This is the Trace Id: 6b3861a697b8582c0a548977e46c8d4a
Перейти к основному контенту
Microsoft Security

Что такое обнаружение угроз и реагирование на них (TDR)?

Узнайте, как защитить ресурсы организации, активно выявляя и снижая риски кибербезопасности с помощью обнаружения угроз и реагирования на них.

Откройте решение Microsoft XDR

Определение обнаружения угроз и реагирования на них (TDR)

Обнаружение угроз и реагирование на них — это процесс кибербезопасности, позволяющий выявлять киберугрозы цифровым активам организации и предпринимать шаги по их максимально быстрому устранению.

Как работает обнаружение угроз и реагирование на них?

Для устранения киберугроз и других проблем безопасности многие организации создают центры управления безопасностью (SOC), которые представляют собой централизованную функцию или группу, отвечающую за улучшение состояния кибербезопасности организации, а также за предотвращение, обнаружение и реагирование на угрозы. Помимо мониторинга и реагирования на продолжающиеся кибератаки, SOC также проводит активную работу по выявлению новых киберугроз и организационных уязвимостей. Большинство групп SOC, которые могут находиться на месте или быть привлечены на аутсорсинг, работают круглосуточно, семь дней в неделю.

SOC использует аналитику угроз и технологии для выявления попыток, успешных или продолжающихся нарушений. Обнаружив киберугрозу, группа безопасности использует инструменты обнаружения угроз и реагирования на них, чтобы устранить или смягчить проблему.

Обнаружение угроз и реагирование на них обычно включает следующие этапы:

  • Обнаружение. Средства безопасности, которые отслеживают конечные точки, идентификационные данные, сети, приложения и облака, помогают выявить риски и потенциальные нарушения. Специалисты по безопасности также используют методы охоты на киберугрозы для обнаружения сложных киберугроз, которые ускользают от обнаружения.
  • Исследование. После определения риска SOC использует ИИ и другие средства, чтобы подтвердить реальность киберугрозы, определить, как она произошла, и оценить, какие активы компании затронуты.
  • Автономность. Чтобы остановить распространение кибератаки, группы кибербезопасности и автоматизированные инструменты изолируют зараженные устройства, идентификационные данные и сети от остальных активов организации.
  • Искоренения. Группы устраняют основную причину инцидента безопасности с целью полностью исключить злоумышленника из среды. Они также устраняют уязвимости, которые могут подвергнуть организацию риску подобной кибератаки.
  • Восстановление. Как только группы будут достаточно уверены в том, что киберугроза или уязвимость устранены, они снова подключат все изолированные системы к сети.
  • Отчет. В зависимости от серьезности инцидента группы безопасности документируют и информируют руководителей, руководителей или совет директоров о том, что произошло и как это было решено.
  • Устранение рисков. Чтобы предотвратить повторение подобного нарушения и улучшить реагирование в будущем, группы изучают инцидент и определяют изменения, которые необходимо внести в среду и процессы.

Что такое обнаружение угроз?

Выявлять киберугрозы становится все труднее, поскольку организации расширяют свое облачное пространство, подключают больше устройств к Интернету и переходят на гибридное рабочее место. Злоумышленники пользуются этим расширенным охватом и фрагментацией инструментов безопасности, используя следующие типы тактик:

  • Фишинговые кампании. Одним из наиболее распространенных способов проникновения злоумышленников в компанию является рассылка электронных писем, которые обманом заставляют сотрудников скачивать вредоносный код или предоставлять свои учетные данные.
  • Вредоносные программы. Многие киберзлоумышленники используют программное обеспечение, предназначенное для повреждения компьюте­ров и систем или сбора конфиденциальной информации.
  • Программы-шантажисты. Злоумышленники, использующие программы-шантажисты, которые представляют собой тип вредоносного ПО, держат критически важные системы и данные в заложниках, угрожая раскрыть персональные данные или украсть облачные ресурсы для майнинга биткойнов, пока не будет выплачен выкуп. В последнее время управляемые человеком программы-шантажисты, с помощью которых группы киберзлоумышленников получают доступ ко всей сети организации, стала растущей проблемой для групп безопасности.
  • Распределенные атаки типа "отказ в обслуживании" (DDoS). Используя серию ботов, злоумышленники нарушают работу веб-сайта или сервиса, наводняя его трафиком.
  • Внутренняя угроза. Не все киберугрозы исходят извне организации. Также существует риск того, что доверенные люди, имеющие доступ к конфиденциальным данным, могут непреднамеренно или злонамеренно нанести вред организации.
  • Атаки с использованием удостоверений. Большинство нарушений связано с компрометацией персональных данных, то есть когда киберзлоумышленники крадут или угадывают учетные данные пользователя и используют их для получения доступа к системам и данным организации.
  • Атаки Интернета вещей (IoT). Устройства Интернета вещей также уязвимы для кибератак, особенно устаревшие устройства, которые не имеют встроенных средств управления безопасностью, которые есть в современных устройствах.
  • Атака через цепочку поставок. Иногда злоумышленник нацеливается на организацию, вмешиваясь в программное или аппаратное обеспечение, поставляемое сторонним поставщиком.
  • Внедрение кода. Используя уязвимости в обработке исходного кода внешних данных, киберпреступники внедряют в приложение вредоносный код.

Обнаружении угроз
Чтобы опередить рост атак на кибербезопасность, организации используют моделирование угроз для определения требований безопасности, выявления уязвимостей и рисков, а также определения приоритетов их устранения. Используя гипотетические сценарии, SOC пытается проникнуть в сознание киберпреступников, чтобы они могли улучшить способность организации предотвращать или смягчать инциденты безопасности. Структура MITRE ATT&CK® — это полезная модель для распознавания распространенных методов и тактик кибератак.

Многоуровневая защита требует инструментов, которые обеспечивают непрерывный мониторинг среды в реальном времени и выявляют потенциальные проблемы безопасности. Решения также должны перекрываться, чтобы в случае взлома одного метода обнаружения второй обнаружил проблему и уведомил группу безопасности. Решения по обнаружению киберугроз используют различные методы выявления угроз, в том числе:

  • Обнаружение на основе подписи. Многие решения безопасности сканируют программное обеспечение и трафик для выявления уникальных подписей, связанных с определенным типом вредоносного ПО.
  • Обнаружение на основе реакции на событие. Чтобы обеспечить обнаружение новых и возникающих киберугроз, решения безопасности также отслеживают действия и поведение, типичные для кибератак.
  • Обнаружение на основе аномалий. ИИ и аналитика помогают группам распознать типичную реакцию на событие пользователей, устройств и программного обеспечения, чтобы они могли выявить что-то необычное, что может указывать на киберугрозу.

Хотя программное обеспечение имеет решающее значение, люди играют не менее важную роль в обнаружении киберугроз. Помимо сортировки и исследования предупреждений, генерируемых системой, аналитики используют методы поиска киберугроз для упреждающего поиска признаков компрометации или поиска тактик, методов и процедур, которые предполагают наличие потенциальной угрозы. Эти подходы помогают SOC быстро обнаруживать и останавливать сложные, труднообнаружимые атаки

Что такое реагирование на угрозы?

После выявления реальной киберугрозы реагирование на угрозу включает любые действия, которые SOC предпринимает для ее сдерживания и устранения, восстановления и снижения вероятности повторения аналогичной атаки. Многие компании разрабатывают план реагирования на инциденты, который поможет им действовать в случае потенциального нарушения безопасности, когда организованность и быстрота действий имеют решающее значение. Хороший план реагирования на инциденты включает сборники схем с пошаговыми инструкциями по конкретным типам угроз, ролям и обязанностям, а также план коммуникации.

Компоненты обнаружения угроз и реагирования на них

Организации используют различные средства и процессы для эффективного обнаружения угроз и реагирования на них.

Extended Detection and Response

Продукты расширенного обнаружения и реагирования (XDR) помогают SOC упростить весь жизненный цикл предотвращения, обнаружения и реагирования на киберугрозы. Эти решения отслеживают конечные точки, облачные приложения, электронную почту и персональные данные. Если решение XDR обнаруживает киберугрозу, оно предупреждает службы безопасности и автоматически реагирует на определенные инциденты на основе критериев, определенных SOC.

Обнаружение и нейтрализация угроз для удостоверений

Поскольку злоумышленники часто нацелены на сотрудников, важно внедрить инструменты и процессы для выявления и реагирования на угрозы для удостоверений организации. Эти решения обычно используют аналитику реакций на событие пользователей и объектов (UEBA) для определения базовой реакции на событие пользователей и выявления аномалий, представляющих потенциальную угрозу.

Управление информационной безопасностью и событиями безопасности

Получение видимости всей цифровой среды — это первый шаг к распознаванию ландшафта угроз. Большинство групп SOC используют решения для управления информационной безопасностью и событиями безопасности (SIEM), которые агрегируют и сопоставляют данные между конечными точками, облаками, электронной почтой, приложениями и удостоверениями. Эти решения используют правила обнаружения и сценарии для выявления потенциальных киберугроз путем сопоставления журналов и предупреждений. Современные SIEM также используют ИИ для более эффективного обнаружения киберугроз и включают источники внешней информации об угрозах, чтобы они могли выявлять новые и возникающие киберугрозы.

Аналитика угроз

Чтобы получить комплексное представление о ландшафте киберугроз, SOC используют инструменты, которые синтезируют и анализируют данные из различных источников, включая конечные точки, электронную почту, облачные приложения и внешние источники информации об угрозах. Анализ этих данных помогает группам безопасности подготовиться к кибератаке, обнаружить активные киберугрозы, расследовать текущие инциденты безопасности и эффективно реагировать.

Обнаружение и нейтрализация атак на конечные точки

Решения для обнаружения и реагирования на конечные точки (EDR) — это более ранняя версия решений XDR, ориентированная только на конечные точки, такие как компьютеры, серверы, мобильные устройства, Интернет вещей. Как и решения XDR, при обнаружении потенциальной атаки эти решения генерируют предупреждение и, в случае некоторых хорошо понятных атак, реагируют автоматически. Поскольку решения EDR ориентированы только на конечные точки, большинство организаций переходят на решения XDR.

Управление уязвимостями

Управление уязвимостями — это непрерывный, упреждающий и часто автоматизированный процесс, который отслеживает компьютерные системы, сети и корпоративные приложения на наличие слабых мест в безопасности. Решения для управления уязвимостями оценивают уязвимости на предмет серьезности и уровня риска и предоставляют отчеты, которые SOC использует для устранения проблем.

Оркестрация безопасности, автоматизация и реагирование

Решения для оркестрации, автоматизации и реагирования на безопасность (SOAR) помогают упростить обнаружение киберугроз и реагирование на них, объединяя внутренние и внешние данные и инструменты в едином централизованном месте. Они также автоматизируют реагирование на киберугрозы на основе набора предопределенных правил.

Управляемое обнаружение и нейтрализация атак

Не у всех организаций есть ресурсы для эффективного обнаружения киберугроз и реагирования на них. Управляемые службы обнаружения и реагирования помогают этим организациям пополнить свои группы безопасности инструментами и людьми, необходимыми для поиска угроз и соответствующего реагирования.

Ключевые преимущества обнаружения угроз и реагирования на них

Существует несколько способов, с помощью которых эффективное обнаружение угроз и реагирование на них могут помочь организации повысить свою устойчивость и минимизировать последствия нарушений.

Раннее обнаружение угроз

Предотвращение киберугроз до полного нарушения безопасности — это важный способ значительно снизить влияние инцидента. Благодаря современным инструментам обнаружения и реагирования на угрозы, а также специальной команде SOC повышают вероятность того, что они обнаружат угрозы на ранней стадии, когда их будет легче устранить.

Соответствие нормативным требованиям

Страны и регионы продолжают принимать строгие законы о конфиденциальности, требующие от организаций наличия надежных мер безопасности данных и детального процесса реагирования на инциденты безопасности. Компании, которые не соблюдают эти правила, облагаются крупными штрафами. Программа обнаружения угроз и реагирования на них помогает организациям соблюдать требования этих законов.

Сокращенное время обнаружения

Как правило, наиболее разрушительные кибератаки происходят в результате инцидентов, в ходе которых киберзлоумышленники провели большую часть времени незамеченными в цифровой среде. Сокращение времени обнаружения, или времени пребывания, имеет решающее значение для ограничения ущерба. Процессы обнаружения угроз и реагирования на них, такие как поиск угроз, помогают SOC быстро выявлять злоумышленников и ограничивать их влияние.

Улучшенная видимость

Инструменты обнаружения угроз и реагирования на них, такие как SIEM и XDR, помогают группам по обеспечению безопасности лучше управлять средой, чтобы они не только быстро выявляли угрозы, но и выявляли потенциальные уязвимости, такие как устаревшее программное обеспечение, которые необходимо устранить.

Защита конфиденциальных данных

Для многих организаций данные являются одним из наиболее важных активов. Правильные средства и процедуры обнаружения и реагирования на угрозы помогают группам безопасности ловить злоумышленников до того, как они получат доступ к конфиденциальным данным, снижая вероятность того, что эта информация станет общедоступной или будет продана в Dark Web.

Упреждающий подход к безопасности

Обнаружение угроз и реагирование на них также выявляют возникающие угрозы и проливают свет на то, как злоумышленники могут получить доступ к цифровой среде компании. Обладая этой информацией, SOC могут укрепить организацию и предотвратить будущие атаки.

Снижение затрат

Успешная кибератака может стоить организации очень дорого с точки зрения фактических денег, потраченных на выкупы, сборы регулирующих органов или усилия по восстановлению. Это также может привести к снижению производительности и продаж. Быстро обнаруживая угрозы и реагируя на кибератаки на ранних стадиях, организации могут сократить расходы на инциденты безопасности.

Управление репутацией

Высокий уровень профиля утечки данных может нанести большой ущерб репутации компании или правительства. Люди теряют доверие к учреждениям, которые, по их мнению, не обеспечивают должной защиты персональных данных. Обнаружение угроз и реагирование на них могут помочь снизить вероятность инцидента, заслуживающего освещения в печати, и убедить клиентов, граждан и других заинтересованных лиц в том, что персональные данные защищены.

Лучшие методики обнаружения угроз и реагирования на них

Организации, которые эффективно обнаруживают угрозы и реагируют на них, используют методы, которые помогают группам работать вместе и совершенствовать свои подходы, что приводит к меньшему количеству и менее дорогостоящим кибератакам.

Проводите регулярное обучение

Хотя группа SOC несет наибольшую ответственность за безопасность организации, каждый в компании должен сыграть свою роль. Большинство инцидентов безопасности начинаются с того, что сотрудник попадает в фишинговую кампанию или использует неутвержденное устройство. Регулярное обучение помогает сотрудникам оставаться в курсе возможных угроз и уведомлять службу безопасности. Хорошая программа обучения также гарантирует, что специалисты по безопасности будут в курсе новейших инструментов, политик и процедур реагирования на угрозы.

Разработка плана реагирования на инциденты

Инцидент безопасности, как правило, представляет собой стрессовое событие, которое требует от людей быстрых действий, чтобы не только устранить проблему и восстановиться, но и предоставить точные обновления соответствующим заинтересованным сторонам. План реагирования на инциденты устраняет некоторые догадки, определяя соответствующие шаги по сдерживанию, искоренению и восстановлению. Он также предоставляет рекомендации для специалистов по кадрам, корпоративным коммуникациям, связям с общественностью, юристов и старших руководителей, которым необходимо убедиться, что сотрудники и другие заинтересованные стороны знают, что происходит, и что организация соблюдает соответствующие правила.

Содействуйте тесной совместной работе

Чтобы опережать возникающие угрозы и координировать эффективные ответные меры, требуется хорошая совместная работа и общение между участниками группы безопасности. Сотрудники должны понимать, как другие участники группы оценивают угрозы, сравнивают записи и вместе работают над потенциальными проблемами. Совместная работа также распространяется на другие отделы компании, которые могут помочь обнаружить угрозы или оказать помощь в реагировании.

Разверните ИИ

ИИ для кибербезопасности синтезирует данные со всей организации, предоставляя ценную аналитику, которая помогает группам сконцентрировать свое время и быстро устранять инциденты. Современные решения SIEM и XDR используют ИИ для сопоставления отдельных предупреждений с инцидентами, помогая организациям быстрее обнаруживать киберугрозы. Некоторые решения, такие как Microsoft Defender XDR, используют ИИ для автоматического предотвращения текущих кибератак. Генеративный ИИ в таких решениях, как Microsoft Security Copilot, помогает группам SOC быстро исследовать инциденты и реагировать на них.

Решения для обнаружения угроз и реагирования на них

Обнаружение угроз и реагирование на них — важнейшая функция, которую могут использовать все организации, чтобы помочь им обнаружить и устранить киберугрозы до того, как они причинят вред. Microsoft Security предлагает несколько решений по защите от угроз, которые помогают группам безопасности отслеживать, обнаруживать и реагировать на киберугрозы. Для организаций с ограниченными ресурсами эксперты Microsoft Defender предоставляют управляемые службы для расширения существующего персонала и инструментов.

Подробнее о Microsoft Security

Объединенная платформа операций по обеспечению безопасности

Защитите от киберугроз все свое цифровое имущество с помощью единого средства обнаружения, исследования и реагирования.

Подробнее

Microsoft Defender XDR

Ускорьте реагирование благодаря видимости на уровне инцидентов и автоматическому прекращению атак.

Подробнее

Microsoft Sentinel

Выявляйте и предотвращайте киберугрозы по всему предприятию с помощью интеллектуальной аналитики безопасности.

Подробнее

Эксперты Microsoft Defender по решениям XDR

Получите помощь в остановке злоумышленников и предотвращении компрометации в будущем с помощью управляемой службы XDR.

Подробнее

Управление уязвимостями Microsoft Defender

Уменьшите риски киберугроз с помощью постоянной оценки уязвимостей, определения приоритетов на основе рисков и устранения последствий.

Подробнее

Microsoft Defender для бизнеса

Защитите свой малый или средний бизнес от кибератак, таких как вредоносное ПО и программы-вымогатели.

Подробнее

Вопросы и ответы

  • Расширенное обнаружение угроз включает методы и инструменты, которые специалисты по безопасности используют для обнаружения сложных постоянных угроз, которые представляют собой сложные угрозы, предназначенные для того, чтобы оставаться незамеченными в течение длительного периода времени. Эти угрозы часто более серьезны и могут включать шпионаж или кражу данных.

  • Основными методами обнаружения угроз являются решения безопасности, такие как SIEM или XDR, которые анализируют активность в среде, чтобы обнаружить признаки компрометации или поведение, отклоняющееся от ожидаемого. Люди используют эти инструменты для сортировки потенциальных угроз и реагирования на них. Они также используют XDR и SIEM для поиска сложных злоумышленников, которые могут избежать обнаружения.

  • Обнаружение угроз — это процесс обнаружения потенциальных угроз безопасности, включая действия, которые могут указывать на то, что устройство, программное обеспечение, сеть или удостоверение скомпрометированы. Реагирование на инциденты включает действия, которые группа безопасности и автоматизированные инструменты предпринимают для сдерживания и устранения киберугрозы.

  • Процесс обнаружения угроз и реагирования на них включает:

    • Обнаружение. Средства безопасности, которые отслеживают конечные точки, идентификационные данные, сети, приложения и облака, помогают выявить риски и потенциальные нарушения. Специалисты по безопасности также используют методы охоты на киберугрозы, чтобы попытаться обнаружить новые киберугрозы.
    • Исследование. После выявления риска люди используют ИИ и другие инструменты, чтобы подтвердить реальность киберугрозы, определить, как она произошла, и оценить, какие активы компании затронуты.
    • Автономность. Чтобы остановить распространение кибератаки, группы кибербезопасности изолируют зараженные устройства, идентификационные данные и сети от остальных активов организации.
    • Искоренения. Группы устраняют основную причину инцидента безопасности с целью полного изгнания злоумышленника из среды и устранения уязвимостей, которые могут подвергнуть организацию риску аналогичной кибератаки.
    • Восстановление. Как только группы будут достаточно уверены в том, что киберугроза или уязвимость устранены, они снова подключат все изолированные системы к сети.
    • Отчет. В зависимости от серьезности инцидента группы безопасности документируют и информируют руководителей, руководителей или совет директоров о том, что произошло и как это было решено.
    • Устранение рисков. Чтобы предотвратить повторение подобного нарушения и улучшить реагирование в будущем, группы изучают инцидент и определяют изменения, которые необходимо внести в среду и процессы.

  • TDR означает обнаружение угроз и реагирование на них, то есть процесс выявления угроз кибербезопасности организации и принятия мер по смягчению этих угроз до того, как они нанесут реальный ущерб. EDR означает обнаружение и реагирование на конечных точках. Это категория программных продуктов, которые отслеживают конечные точки организации на предмет потенциальных кибератак, сообщают об этих киберугрозах группе безопасности и автоматически реагируют на определенные типы кибератак.

Следите за новостями Microsoft 365