurodyti, kad buvo pažeistas įrenginys, programinė įranga, tinklas arba tapatybė, radimo procesas. Reagavimą į incidentą apima veiksmai, kuriuos atlieka saugos komanda ir automatiniai įrankiai, kad būtų galima sulaikyti ir pašalinti kibernetinę grėsmę.

  • Grėsmių aptikimo ir reagavimo procesą sudaro:

    • Aptikimas. Saugos įrankiai, kurie stebi galinius punktus, tapatybes, tinklus, programas ir debesis, padeda nustatyti riziką ir galimus pažeidimus. Saugos specialistai taip pat naudoja kibernetinių grėsmių paieškos metodus, siekdami atskleisti kylančias kibernetines grėsmes.
    • Tyrimas. Nustačius riziką, žmonės naudoja dirbtinį intelektą ir kitus įrankius, kad įsitikintų, jog kibernetinė grėsmė yra reali, nustatytų, kaip tai įvyko, ir įvertintų, kokie įmonės ištekliai yra paveikti.
    • Sulaikymas. Siekiant sustabdyti kibernetinės atakos plitimą, kibernetinės saugos komandos izoliuoja užkrėstus įrenginius, tapatybes ir tinklus nuo likusių organizacijos išteklių.
    • Likvidavimas. Komandos pašalina pagrindinę saugos incidento priežastį, kad piktavalis būtų visiškai iškeltas iš aplinkos ir sumažinti pažeidžiamumai, dėl kurių organizacijai gali kilti panašių kibernetinių atakų rizika.
    • Atkūrimas. Kai komandos pagrįstai įsitikina, kad kibernetinė grėsmė arba pažeidžiamumai buvo pašalinti, jos vėl prijungia visas izoliuotas sistemas.
    • Ataskaita. Atsižvelgiant į incidento svarbą, saugos komandos dokumentuoja ir trumpai informuoja vadovus, vadovybę ir (arba) tarybą apie tai, kas atsitiko ir kaip tai buvo išspręstas.
    • Rizikos mažinimas. Kad panašus pažeidimas nepasikartotų ir pagerėtų reagavimas ateityje, komandos ištiria incidentą ir nustato aplinkos ir procesų pakeitimus.

  • TDR – tai grėsmių aptikimo ir reagavimo procesas, kurio metu nustatomos kibernetinės saugos grėsmės organizacijai ir imamasi veiksmų šioms grėsmėms sumažinti, kol jos dar nepadarė realios žalos. EDR – tai atakų prieš galinius punktus aptikimas ir reagavimas, t. y. programinės įrangos produktų, kurie stebi organizacijos galinius punktus dėl galimų kibernetinių atakų, atskleidžia šias kibernetines grėsmes saugumo komandai ir automatiškai reaguoja į tam tikrų tipų kibernetines atakas, kategorija.

Stebėkite „Microsoft 365“