This is the Trace Id: 17f002ceb156c00f9e3d85c38a6e9d17
Przejdź do głównej zawartości
Rozwiązania zabezpieczające firmy Microsoft

Co to jest wykrywanie zagrożeń i reagowanie na nie (TDR)?

Dowiedz się, jak chronić zasoby organizacji, proaktywnie identyfikując i eliminując zagrożenia związane z cyberbezpieczeństwem dzięki wykrywaniu zagrożeń i reagowaniu na nie.

Odkryj rozwiązanie XDR firmy Microsoft

Zdefiniowano wykrywanie zagrożeń i reagowanie na nie (TDR)

Wykrywanie zagrożeń i reagowanie na nie to proces cyberbezpieczeństwa dotyczący identyfikowania cyberzagrożenia zasobów cyfrowych organizacji i podejmowania kroków w celu ich jak najszybszego ograniczenia.

Jak działa wykrywanie zagrożeń i reagowanie na nie?

Aby rozwiązać problemy związane z cyberzagrożeniami i innymi problemami z zabezpieczeniami, wiele organizacji konfiguruje centrum działań dotyczących zabezpieczeń (SOC), które jest scentralizowaną funkcją lub zespołem odpowiedzialnym za ulepszanie poziomu cyberbezpieczeństwa organizacji oraz zapobieganie zagrożeniom, wykrywanie ich i reagowanie na nie. Oprócz monitorowania istniejących cyberatakówi reagowania na nie, SOC wykonuje również proaktywną pracę w celu identyfikowania pojawiających się cyberzagrożeń i luk w zabezpieczeniach organizacji. Większość zespołów SOC, które mogą znajdować się na miejscu lub w źródle, działa przez całą dobę, siedem dni w tygodniu.

SOC używa analizy zagrożeńi technologii w celu wykrycia próby pomyślnej lub w toku naruszenia. Po zidentyfikowaniu cyberzagrożenia zespół ds. zabezpieczeń użyje narzędzi do wykrywania zagrożeń i reagowania, aby wyeliminować lub rozwiązać problem.

Wykrywanie zagrożeń i reagowanie na nie zwykle obejmuje następujące etapy:

  • Wykrywanie. Narzędzia zabezpieczeń, które monitorują punkty końcowe, tożsamości, sieci, aplikacje i chmury, ułatwiają ujawnianie ryzyk i potencjalnych naruszeń. Specjaliści ds. zabezpieczeń używają również technik wyszukiwania cyberzagrożeń, aby odkrywać zaawansowane cyberzagrożenia, które unikają wykrywania.
  • Badanie. Po zidentyfikowaniu ryzyka SOC używa sztucznej inteligencji i innych narzędzi, aby potwierdzić, że cyberzagrożenie jest prawdziwe, określić, jak to się stało, i ocenić, na jakie zasoby firmy ma ono wpływ.
  • Zawieranie. Aby zatrzymać rozprzestrzenianie się cyberataku, zespoły ds. cyberbezpieczeństwa i zautomatyzowane narzędzia odizolowują zainfekowane urządzenia, tożsamości i sieci od pozostałych zasobów organizacji.
  • Likwidacja. Zespoły eliminują główną przyczynę zdarzenia związanego z zabezpieczeniami w celu całkowitego wykluczenia złego aktora ze środowiska. Ograniczają one również luki w zabezpieczeniach, które mogą narazić organizację na ryzyko podobnego cyberataku.
  • Odzyskiwanie. Gdy zespoły są w miarę pewne, że cyberzagrożenia lub luki w zabezpieczeniach zostały usunięte, przywracają wszystkie izolowane systemy z powrotem do trybu online.
  • Raport. W zależności od wagi zdarzenia zespoły ds. zabezpieczeń będą dokumentować i informować kierowników i/lub zarząd o tym, co się stało i jak zostało rozwiązane.
  • Mitygacja ryzyka. Aby zapobiec ponownemu wystąpieniu podobnego naruszenia i ulepszyć reagowanie w przyszłości, zespoły badają zdarzenie i identyfikują zmiany wprowadzone w środowisku i procesach.

Co to jest wykrywanie zagrożeń?

Identyfikowanie cyberzagrożenia staje się coraz trudniejsze, ponieważ organizacje zwiększyły zasięg chmury, połączyły więcej urządzeń z Internetem i przeszły na hybrydowe miejsce pracy. Źli aktorzy korzystają z tego rozszerzonego obszaru powierzchni i fragmentacji narzędzi zabezpieczeń przy użyciu następujących typów taktyk:

  • Kampanie wyłudzania informacji. Jednym z najczęstszych sposobów, w jakie źli aktorzy wyłudzają dane w firmie, jest wysyłanie wiadomości e-mail, które wyłudzają od pracowników pobieranie złośliwego kodu lub podawanie poświadczeń.
  • Złośliwe oprogramowanie. Wielu cyberprzestępców wdraża oprogramowanie przeznaczone do uszkodzenia komputerów i systemów lub zbierania poufnych informacji.
  • Oprogramowanie wymuszające okup. Typ złośliwego oprogramowania, osoby atakujące z oprogramowaniem wymuszającym okup przechowują krytyczne systemy i dane, grożąc wydaniem danych prywatnych lub kradzieżą zasobów w chmurze w celu wydobywania bitcoinów do momentu zapłaty okupu. Oprogramowanie wymuszające okup obsługiwane przez człowieka, w którym grupa cyberprzestępców uzyskuje dostęp do całej sieci organizacji, staje się ostatnio coraz większym problemem dla zespołów ds. zabezpieczeń.
  • Ataki typu rozproszona odmowa usługi (DDoS). Używając serii botów, źli aktorzy zakłócają działanie witryny internetowej lub usługi przez zalewanie jej ruchem.
  • Zagrożenie wewnętrzne. Nie wszystkie cyberzagrożenia pochodzą spoza organizacji. Istnieje również ryzyko, że zaufane osoby mające dostęp do poufnych danych mogą przypadkowo lub złośliwie zadziałać na szkodę organizacji.
  • Ataki oparte na tożsamości. Większość naruszeń obejmuje naruszone tożsamości, czyli kradzież lub odgadnięcie poświadczeń użytkownika przez cyberprzestępców i korzystanie z nich w celu uzyskania dostępu do systemów i danych organizacji.
  • Ataki na Internet rzeczy (IoT). Urządzenia IoT są również podatne na cyberataki, zwłaszcza starsze urządzenia bez wbudowanych mechanizmów kontroli zabezpieczeń, które są obsługiwane przez nowoczesne urządzenia.
  • Ataki na łańcuch dostaw. Czasami zły aktor wybiera sobie za cel organizację przez manipulowanie oprogramowaniem lub sprzętem dostarczanym przez innego dostawcę.
  • Iniekcja kodu. Wykorzystując luki w zabezpieczeniach w sposobie obsługi danych zewnętrznych przez kod źródłowy, cyberprzestępcy wprowadzają złośliwy kod do aplikacji.

Wykrywanie zagrożeń
Aby wyprzedzić rosnące ataki cyberbezpieczeństwa, organizacje używają modelowania zagrożeń do definiowania wymagań dotyczących zabezpieczeń, identyfikowania luk w zabezpieczeniach i zagrożeń oraz określania priorytetów korygowania. Korzystając z hipotetycznych scenariuszy, SOC próbuje dostać się do umysłów cyberprzestępców, aby móc poprawić zdolność organizacji do zapobiegania incydentom bezpieczeństwa lub ich ograniczania. Struktura MITRE ATT&CK® jest przydatnym modelem do zrozumienia typowych technik i taktyk cyberataków.

Wielowarstwowe zabezpieczenia wymagają narzędzi zapewniających ciągłe monitorowanie środowiska w czasie rzeczywistym i wykrywanie potencjalnych problemów z zabezpieczeniami. Rozwiązania również muszą się nakładać, aby w przypadku naruszenia zabezpieczeń jednej metody wykrywania druga wykryła problem i powiadomiła zespół ds. zabezpieczeń. Rozwiązania do wykrywania cyberzagrożenia wykorzystują różne metody do identyfikowania zagrożeń, w tym:

  • Wykrywanie oparte na podpisie. Wiele rozwiązań zabezpieczeń skanuje oprogramowanie i ruch w celu zidentyfikowania unikatowych podpisów skojarzonych z określonym typem złośliwego oprogramowania.
  • Wykrywanie oparte na zachowaniu. Aby ułatwić wychwycenie nowych i powstających cyberzagrożeń, rozwiązania zabezpieczeń wyszukują również akcje i zachowania, które są typowe w cyberatakach.
  • Wykrywanie oparte na anomaliach. Sztuczna inteligencja i analiza pomagają zespołom zrozumieć typowe zachowania użytkowników, urządzeń i oprogramowania, dzięki czemu mogą zidentyfikować coś nietypowego, co może wskazywać na cyberzagrożenie.

Mimo że oprogramowanie ma kluczowe znaczenie, ludzie odgrywają równie ważną rolę w wykrywaniu cyberzagrożenia. Oprócz klasyfikowania i badania alertów generowanych przez system analitycy używają technik wyszukiwania zagrożeń cybernetycznych do proaktywnego wyszukiwania oznak naruszenialub szukają taktyk, technik i procedur, które sugerują potencjalne zagrożenie. Te podejścia pomagają SOC szybko odkrywać i zatrzymywać zaawansowane, trudne do wykrycia ataki

Co to jest odpowiedź na zagrożenia?

Po zidentyfikowaniu wiarygodnego cyberzagrożenia reagowanie na zagrożenia obejmuje wszelkie akcje, które SOC podejmuje, aby je powstrzymać, wyeliminować, odzyskiwać i zmniejszać prawdopodobieństwo ponownego wystąpienia podobnego ataku. Wiele firm opracowuje plan reagowania na zdarzenia, aby pomóc im w trakcie potencjalnego naruszenia bezpieczeństwa podczas którego dobra organizacja i szybkość działania ma kluczowe znaczenie. Dobry plan reagowania na przypadki obejmuje podręczniki ze szczegółowymi wskazówkami dotyczącymi określonych typów zagrożeń, ról i obowiązków oraz planu komunikacji.

Składniki wykrywania zagrożeń i reagowania na nie

Organizacje używają różnych narzędzi i procesów do efektywnego wykrywania zagrożeń i reagowania na nie.

Rozszerzone możliwości wykrywania zagrożeń i reagowania na nie (XDR)

Produktyrozszerzonych możliwości wykrywania zagrożeń i reagowania na nie (XDR) ułatwiają SOC uproszczenie całego cyklu zapobiegania cyberzagrożeniom, wykrywania i reagowania na nie. Te rozwiązania monitorują punkty końcowe, aplikacje w chmurze, pocztę e-mail i tożsamości. Jeśli rozwiązanie XDR wykryje cyberzagrożenie, ostrzega zespoły ds. zabezpieczeń i automatycznie reaguje na określone zdarzenia na podstawie kryteriów zdefiniowanych przez SOC.

Wykrywanie zagrożeń tożsamości i reagowanie na nie

Ponieważ źli aktorzy często obierają sobie za cel pracowników, ważne jest, aby wprowadzić narzędzia i procesy służące do identyfikowania i reagowania na zagrożenia dla tożsamości organizacji. Te rozwiązania zwykle używają analizy zachowań użytkowników i jednostek (UEBA) do definiowania bazowego zachowania użytkownika i odkrywania anomalii, które reprezentują potencjalne zagrożenie.

Zarządzanie informacjami i zdarzeniami zabezpieczeń

Uzyskanie wglądu w całe środowisko cyfrowe to krok pierwszy w zrozumieniu środowiska zagrożeń. Większość zespołów SOC korzysta z rozwiązań do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), które agregują i korelują dane między punktami końcowymi, chmurami, wiadomościami e-mail, aplikacjami i tożsamościami. Te rozwiązania wykorzystują reguły wykrywania i podręczniki do uwydatniania potencjalnych cyberzagrożenia przez korelowanie dzienników i alertów. Nowoczesne programy SIEM używają również sztucznej inteligencji do efektywniejszego wykrywania cyberzagrożenia i obejmują zewnętrzne źródła analizy zagrożeń, dzięki czemu mogą identyfikować nowe i pojawiające się cyberzagrożenia.

Analiza zagrożeń

Aby uzyskać kompleksowy widok cyberzagrożenia, centra SOC używają narzędzi, które syntetyzują i analizują dane z różnych źródeł, w tym punktów końcowych, poczty e-mail, aplikacji w chmurze i zewnętrznych źródeł analizy zagrożeń. Szczegółowe informacje z tych danych pomagają zespołom ds. zabezpieczeń przygotować się do cyberataku, wykrywać aktywne cyberzagrożenia, badać trwające zdarzenia związane z zabezpieczeniami i skutecznie reagować.

EDR

Rozwiązania do wykrywania i reagowania na punkty końcowe (EDR) to wcześniejsza wersja rozwiązań XDR skoncentrowana tylko na punktach końcowych, takich jak komputery, serwery, urządzenia przenośne, IoT. Podobnie jak w przypadku rozwiązań XDR, w przypadku wykrycia potencjalnego ataku te rozwiązania generują alert i w przypadku niektórych dobrze zrozumianych ataków reagują automatycznie. Ponieważ rozwiązania EDR koncentrują się tylko na punktach końcowych, większość organizacji migruje do rozwiązań XDR.

Zarządzanie lukami w zabezpieczeniach

Zarządzanie lukami w zabezpieczeniach to ciągły, proaktywny i często zautomatyzowany proces, który monitoruje systemy komputerowe, sieci i aplikacje dla przedsiębiorstw pod kątem słabych stron zabezpieczeń. Rozwiązania do zarządzania lukami w zabezpieczeniach oceniają luki w zabezpieczeniach pod kątem ważności i poziomu ryzyka oraz zapewniają raportowanie, którego SOC używa do rozwiązywania problemów.

Orkiestracja zabezpieczeń, automatyzacja i reagowanie

Rozwiązania orkiestracji zabezpieczeń, automatyzacji i reagowania (SOAR) pomagają uprościć wykrywanie cyberzagrożenia i reagowanie na nie, łącząc wewnętrzne i zewnętrzne dane oraz narzędzia w jednym scentralizowanym miejscu. Automatyzują również cyberzagrożenia na podstawie zestawu wstępnie zdefiniowanych reguł.

Zarządzane wykrywanie i reagowanie

Nie wszystkie organizacje mają zasoby umożliwiające skuteczne wykrywanie cyberzagrożenia i reagowanie na nie. Usługi zarządzanego wykrywania i reagowania pomagają tym organizacjom rozszerzyć swoje zespoły ds. zabezpieczeń o narzędzia i osoby niezbędne do wyszukiwania zagrożeń i odpowiedniego reagowania.

Najważniejsze zalety wykrywania zagrożeń i reagowania na nie

Istnieje kilka sposobów, dzięki którym skuteczne wykrywanie zagrożeń i reagowanie na nie może pomóc organizacji w zwiększeniu odporności i zminimalizowaniu wpływu naruszeń.

Wczesne wykrywanie zagrożeń

Zatrzymanie cyberzagrożeń, zanim w pełni naruszą zabezpieczenia, jest ważnym sposobem na znaczne zmniejszenie wpływu zdarzenia. Dzięki nowoczesnym narzędziom do wykrywania zagrożeń i reagowania na nie oraz dedykowanemu zespołowi SOC zwiększa się prawdopodobieństwo, że zagrożenia zostaną odkryte wcześniej — gdy będą łatwiejsze w rozwiązywaniu problemów.

Zgodność z przepisami

Kraje i regiony nadal przestrzegają rygorystycznych przepisów dotyczących ochrony prywatności, które wymagają od organizacji zastosowania niezawodnych środków bezpieczeństwa danych oraz szczegółowego procesu reagowania na zdarzenia związane z bezpieczeństwem. Firmom, które nie przestrzegają tych reguł grożą wysokie kary. Program wykrywania zagrożeń i reagowania na nie pomaga organizacjom spełnić wymagania tych przepisów.

Skrócony czas przebywania

Zazwyczaj najbardziej szkodliwe cyberataki wynikają ze zdarzeń, w których cyberprzestępcy spędzali najwięcej czasu niewykryci w środowisku cyfrowym. Skrócenie czasu spędzonego w trybie niewykrytym, czyli czasu przebywania ma kluczowe znaczenie dla ograniczenia szkód. Procesy wykrywania zagrożeń i reagowania na nie, takie jak wyszukiwanie zagrożeń, pomagają kontrolerom SOC szybko wychwycić tych złych aktorów i ograniczyć ich wpływ.

Zwiększona widoczność

Narzędzia do wykrywania zagrożeń i reagowania na nie, takie jak SIEM i XDR, ułatwiają zespołom ds. operacji zabezpieczeń lepszy wgląd w ich środowisko, aby nie tylko szybko identyfikowały zagrożenia, ale także odkrywały potencjalne luki w zabezpieczeniach, takie jak nieaktualne oprogramowanie, które należy rozwiązać.

Ochrona danych poufnych

W przypadku wielu organizacji dane są jednym z ich najważniejszych zasobów. Odpowiednie narzędzia i procedury do wykrywania zagrożeń i reagowania na nie pomagają zespołom ds. zabezpieczeń wychwycić złych aktorów, zanim uzyskają dostęp do poufnych danych, zmniejszając prawdopodobieństwo, że te informacje staną się publiczne lub będą sprzedawane w ukrytej sieci Web.

Proaktywny stan zabezpieczeń

Wykrywanie zagrożeń i reagowanie na nie również objaśnia na czym polegają pojawiające się zagrożenia i pokazuje, jak źli aktorzy mogą uzyskać dostęp do środowiska cyfrowego firmy. Dzięki tym informacjom SOC mogą wzmacniać organizację i zapobiegać przyszłym atakom.

Oszczędność kosztów

Pomyślny cyberatak może być bardzo kosztowny dla organizacji pod względem rzeczywistych pieniędzy wydawanych na okupy, opłaty prawne lub działania związane z odzyskiwaniem. Może to również prowadzić do utraty produktywności i sprzedaży. Wykrywając zagrożenia szybko i reagując na wczesnych etapach cyberataku, organizacje mogą obniżyć koszty zdarzeń związanych z bezpieczeństwem.

Zarządzanie reputacją

Naruszenia zabezpieczeń danych o wysokim profilu mogą wyrządzać wiele szkód reputacji firmy lub instytucji rządowych. Ludzie tracą wiarę w instytucje, które ich zdaniem nie wykonują dobrej pracy w zakresie ochrony danych osobowych. Wykrywanie zagrożeń i reagowanie na nie może pomóc w zmniejszeniu prawdopodobieństwa wystąpienia zdarzenia wartego opublikowania. Może również zapewnić klientów, obywateli i inne osoby biorące udział w projekcie, że dane osobowe są chronione.

Najlepsze rozwiązania dotyczące wykrywania zagrożeń i reagowania na nie

Organizacje, które skutecznie wykrywają zagrożenia i umożliwiają reagowanie na nie, angażują się w praktyki, które ułatwiają zespołom współpracę i ulepszanie ich podejścia, co prowadzi do mniejszej liczby i mniej kosztownych cyberataków.

Przeprowadzanie regularnych szkoleń

Mimo że zespół SOC ponosi największą odpowiedzialność za zabezpieczanie organizacji, każdy w firmie odgrywa rolę z tym związaną. Większość zdarzeń dotyczących zabezpieczeń zaczyna się od tego, że pracownik daje się nabrać na kampanię wyłudzania informacji lub korzysta z niezatwierdzonych urządzeń. Regularne szkolenia pomagają pracownikom w byciu obeznanymi z możliwymi zagrożeniami, dzięki czemu mogą powiadamiać zespół ds. zabezpieczeń. Dobry program szkoleniowy zapewnia również, że specjaliści ds. zabezpieczeń są na bieżąco z najnowszymi narzędziami, zasadami i procedurami reagowania na zagrożenia.

Stworzenie planu reagowania na zdarzenia

Zdarzenie związane z bezpieczeństwem jest zazwyczaj zdarzeniem, które wymaga szybkiego przejścia do rozwiązania problemu i odzyskania danych, ale także zapewnienia dokładnych aktualizacji odpowiednim uczestnikom projektu. Plan reagowania na zdarzenia usuwa domysły, definiując odpowiednie kroki zawierania, usuwania i odzyskiwania. Zapewnia również wskazówki dotyczące zasobów ludzkich, komunikacji firmowej, public relations, prawników i wyższych liderów, którzy muszą upewnić się, że pracownicy i inne osoby biorące udział w projekcie wiedzą, co się dzieje i że organizacja przestrzega odpowiednich przepisów.

Wspieraj silną współpracę

Wyprzedzanie pojawiających się zagrożeń i koordynowanie skutecznej reakcji wymaga dobrej współpracy i komunikacji między członkami zespołu ds. zabezpieczeń. Poszczególne osoby muszą zrozumieć, jak inni członkowie zespołu oceniają zagrożenia, porównać notatki i współpracować nad potencjalnymi problemami. Współpraca obejmuje również inne działy w firmie, które mogą pomóc w wykrywaniu zagrożeń lub udzielaniu pomocy w odpowiedzi.

Wdrażanie sztucznej inteligencji

Sztuczna inteligencja na potrzeby cyberbezpieczeństwa syntetyzuje dane z całej organizacji, zapewniając szczegółowe informacje, które pomagają zespołom skupić swój czas na szybkim rozwiązywaniu zdarzeń. Nowoczesne rozwiązania SIEM i XDR używają sztucznej inteligencji do korelowania poszczególnych alertów ze zdarzeniami, pomagając organizacjom szybciej wykrywać cyberzagrożenia. Niektóre rozwiązania, takie jak XDR usługi Microsoft Defender, używają sztucznej inteligencji do automatycznego zakłócania cyberataków w toku. Generatywna AI w rozwiązaniach, takich jak Microsoft Security Copilot, pomaga zespołom SOC w szybkim badaniu zdarzeń i reagowaniu na nie.

Rozwiązania do wykrywania zagrożeń i reagowania na nie

Wykrywanie zagrożeń i reagowanie na nie jest kluczową funkcją, która może być używana przez wszystkie organizacje do znajdowania cyberzagrożenia i rozwiązywania związanych z nimi zagrożeń, zanim spowodują szkody. Usługa rozwiązań zabezpieczających firmy Microsoft oferuje kilka rozwiązań do ochrony przed zagrożeniami, które ułatwiają zespołom ds. zabezpieczeń monitorowanie, wykrywanie cyberzagrożenia i reagowanie na nie. W przypadku organizacji z ograniczonymi zasobami eksperci usługi Microsoft Defender udostępniają usługi zarządzane w celu rozszerzenia istniejących pracowników i narzędzi.

Dowiedz się więcej o rozwiązaniach zabezpieczających firmy Microsoft

Ujednolicona platforma operacji zabezpieczeń

Chroń całą swoją infrastrukturę cyfrową dzięki ujednoliconej funkcji wykrywania, badania i reagowania.

Dowiedz się więcej

Microsoft Defender XDR

Przyspiesz reagowanie dzięki widoczności na poziomie zdarzenia i automatycznym przerwom w ataku.

Dowiedz się więcej

Microsoft Sentinel

Wykrywaj i powstrzymuj cyberzagrożenia w całym przedsiębiorstwie za pomocą inteligentnej analizy zabezpieczeń.

Dowiedz się więcej

Zaawansowane rozszerzone możliwości wykrywania zagrożeń i reagowania na nie w usłudze Microsoft Defender

Uzyskaj pomoc w zatrzymywaniu osób atakujących i zapobieganiu przyszłym naruszeniom bezpieczeństwa dzięki zarządzanej usłudze XDR.

Dowiedz się więcej

Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender

Ogranicz cyberzagrożenia dzięki ciągłym ocenom luk w zabezpieczeniach, korygowaniu i priorytetyzacji opartej na ryzyku.

Dowiedz się więcej

Microsoft Defender dla Firm

Chroń swoją małą lub średnią firmę przed cyberatakami, takimi jak złośliwe oprogramowanie i oprogramowanie wymuszające okup.

Dowiedz się więcej

Często zadawane pytania

  • Zaawansowane wykrywanie zagrożeń obejmuje techniki i narzędzia używane przez specjalistów ds. zabezpieczeń do odkrywania zaawansowanych trwałych zagrożeń, które są zaawansowanymi zagrożeniami zaprojektowanymi tak, aby pozostać niewykrytymi przez dłuższy czas. Zagrożenia te są często poważniejsze i mogą obejmować szpiegowanie lub kradzież danych.

  • Podstawowymi metodami wykrywania zagrożeń są rozwiązania zabezpieczeń, takie jak SIEM lub XDR, które analizują działania w całym środowisku w celu wykrycia oznak naruszenia lub zachowania, które odbiegają od oczekiwanych. Ludzie pracują z tymi narzędziami, aby klasyfikować potencjalne zagrożenia i reagować na nie. Używają również algorytmów XDR i SIEM do wyszukiwania wyrafinowanych osób atakujących, które mogą uniknąć wykrycia.

  • Wykrywanie zagrożeń to proces wykrywania potencjalnych zagrożeń bezpieczeństwa, w tym działań, które mogą wskazywać na naruszenie zabezpieczeń urządzenia, oprogramowania, sieci lub tożsamości. Reagowanie na zdarzenia obejmuje kroki wykonywane przez zespół ds. zabezpieczeń i zautomatyzowane narzędzia w celu zawierania i eliminowania cyberzagrożenia.

  • Proces wykrywania zagrożeń i reagowania na nie obejmuje:

    • Wykrywanie. Narzędzia zabezpieczeń, które monitorują punkty końcowe, tożsamości, sieci, aplikacje i chmury, ułatwiają ujawnianie ryzyk i potencjalnych naruszeń. Specjaliści ds. zabezpieczeń używają również technik wyszukiwania cyberzagrożeń, aby próbować odkryć pojawiające się cyberzagrożenia.
    • Badanie. Po zidentyfikowaniu ryzyka SOC używa sztucznej inteligencji i innych narzędzi, aby potwierdzić, że cyberzagrożenie jest prawdziwe, określić, jak do niego doszło, i ocenić, na jakie zasoby firmy ma ono wpływ.
    • Zawieranie. Aby zatrzymać rozprzestrzenianie się cyberataku, zespoły ds. cyberbezpieczeństwa izolują zainfekowane urządzenia, tożsamości i sieci od pozostałych zasobów organizacji.
    • Likwidacja. Zespoły eliminują główną przyczynę zdarzenia związanego z zabezpieczeniami, aby całkowicie wykluczyć atakującego ze środowiska i ograniczyć luki w zabezpieczeniach, które mogą narazić organizację na podobny cyberatak.
    • Odzyskiwanie. Gdy zespoły są w miarę pewne, że cyberzagrożenia lub luki w zabezpieczeniach zostały usunięte, przywracają wszystkie izolowane systemy z powrotem do trybu online.
    • Raport. W zależności od wagi zdarzenia zespoły ds. zabezpieczeń będą dokumentować i informować kierowników i/lub zarząd o tym, co się stało i jak zostało rozwiązane.
    • Mitygacja ryzyka. Aby zapobiec ponownemu wystąpieniu podobnego naruszenia i ulepszyć reagowanie w przyszłości, zespoły badają zdarzenie i identyfikują zmiany wprowadzone w środowisku i procesach.

  • TDR oznacza wykrywanie zagrożeń i reagowanie na nie, czyli proces identyfikowania zagrożeń cyberbezpieczeństwa dla organizacji i podejmowania kroków w celu ograniczenia tych zagrożeń, zanim wyrządzą one rzeczywiste szkody. EDR oznacza wykrywanie punktów końcowych i reagowanie na nie i jest kategorią oprogramowania monitorującego punkty końcowe organizacji pod kątem potencjalnych cyberataków, ujawnia te cyberzagrożenia zespołowi ds. zabezpieczeń i automatycznie reaguje na określone typy cyberataków.

Obserwuj platformę Microsoft 365