Що таке виявлення загроз і реагування на них?
Дізнайтеся, як захистити ресурси своєї організації, заздалегідь визначаючи та усуваючи ризики для кібербезпеки шляхом виявлення загроз і реагування на них.
Визначення виявлення загроз і реагування на них
Виявлення загроз і реагування на них – це процес кібербезпеки, який полягає в ідентифікуванні кіберзагроз для цифрових ресурсів організації та у вжитті заходів для їх якнайшвидшого усунення.
Як працює виявлення й усунення загроз?
Для боротьби з кіберзагрозами та іншими проблемами безпеки багато організацій створюють центр безпеки (security operations center, SOC) – централізовану функцію або команду, яка відповідає за покращення стану кібербезпеки в організації та запобігання, виявлення та реагування на загрози. На додачу до моніторингу та реагування на поточні кібератаки, SOC також виконує проактивну роботу з виявлення нових кіберзагроз і вразливостей організації. Більшість команд SOC, які можуть входити до складу організації або складатися із залучених зі сторони виконавців, працюють цілодобово та без вихідних.
Для виявлення спроб порушень, успішних або поточних порушень SOC використовує аналіз кіберзагроз та інші технології. Після виявлення кіберзагрози команда з безпеки використовує інструменти виявлення загроз і реагування, щоб усунути проблему або зменшити її.
Виявлення загроз і реагування на них зазвичай включають такі етапи:
- Виявлення. Інструменти захисту, які контролюють кінцеві точки, ідентичності, мережі, програми та хмари, допомагають виявити ризики та потенційні порушення. Фахівці з безпеки також використовують методи відстеження кіберзагроз, намагаючись помітити складні кіберзагрози, що уникають виявлення.
- Розслідування. Коли ризик виявлено, SOC за допомогою штучного інтелекту та інших інструментів з’ясовує, чи кіберзагроза реальна, визначає, як вона виникла, і оцінює, на які ресурси компанії вона вплинула.
- Локалізація. Щоб зупинити поширення кібератаки, команди кібербезпеки та автоматизовані інструменти ізолюють інфіковані пристрої, ідентичності та мережі від решти ресурсів організації.
- Ліквідація. Команди усувають першопричину інциденту з безпекою, маючи на меті повністю вигнати зловмисника з середовища. Вони також зменшують уразливості, які можуть піддати організацію ризику подібної кібератаки.
- Відновлення. Після того як команди переконаються, що кіберзагрозу або вразливість видалено, вони повертають усі ізольовані системи до мережі.
- Звіт. Залежно від серйозності інциденту команди безпеки документують і сповіщають керівництво про те, що сталося та яких заходів вжито.
- Зниження ризиків. Щоб запобігти виникненню подібних порушень і поліпшити майбутнє реагування, команди вивчають інцидент і визначають, які зміни потрібно внести до середовища та процесів.
Що таке виявлення загроз?
Виявляти кіберзагрози стає дедалі важче, оскільки організації розширюють свої хмарні ресурси, підключають дедалі більше пристроїв до Інтернету та переходять на гібридні робочі місця. Зловмисники користуються цією розширеною поверхнею атаки та розрізненістю інструментів захисту, застосовуючи такі типи тактики:
- Фішингові кампанії. Один із найпоширеніших способів проникнення зловмисників у компанію, – це розсилання електронних листів, у яких співробітників обманним чином примушують завантажувати шкідливий код або надавати свої облікові дані.
- Зловмисні програми. У багатьох кібератаках розгортається програмне забезпечення, призначене для пошкодження комп’ютерів і систем або збирання конфіденційної інформації.
- Зловмисні програми з вимогою викупу. Зловмисні програми з вимогою викупу, різновид шкідливого програмного забезпечення, беруть у заручники критично важливі системи та дані, погрожуючи розкрити приватні дані, або крадуть хмарні ресурси для видобування біткойнів, доки не буде сплачено викуп. Останнім часом дедалі більшу проблему для команд із безпеки становлять зловмисні програми з вимогою викупу, керовані людиною, коли група кіберзловмисників отримує доступ до всієї мережі організації.
- Розподілені атаки типу "відмова в обслуговуванні" (DDoS). За допомогою низки ботів зловмисники порушують роботу веб-сайту або служби, переповнюючи їх трафіком.
- Внутрішня загроза. Не всі кіберзагрози походять із-поза меж організації. Існує також ризик того, що довірені особи з доступом до делікатних даних можуть ненавмисно чи зловмисно завдати шкоди організації.
- Атаки на основі ідентичності. У більшості порушень задіяні зламані ідентичності, тобто зловмисники викрадають або вгадують облікові дані користувачів і використовують їх, щоб отримати доступ до систем і даних організації.
- Атаки на Інтернет речей (IoT). Пристрої IoT також вразливі до кібератак, особливо застарілі пристрої, які не мають вбудованих засобів керування безпекою, як сучасні пристрої.
- Атаки на ланцюжки постачання. Іноді зловмисники атакують організацію, втручаючись у програмне забезпечення або устаткування, яке надає сторонній постачальник.
- Впровадження коду. Використовуючи вразливості в обробці зовнішніх даних вихідним кодом, кіберзлочинці впроваджують у програму зловмисний код.
Виявлення загроз
Щоб випередити зростання атак на кібербезпеку, організації використовують моделювання загроз для визначення вимог до безпеки, виявлення вразливостей і ризиків, а також визначення пріоритетів у виправленні. Використовуючи гіпотетичні сценарії, SOC намагається вирахувати імовірні дії кіберзлочинців, щоб покращити здатність організації відвертати інциденти з безпекою або пом’якшувати їх. Платформа MITRE ATT&CK® – це корисна модель для розуміння поширених методів і тактики кібератак.
Багатошаровий захист потребує інструментів, які забезпечують безперервний моніторинг середовища в реальному часі та виявляють потенційні проблеми безпеки. Рішення також мають дублювати одне одного, щоб у разі невдачі одного методу виявлення інший виявив проблему та повідомив команду з безпеки. Рішення з виявлення кіберзагроз використовують різноманітні методи ідентифікування загроз, зокрема:
- Виявлення на основі сигнатури. Багато рішень для захисту сканують програмне забезпечення та трафік для виявлення унікальних сигнатур, пов’язаних із певними типами зловмисних програм.
- Виявлення на основі поведінки. Для зручнішого виявлення нових кіберзагроз рішення для захисту також шукають дії та закономірності поведінки, які часто трапляються під час кібератак.
- Виявлення на основі аномалій. ШІ та аналітика допомагають командам зрозуміти типову поведінку користувачів, пристроїв і програмного забезпечення, щоб бути спроможними виявити щось незвичайне, що може вказувати на кіберзагрозу.
Хоча програмне забезпечення критично важливе, люди відіграють не менш важливу роль у виявленні кіберзагроз. На додачу до сортування й вивчення створюваних системою оповіщень аналітики використовують методи відстеження кіберзагроз, щоб заздалегідь знаходити ознаки зламу, або шукають тактику, методи та процедури, які вказують на потенційну загрозу. Ці підходи допомагають SOC швидко викривати та зупиняти складні атаки, які важко виявити
Що таке реагування на загрози?
Після виявлення реальної кіберзагрози реагування на загрозу включає будь-які дії, до яких SOC вдається, щоб локалізувати та усунути її, ліквідувати наслідки та зменшити ймовірність того, що подібна атака станеться знову. Багато компаній розробляють плани реагування на інциденти, які допомагають орієнтуватися під час потенційного порушення, коли організованість і швидкі дії дуже важливі. Добре складений план реагування на інциденти містить плани дій із покроковими інструкціями щодо конкретних типів загроз, ролі та обов’язки, а також план комунікації.
Компоненти виявлення загроз і реагування на них
Розширене виявлення й реагування
Продукти розширеного виявлення та реагування (extended detection and response, XDR) допомагають центрам безпеки спрощувати весь життєвий цикл запобігання, виявлення та реагування на кіберзагрози. Ці рішення відстежують кінцеві точки, хмарні програми, електронну пошту та ідентичності. Якщо рішення XDR виявляє кіберзагрозу, воно оповіщає команди з безпеки та автоматично реагує на певні інциденти на основі критеріїв, які визначає SOC.
Виявлення загроз для ідентичностей і реагування на них
Оскільки зловмисники часто націлюються на працівників,’важливо запровадити інструменти та процеси для виявлення загроз ідентичностям в організації та реагування на них. Ці рішення зазвичай використовують аналітику поведінки користувачів і сутностей (user and entity behavior analytics, UEBA), щоб визначати нормальну поведінку користувачів і виявляти аномалії, які становлять потенційну загрозу.
Керування захистом інформації
Досягнення видимості всього цифрового середовища – це перший крок до розуміння ситуації з загрозами. Більшість команд SOC використовують рішення з керування захистом інформації (security information and event management, SIEM), які об’єднують і зіставляють дані на кінцевих точках, у хмарах, електронних листах, програмах та ідентичностях. Ці рішення за допомогою правил виявлення та планів виявляють потенційні кіберзагрози шляхом кореляції журналів і оповіщень. Сучасні рішення SIEM також використовують штучний інтелект, щоб ефективніше виявляти кіберзагрози, і підключають зовнішні канали аналізу кіберзагроз, щоб ідентифікувати нові кіберзагрози.
Аналіз кіберзагроз
Щоб отримати комплексне уявлення про кіберзагрози, центри безпеки використовують інструменти, які синтезують і аналізують дані з різних джерел, зокрема кінцевих точок, електронної пошти, хмарних програм і зовнішніх джерел аналізу кіберзагроз. Аналітичні висновки з цих даних допомагають командам безпеки готуватися до кібератак, виявляти активні кіберзагрози, досліджувати поточні інциденти з безпекою та ефективно реагувати.
Протидія загрозам у кінцевих точках
Рішення з протидії загрозам у кінцевих точках (endpoint detection and response, EDR) – це раніша версія рішень XDR, орієнтована лише на кінцеві точки, як-от комп’ютери, сервери, мобільні пристрої, IoT. Подібно до рішень XDR, ці рішення, коли виявлено потенційну атаку, ці рішення створюють оповіщення та автоматично відповідають на певні добре зрозумілі атаки. Оскільки рішення EDR орієнтовані лише на кінцеві точки, більшість організацій переходять на рішення XDR.
Керування вразливостями
Керування вразливостями – це безперервний, проактивний і часто автоматизований процес, який відстежує комп’ютерні системи, мережі та корпоративні програми на наявність прогалин у безпеці. Рішення з керування вразливостями оцінюють серйозність і рівень ризику вразливості та надають звіти, які, у свою чергу, SOC використовує для вирішення проблем.
Координація, автоматизація та реагування системи безпеки
Координація, автоматизація та реагування системи безпекиРішення з координації, автоматизації та реагування системи безпеки (security orchestration, automation, and response, SOAR) спрощують виявлення кіберзагроз і реагування на них, об’єднуючи внутрішні та зовнішні дані та інструменти в єдиному централізованому розташуванні. Вони також автоматизують реагування на кіберзагрози на основі набору попередньо визначених правил.
Кероване виявлення й реагування
Не всі організації мають ресурси для ефективного виявлення кіберзагроз і реагування на них. Кероване виявлення й реагуванняСлужби керованого виявлення й реагування допомагають цим організаціям доповнити свої команди з безпеки інструментами й людьми, які потрібні їм, щоб належним чином відстежувати загрози й відповідати на них.
Основні переваги виявлення загроз і реагування на них
Раннє виявлення загроз
Зупинення кіберзагроз ще до того, як станеться порушення безпеки, – це важливий спосіб суттєво зменшити вплив інциденту. Завдяки сучасним інструментам виявлення загроз і реагування на них, а також спеціалізованій команді центри безпеки збільшують шанси виявлення загроз на ранній стадії, коли їх буде легше усунути.
Забезпечення відповідності нормативним вимогам
У багатьох країнах і регіонах приймаються суворі закони про конфіденційність, які вимагають від організацій вжиття надійних заходів із захисту даних і запровадження деталізованого процесу реагування на інциденти з безпекою. Компаніям, які не дотримуються цих правил, загрожують великі штрафи. Програма виявлення загроз і реагування на них допомагає організаціям виконувати вимоги цих законів.
Скорочений час перебування
Зазвичай найбільш руйнівні кібератаки відбуваються, коли зловмисники найбільше часу залишалися непоміченими в цифровому середовищі. Скорочення часу непоміченості, або часу перебування, дуже важливе для обмеження шкоди. Процеси виявлення загроз і реагування на них, зокрема відстеження кіберзагроз, допомагають SOCS швидко виявляти зловмисників і обмежувати їхній вплив.
Поліпшена видимість
Інструменти виявлення загроз і реагування на них, як-от SIEM і XDR, допомагають командам із безпеки краще контролювати своє середовище, даючи змогу не лише швидко виявляти загрози, але й викривати потенційні вразливості, які потрібно усунути, наприклад застаріле програмне забезпечення.
Захист делікатних даних
Для багатьох організацій дані – це один із найважливіших ресурсів. Належні інструменти та процедури виявлення загроз і реагування на них допомагають командам із безпеки перехоплювати зловмисників, перш ніж ті отримають доступ до делікатних даних, зменшуючи ймовірність того, що ця інформація стане загальнодоступною або продаватиметься в даркнеті.
Проактивна захищеність
Виявлення загроз і реагування на них також висвітлює нові загрози та показує, як зловмисник може отримати доступ до цифрового середовища компанії. Маючи цю інформацію, центри безпеки можуть укріпити організацію та запобігти майбутнім атакам.
Заощадження коштів
Успішна кібератака може коштувати організації дуже дорого з точки зору фактичних витрат на викуп, виплати регулятивним органам або заходи з відновлення. Це також може призвести до зниження продуктивності та збуту. Швидко виявляючи загрози й реагуючи на ранніх етапах кібератаки, організації можуть зменшити витрати на інциденти безпеки.
Керування репутацією
Резонансне порушення безпеки даних може завдати багато шкоди репутації компанії або держави. Люди втрачають довіру до установ, які, на їхню думку, погано захищають їхні персональні дані. Виявлення загроз і реагування на них може зменшити ймовірність інциденту, який отримав би широкий розголос, а також запевнити клієнтів, громадян та інших зацікавлених сторін, що їхні персональні дані захищені.
Рекомендації з виявлення загроз і реагування на них
Організації, що ефективно виявляють загрози й реагують на них, використовують методи, які допомагають командам працювати разом і вдосконалювати свої підходи, що веде до скорочення кількості кібератак і зменшення втрат від них.
Проводьте регулярне навчання
Хоча команда SOC несе найбільшу відповідальність за захист організації, кожен працівник компанії має виконати свою роль. Більшість інцидентів безпеки починається з того, що працівник піддається фішинговій кампанії або використовує неавторизований пристрій. Регулярне навчання допомагає працівникам бути в курсі можливих загроз, щоб вони могли сповістити команду з безпеки. Добре складена програма навчання також дбає про те, щоб фахівці з безпеки були обізнані в найновіших засобах, політиках і процедурах реагування на загрози.
Створіть план реагування на інциденти
Інцидент із безпекою – це зазвичай стресова подія, яка вимагає від працівників швидких дій не лише з усунення наслідків і відновлення, але й з надання правильної інформації відповідним зацікавленим сторонам. План реагування на інциденти усуває деякі невизначеності, приписуючи необхідні дії з локалізації, ліквідації та відновлення. Він також надає рекомендації для фахівців із персоналу, корпоративних комунікацій, зв’язків із громадськістю, юристів і старших керівників, яким потрібно бути певними, що працівники та інші зацікавлені особи знають, що відбувається, і що організація дотримується відповідних нормативних вимог.
Стимулюйте тісну співпрацю
Щоб випереджати нові загрози та координувати ефективне реагування, потрібна добре влаштована співпраця та комунікація між учасниками команди з безпеки. Окремі працівники повинні розуміти, як інші учасники команди оцінюють загрози, порівнювати записи та спільно вирішувати потенційні проблеми. Співпраця також поширюється на інші відділи компанії, які можуть допомагати у виявленні загроз або сприяти реагуванню.
Розгортайте штучний інтелект (ШІ)
ШІ для кібербезпекиШІ для кібербезпеки синтезує дані з усіх частин організації та надає інформацію, яка допомагає командам зосереджувати свою увагу та швидко усувати інциденти. Сучасні рішення SIEM і XDR використовують ШІ для зіставлення окремих оповіщень з інцидентами, що допомагає організаціям швидше виявляти кіберзагрози. У деяких рішеннях, як-от Microsoft Defender XDR, штучний інтелект використовується для автоматичного переривання поточних кібератак. Генеративний ШІ в таких рішеннях, як Microsoft Security Copilot, допомагає командам SOC швидко розслідувати інциденти та реагувати на них.
Постійно вдосконалюйтесь
Кожен інцидент із безпекою надає можливість навчатися. Після усунення інциденту з безпекою доцільно оцінити, що було зроблено добре, а що ні, з метою оновлення процесів і зменшення вразливостей. Такі інструменти, як XDR, приносять користь, роблячи поліпшення захищеності після інциденту частиною процесу реагування.
Рішення з виявлення загроз і реагування на них
Виявлення загроз і реагування на них – це критично важлива функція, яку можуть використовувати всі організації, щоб краще знаходити кіберзагрози та усувати їх, перш ніж вони завдадуть шкоди. Захисний комплекс Microsoft пропонує кілька рішень для захисту від загроз, які допомагають командам безпеки відстежувати, виявляти кіберзагрози та реагувати на них. Для організацій з обмеженими ресурсами Microsoft Defender Experts пропонує керовані служби, які доповнюють наявний персонал та інструменти.
Дізнайтеся більше про Захисний комплекс Microsoft
Універсальна платформа для заходів безпеки
Захистіть увесь свій цифровий комплекс за допомогою уніфікованого функціоналу виявлення, розслідування та реагування.
Microsoft Defender XDR
Прискорте реагування за допомогою видимості на рівні інцидентів і автоматичному усуненню атак.
Microsoft Sentinel
Виявляйте й усувайте кіберзагрози на всіх рівнях організації за допомогою аналітики розумного захисту.
Microsoft Defender Experts for XDR
Отримайте від керованої служби XDR допомогу в припиненні атак і запобіганню майбутніх порушень безпеки.
Керування уразливостями у Microsoft Defender
Зменште кіберзагрози за допомогою засобів безперервного оцінювання вразливостей, визначення пріоритетів на основі ризиків і їх усунення.
Microsoft Defender для бізнесу
Захистіть свій малий або середній бізнес від кібератак, зокрема від шкідливого програмного забезпечення та зловмисних програм із вимогою викупу.
Запитання й відповіді
-
Виявлення вдосконалених загроз охоплює методи та засоби, за допомогою яких фахівці з безпеки виявляють удосконалені постійні загрози, тобто складні загрози, розроблені так, щоб залишатися непоміченими протягом тривалого часу. Ці загрози часто більш серйозні та можуть включати шпіонаж або крадіжку даних.
-
Основними методами виявлення загроз є рішення для захисту, як-от SIEM або XDR, які аналізують діяльність у середовищі та виявляють ознаки порушень або поведінку, що відхиляється від очікуваної. За допомогою цих інструментів працівники сортують потенційні загрози та реагують на них. Крім того, за допомогою XDR і SIEM вони відстежують складні атаки, які можуть уникати виявлення.
-
Виявлення загроз – це процес розкриття потенційних ризиків для безпеки, включно з діями, які можуть вказувати на порушення безпеки пристрою, програмного забезпечення, мережі або ідентичності. Реагування на інциденти включає заходи, яких вживають команда з безпеки та автоматизовані інструменти, щоб локалізувати та усунути кіберзагрозу.
-
Процес виявлення загроз і реагування на них включає:
- Виявлення. Інструменти захисту, які контролюють кінцеві точки, ідентичності, мережі, програми та хмари, допомагають виявити ризики та потенційні порушення. Фахівці з безпеки також використовують методи відстеження кіберзагроз, намагаючись виявити кіберзагрози, що виникають.
- Розслідування. Коли ризик виявлено, працівники за допомогою штучного інтелекту та інших інструментів з’ясовують, чи кіберзагроза реальна, визначають, як вона виникла, і оцінюють, на які ресурси компанії вона вплинула.
- Локалізація. Щоб зупинити поширення кібератаки, команди кібербезпеки ізолюють інфіковані пристрої, ідентичності та мережі від решти ресурсів організації.
- Ліквідація. Команди усувають першопричину інциденту з безпекою, намагаючись повністю вигнати зловмисника з середовища та зменшити вразливості, які можуть піддати організацію ризику подібної кібератаки.
- Відновлення. Після того як команди переконаються, що кіберзагрозу або вразливість видалено, вони повертають усі ізольовані системи до мережі.
- Звіт. Залежно від серйозності інциденту команди безпеки документують і сповіщають керівництво про те, що сталося та яких заходів вжито.
- Зниження ризиків. Щоб запобігти виникненню подібних порушень і поліпшити майбутнє реагування, команди вивчають інцидент і визначають, які зміни потрібно внести до середовища та процесів.
-
TDR означає "threat detection and response" (виявлення загроз і реагування на них). Це процес ідентифікування загроз для кібербезпеки організації та вжиття заходів для зменшення цих загроз, перш ніж вони завдадуть реальної шкоди. EDR означає "endpoint detection and response" (протидія загрозам у кінцевих точках). Це категорія програмних продуктів, які відстежують кінцеві точки організації на наявність потенційних кібератак, сповіщають про ці кіберзагрози команді з безпеки та автоматично реагують на кібератаки певних типів.
Підпишіться на Microsoft 365