Trace Id is missing
Põhisisu juurde
Microsofti turbeteenus

Mis on küberohujaht?

Küberohujaht on seni tundmatute ja tuvastamata ohtude proaktiivne otsimine asutuse või ettevõtte võrgust, lõppseadmetest ja andmetest.

Kuidas küberohujaht töötab?

Küberohujaht kasutab ohujahtijaid selleks, et potentsiaalseid ohte ja ründeid süsteemis või võrgus otsida veel enne seda, kui need jõuavad kahju teha. See lähenemine võimaldab aina keerukamatele inimeste juhitud küberrünnetele reageerida kiiresti, paindlikult ja tõhusalt. Kui traditsioonilised küberturbe meetodid tuvastavad turbemurded alles pärast nende toimumist, siis küberohujaht tegutseb eeldusel, et murre on juba toimunud, ning suudab potentsiaalsed ohud kohe pärast nende märkamist tuvastada ja neile reageerida.

Oskuslikud ründajad saavad organisatsiooni sisse murdmise järel end sageli pikalt varjata, tegutsedes märkamatult päevi, nädalaid või koguni veelgi kauem. Küberohujahi lisamine olemasolevatele turbetööriistadele, näiteks lõpp-punkti ohutuvastusele ja -kõrvaldusele (EDR) ning turbeteabe ja -sündmuste haldusele (SIEM), aitab teil ennetada ja kahjutustada ründeid, mis võiksid automaatsete turbetööriistade poolt avastamata jääda.

Automaatne ohujaht

Küberohtude jahtijad saavad selle protsessi teatud aspektid automatiseerida, kasutades masinõpet, automaatikat ja tehisintellekti. Ka selliste lahenduste nagu SIEM ja EDR kasutamine aitab ohujahtijatel muuta potentsiaalsete ohtude jälgimist, tuvastamist ja kõrvaldamist hõlmavad jahtimistoimingud sujuvamaks. Ohujahtijad saavad eri ohtudele reageerimiseks luua ja automatiseerida mitmesuguseid tegevusstsenaariumeid, kergendades sellega IT-töötajate koormat sarnaste rünnete toimumisel.

Küberohujahi tööriistad ja tehnikad

Ohujahtijate käsutuses on hulk omavahel koos töötama loodud tööriistu, mille seas on näiteks SIEM ja XDR.

  • SIEM: reaalajaanalüüsi kasutava lahendusena, mis kogub andmeid mitmest allikast, pakub SIEM ohujahtijatele võimalike ohtude kohta vihjeid.
  • Laiendatud ohutuvastus ja -kõrvaldus (XDR): ohujahtijad saavad kasutada XDR-i, mis pakub ohtudest parema ülevaate saamiseks ohuteavet ja rünnete automaatset katkestamist.
  • EDR: lõppkasutajate seadmeid jälgib EDR annab ohujahtijate käsutusse võimsa tööriista, pakkudes neile ülevaadet potentsiaalsetest ohtudest kõigis organisatsioon lõppseadmetes.

Küberohujahi kolm tüüpi

Küberohujaht võtab enamasti ühe kolmest järgmisest kujust.

Struktureeritud: struktureeritud jahi korral otsivad ohujahtijad kahtlasi taktikaid, tehnikaid ja protseduure (TTP), mis osutavad potentsiaalsetele ohtudele. Andmetele või süsteemile lähenemise ja sissemurdjate otsimise asemel koostab ohujahtija hüpoteesi potentsiaalse ründaja meetodi kohta ja tegutseb metoodiliselt selle ründe sümptomite tuvastamiseks. Kuna struktureeritud jaht on tavapärasest proaktiivsem lähenemine, saavad seda taktikat kasutavad IT-spetsialistid ründajad sageli kiiresti kinni püüda või peatada.

Struktureerimata: struktureerimata jahi korral otsib küberohujahtija turberikketunnust (IoC) ja kasutab seda otsingu lähtepunktina. Kuna ohujahtija saab minna tagasi ning otsida varasematest andmetest mustreid ja vihjeid, võib struktureerimata jahtide käigus vahel tuvastada ka varem tuvastamata jäänud ohte, mis võivad organisatsiooni endiselt ohustada.

Olukorrapõhine: situatsiooniline ehk olukorrast lähtuv ohujaht prioriseerib digitaalses ökosüsteemis konkreetseid ressursse või andmeid. Kui organisatsioon hindab, et suurimad riskid on seotud teatud kindlate töötajate või varadega, võib see suunata küberohujahtijad keskenduma nende haavatavate inimeste, andmekomplektide või lõppseadmete vastu suunatud rünnete tõkestamisele või kahjutustamisele.

Ohujahi toimingud ja juurutamine

Küberohujahtijatel on ohtude ja rünnete uurimisel ning kahjutustamisel sageli kindel lähenemine.

  1. Teooria või hüpoteesi väljatöötamine potentsiaalse ohu kohta. Ohujahtijad võivad alustada ründaja tavapärase TTP tuvastamisest.
  2. Uurimistöö tegemine. Ohujahtijad uurivad organisatsiooni andmeid, süsteeme ja tegevusi – suureks abiks võib olla SIEM-i lahendus – ning koguvad ja töötlevad asjakohast teavet.
  3. Päästikprotsessi tuvastamine. Uuringute leiud ja muud turbetööriistad aitavad ohujahtijatel kindlaks määrata juurdluse alguspunkti.
  4. Ohu uurimine. Ohujahtijad kasutavad uurimis- ja turbetööriistu määratlemaks, kas oht on pahatahtlik.
  5. Reageerimine ja kahjutustamine. Ohujahtijad tegutsevad ohu kõrvaldamiseks.

Millist tüüpi ohte ohujahtijad tuvastavad?

Küberohujahi käigus saab tuvastada mitmesuguseid ohte, sealhulgas järgmist.

  • Ründevara ja viirused: ründevara takistab tavapärast seadmekasutust, pääsedes lõppseadmetesse juurde viisil, milleks sellel pole tegelikult õigust. Andmepüügiründed, nuhkvara, reklaamvara, troojanid, ussviirused ja lunavara on kõik ründevara näited. Viirused on ühed levinumad ründevara vormid, mille eesmärk on seadme tavapärast talitlust häirida, salvestades, rikkudes või kustutades selle andmed enne võrgu teistesse seadmetesse edasi levimist.
  • Siseohud: siseohud on seotud inimestega, kellel on organisatsiooni võrgule juurdepääsu õigus. Need omainimesed võivad kas teadlikult pahatahtliku, pahaaimamatu või juhusliku tegevuse kaudu vääriti kasutada või kahjustada organisatsiooni võrke, andmeid, süsteeme või rajatisi.
  • Keerukad püsiohud: oskuslikud ründajad, kes murravad organisatsiooni võrku sisse ja jäävad pikemat aega märkamatuks, kujutavad endast keerukat püsiohtu. Sellised ründajad on hea väljaõppega ja sageli ka tugeva seljatagusega; neil on kasutada märkimisväärselt ressursse.
    Manipuleerimisründed: küberründajad võivad kasutada manipuleerimist ja pettust, et veenda organisatsiooni töötajaid andmaks neile juurdepääsu või delikaatseid andmeid. Sagedasemate manipuleerimisrünnete seas on andmepüük, söötpüük ja hirmvara.

 

Küberohujahi head tavad

Kui võtate oma asutuses või ettevõttes kasutusele küberohujahi protokolli, pidage meeles järgmisi häid tavasid.

  • Andke ohujahtijatele organisatsiooni raames täielik nähtavus. Edu saavutamiseks peab ohujahtijatel olema ülevaade suurest pildist.
  • Hallake täiendavaid turbetööriistu, näiteks SIEM, XDR ja EDR. Küberohujahtijad sõltuvad nende tööriistade pakutavatest andmetest ja automaatikast, et ohte tuvastada kiiremini ja rohkema kontekstiga.
  • Püsige kursis uusimate tärkavate ohtude ja taktikatega. Ründajad ja nende taktika on pidevas arengus. Seetõttu peate tagama, et ka teie ohujahtijate käsutuses oleksid kõige ajakohasemad praeguseid trende arvestavad ressursid.
  • Koolitage töötajad kahtlast käitumist märkama ja sellest teada andma. Mida teadlikumad on teie inimesed, seda väiksem on siseohtude võimalus.
  • Võtke kasutusele nõrkusehaldus, et vähendada oma organisatsiooni üldist riskile avatust.

Miks on ohujaht ettevõtete jaoks oluline?

Ründajad arendavad oma ründemeetodeid pidevalt edasi. Selleks, et nendega sammu pidada, peavad asutused ja ettevõtted kindlasti investeerima proaktiivsesse küberohujahti. Passiivsemaid ohutõrjeviise täiendav küberohujaht sulgeb turbelüngad ja võimaldab organisatsioonidel kahjutustada ka sellised ohud, mis muidu võiksid jääda märkamata. Üha intensiivsemaks ja keerukamaks muutuvate ohtude tõttu peavad organisatsioonid oma kaitsevõimet tugevdama – üksnes nii säilib usaldus, et organisatsioon saab delikaatsete andmete käitlemisega hakkama. Samuti aitab see vähendada turbemurretega seotud kulusid.

Sellised tooted nagu Microsoft Sentinel võimaldavad teil ohtudest ees püsimiseks pilvkeskkonnas suurel hulgal ajaloolisi andmeid koguda, talletada ja kasutada, juurdlusi sujuvamaks muuta ning rutiinseid toiminguid automatiseerida. Need lahendused annavad küberohujahtijate käsutusse võimsad tööriistad, mis aitavad teie asutust kaitsta.

Lisateave Microsofti turbeteenuste kohta

Microsoft Sentinel

Märgake ja peatage ohte kogu oma ettevõttes intelligentse turbeanalüütika abil.

Microsoft Defenderi ohujahieksperdid

Ennetav ohujaht ei pea piirduma lõppseadmetega.

Microsoft Defenderi ohuteave

Aidake oma asutust kaitsta tänapäevaste vastaste ja ohtude (nt lunavara) eest.

SIEM ja XDR

Ohte saate tuvastada, uurida ja kõrvaldada kogu oma digivaras.

Korduma kippuvad küsimused

  • Üks küberohujahi näide on hüpoteesipõhine jaht, mille korral ohujahtija tuvastab võimalikud taktikad, tehnikad ja protseduurid, mida ründaja võib kasutada, ning seejärel otsib nende kohta organisatsiooni võrgust asitõendeid.

  • Ohutuvastus on aktiivne ja sageli automaatne lähenemine küberturbele, ohujaht aga seevastu on proaktiivne ega ole automatiseeritud.

  • Turbetoimingute keskus ehk SOC („Security Operations Center“) on kohapealne või väljast palgatud tsentraliseeritud funktsioon või meeskond, kes vastutab organisatsiooni küberturbeseisundi tugevdamise ning ohtude ennetamise, tuvastamise ja kõrvaldamise eest. Küberohujaht on üks taktika, mida SOC-id ohtude tuvastamiseks ja kahjutustamiseks kasutavad.

  • Küberohujahi tööriistad on IT-meeskondadele ja ohujahtijatele saadaolevad tarkvararessursid, mis aitavad ohte tuvastada ja kahjutustada. Ohujahi tööriistade hulka kuuluvad näiteks viirusetõrje ja tulemüürikaitse, EDR-i tarkvara, SIEM-i tööriistad ja andmeanalüüs.

  • Küberohujahi peamine eesmärk on keerukad ohud ja ründed ennetavalt tuvastada ja kahjutustada veel enne seda, kui need jõuavad organisatsioonile kahju teha.

  • Küberohuteave on teave ja andmed, mida küberturbetarkvara kogub (sageli automaatselt) oma turbeprotokollide raames, et pakkuda küberrünnete eest paremat kaitset. Ohujaht hõlmab ohuteabefunktsiooni kogutud teabe kasutamist ohtude otsimise ja kõrvaldamise jaoks hüpoteeside ja meetmete väljatöötamiseks.

Jälgi Microsofti