Trace Id is missing
Перейти к основному контенту
Microsoft Security

Что такое обнаружение угроз и реагирование на них (TDR)?

Узнайте, как защитить ресурсы организации, активно выявляя и снижая риски кибербезопасности с помощью обнаружения угроз и реагирования на них.

Откройте решение Microsoft XDR

Определение обнаружения угроз и реагирования на них (TDR)

Обнаружение угроз и реагирование на них — это процесс кибербезопасности, позволяющий выявлять киберугрозы цифровым активам организации и предпринимать шаги по их максимально быстрому устранению.

Как работает обнаружение угроз и реагирование на них?

Для устранения киберугроз и других проблем безопасности многие организации создают центры управления безопасностью (SOC), которые представляют собой централизованную функцию или группу, отвечающую за улучшение состояния кибербезопасности организации, а также за предотвращение, обнаружение и реагирование на угрозы. Помимо мониторинга и реагирования на продолжающиеся кибератаки, SOC также проводит активную работу по выявлению новых киберугроз и организационных уязвимостей. Большинство групп SOC, которые могут находиться на месте или быть привлечены на аутсорсинг, работают круглосуточно, семь дней в неделю.

SOC использует аналитику угроз и технологии для выявления попыток, успешных или продолжающихся нарушений. Обнаружив киберугрозу, группа безопасности использует инструменты обнаружения угроз и реагирования на них, чтобы устранить или смягчить проблему.

Обнаружение угроз и реагирование на них обычно включает следующие этапы:

  • Обнаружение. Средства безопасности, которые отслеживают конечные точки, идентификационные данные, сети, приложения и облака, помогают выявить риски и потенциальные нарушения. Специалисты по безопасности также используют методы охоты на киберугрозы для обнаружения сложных киберугроз, которые ускользают от обнаружения.
  • Исследование. После определения риска SOC использует ИИ и другие средства, чтобы подтвердить реальность киберугрозы, определить, как она произошла, и оценить, какие активы компании затронуты.
  • Автономность. Чтобы остановить распространение кибератаки, группы кибербезопасности и автоматизированные инструменты изолируют зараженные устройства, идентификационные данные и сети от остальных активов организации.
  • Искоренения. Группы устраняют основную причину инцидента безопасности с целью полностью исключить злоумышленника из среды. Они также устраняют уязвимости, которые могут подвергнуть организацию риску подобной кибератаки.
  • Восстановление. Как только группы будут достаточно уверены в том, что киберугроза или уязвимость устранены, они снова подключат все изолированные системы к сети.
  • Отчет. В зависимости от серьезности инцидента группы безопасности документируют и информируют руководителей, руководителей или совет директоров о том, что произошло и как это было решено.
  • Устранение рисков. Чтобы предотвратить повторение подобного нарушения и улучшить реагирование в будущем, группы изучают инцидент и определяют изменения, которые необходимо внести в среду и процессы.

Что такое обнаружение угроз?

Выявлять киберугрозы становится все труднее, поскольку организации расширяют свое облачное пространство, подключают больше устройств к Интернету и переходят на гибридное рабочее место. Злоумышленники пользуются этим расширенным охватом и фрагментацией инструментов безопасности, используя следующие типы тактик:

  • Фишинговые кампании. Одним из наиболее распространенных способов проникновения злоумышленников в компанию является рассылка электронных писем, которые обманом заставляют сотрудников скачивать вредоносный код или предоставлять свои учетные данные.
  • Вредоносные программы. Многие киберзлоумышленники используют программное обеспечение, предназначенное для повреждения компьюте­ров и систем или сбора конфиденциальной информации.
  • Программы-шантажисты. Злоумышленники, использующие программы-шантажисты, которые представляют собой тип вредоносного ПО, держат критически важные системы и данные в заложниках, угрожая раскрыть персональные данные или украсть облачные ресурсы для майнинга биткойнов, пока не будет выплачен выкуп. В последнее время управляемые человеком программы-шантажисты, с помощью которых группы киберзлоумышленников получают доступ ко всей сети организации, стала растущей проблемой для групп безопасности.
  • Распределенные атаки типа "отказ в обслуживании" (DDoS). Используя серию ботов, злоумышленники нарушают работу веб-сайта или сервиса, наводняя его трафиком.
  • Внутренняя угроза. Не все киберугрозы исходят извне организации. Также существует риск того, что доверенные люди, имеющие доступ к конфиденциальным данным, могут непреднамеренно или злонамеренно нанести вред организации.
  • Атаки с использованием удостоверений. Большинство нарушений связано с компрометацией персональных данных, то есть когда киберзлоумышленники крадут или угадывают учетные данные пользователя и используют их для получения доступа к системам и данным организации.
  • Атаки Интернета вещей (IoT). Устройства Интернета вещей также уязвимы для кибератак, особенно устаревшие устройства, которые не имеют встроенных средств управления безопасностью, которые есть в современных устройствах.
  • Атака через цепочку поставок. Иногда злоумышленник нацеливается на организацию, вмешиваясь в программное или аппаратное обеспечение, поставляемое сторонним поставщиком.
  • Внедрение кода. Используя уязвимости в обработке исходного кода внешних данных, киберпреступники внедряют в приложение вредоносный код.

Обнаружении угроз
Чтобы опередить рост атак на кибербезопасность, организации используют моделирование угроз для определения требований безопасности, выявления уязвимостей и рисков, а также определения приоритетов их устранения. Используя гипотетические сценарии, SOC пытается проникнуть в сознание киберпреступников, чтобы они могли улучшить способность организации предотвращать или смягчать инциденты безопасности. Структура MITRE ATT&CK® — это полезная модель для распознавания распространенных методов и тактик кибератак.

Многоуровневая защита требует инструментов, которые обеспечивают непрерывный мониторинг среды в реальном времени и выявляют потенциальные проблемы безопасности. Решения также должны перекрываться, чтобы в случае взлома одного метода обнаружения второй обнаружил проблему и уведомил группу безопасности. Решения по обнаружению киберугроз используют различные методы выявления угроз, в том числе:

  • Обнаружение на основе подписи. Многие решения безопасности сканируют программное обеспечение и трафик для выявления уникальных подписей, связанных с определенным типом вредоносного ПО.
  • Обнаружение на основе реакции на событие. Чтобы обеспечить обнаружение новых и возникающих киберугроз, решения безопасности также отслеживают действия и поведение, типичные для кибератак.
  • Обнаружение на основе аномалий. ИИ и аналитика помогают группам распознать типичную реакцию на событие пользователей, устройств и программного обеспечения, чтобы они могли выявить что-то необычное, что может указывать на киберугрозу.

Хотя программное обеспечение имеет решающее значение, люди играют не менее важную роль в обнаружении киберугроз. Помимо сортировки и исследования предупреждений, генерируемых системой, аналитики используют методы поиска киберугроз для упреждающего поиска признаков компрометации или поиска тактик, методов и процедур, которые предполагают наличие потенциальной угрозы. Эти подходы помогают SOC быстро обнаруживать и останавливать сложные, труднообнаружимые атаки

Что такое реагирование на угрозы?

После выявления реальной киберугрозы реагирование на угрозу включает любые действия, которые SOC предпринимает для ее сдерживания и устранения, восстановления и снижения вероятности повторения аналогичной атаки. Многие компании разрабатывают план реагирования на инциденты, который поможет им действовать в случае потенциального нарушения безопасности, когда организованность и быстрота действий имеют решающее значение. Хороший план реагирования на инциденты включает сборники схем с пошаговыми инструкциями по конкретным типам угроз, ролям и обязанностям, а также план коммуникации.

Компоненты обнаружения угроз и реагирования на них

Организации используют различные средства и процессы для эффективного обнаружения угроз и реагирования на них.

  • Extended Detection and Response

    Продукты расширенного обнаружения и реагирования (XDR) помогают SOC упростить весь жизненный цикл предотвращения, обнаружения и реагирования на киберугрозы. Эти решения отслеживают конечные точки, облачные приложения, электронную почту и персональные данные. Если решение XDR обнаруживает киберугрозу, оно предупреждает службы безопасности и автоматически реагирует на определенные инциденты на основе критериев, определенных SOC.

  • Обнаружение и нейтрализация угроз для удостоверений

    Поскольку злоумышленники часто нацелены на сотрудников, важно внедрить инструменты и процессы для выявления и реагирования на угрозы для удостоверений организации. Эти решения обычно используют аналитику реакций на событие пользователей и объектов (UEBA) для определения базовой реакции на событие пользователей и выявления аномалий, представляющих потенциальную угрозу.

  • Управление информационной безопасностью и событиями безопасности

    Получение видимости всей цифровой среды — это первый шаг к распознаванию ландшафта угроз. Большинство групп SOC используют решения для управления информационной безопасностью и событиями безопасности (SIEM), которые агрегируют и сопоставляют данные между конечными точками, облаками, электронной почтой, приложениями и удостоверениями. Эти решения используют правила обнаружения и сценарии для выявления потенциальных киберугроз путем сопоставления журналов и предупреждений. Современные SIEM также используют ИИ для более эффективного обнаружения киберугроз и включают источники внешней информации об угрозах, чтобы они могли выявлять новые и возникающие киберугрозы.

  • Аналитика угроз

    Чтобы получить комплексное представление о ландшафте киберугроз, SOC используют инструменты, которые синтезируют и анализируют данные из различных источников, включая конечные точки, электронную почту, облачные приложения и внешние источники информации об угрозах. Анализ этих данных помогает группам безопасности подготовиться к кибератаке, обнаружить активные киберугрозы, расследовать текущие инциденты безопасности и эффективно реагировать.

  • Обнаружение и нейтрализация атак на конечные точки

    Решения для обнаружения и реагирования на конечные точки (EDR) — это более ранняя версия решений XDR, ориентированная только на конечные точки, такие как компьютеры, серверы, мобильные устройства, Интернет вещей. Как и решения XDR, при обнаружении потенциальной атаки эти решения генерируют предупреждение и, в случае некоторых хорошо понятных атак, реагируют автоматически. Поскольку решения EDR ориентированы только на конечные точки, большинство организаций переходят на решения XDR.

  • Управление уязвимостями

    Управление уязвимостями — это непрерывный, упреждающий и часто автоматизированный процесс, который отслеживает компьютерные системы, сети и корпоративные приложения на наличие слабых мест в безопасности. Решения для управления уязвимостями оценивают уязвимости на предмет серьезности и уровня риска и предоставляют отчеты, которые SOC использует для устранения проблем.

  • Оркестрация безопасности, автоматизация и реагирование

    Решения для оркестрации, автоматизации и реагирования на безопасность (SOAR) помогают упростить обнаружение киберугроз и реагирование на них, объединяя внутренние и внешние данные и инструменты в едином централизованном месте. Они также автоматизируют реагирование на киберугрозы на основе набора предопределенных правил.

  • Управляемое обнаружение и нейтрализация атак

    Не у всех организаций есть ресурсы для эффективного обнаружения киберугроз и реагирования на них. Управляемые службы обнаружения и реагирования помогают этим организациям пополнить свои группы безопасности инструментами и людьми, необходимыми для поиска угроз и соответствующего реагирования.

Ключевые преимущества обнаружения угроз и реагирования на них

Существует несколько способов, с помощью которых эффективное обнаружение угроз и реагирование на них могут помочь организации повысить свою устойчивость и минимизировать последствия нарушений.

  • Раннее обнаружение угроз

    Предотвращение киберугроз до полного нарушения безопасности — это важный способ значительно снизить влияние инцидента. Благодаря современным инструментам обнаружения и реагирования на угрозы, а также специальной команде SOC повышают вероятность того, что они обнаружат угрозы на ранней стадии, когда их будет легче устранить.

  • Соответствие нормативным требованиям

    Страны и регионы продолжают принимать строгие законы о конфиденциальности, требующие от организаций наличия надежных мер безопасности данных и детального процесса реагирования на инциденты безопасности. Компании, которые не соблюдают эти правила, облагаются крупными штрафами. Программа обнаружения угроз и реагирования на них помогает организациям соблюдать требования этих законов.

  • Сокращенное время обнаружения

    Как правило, наиболее разрушительные кибератаки происходят в результате инцидентов, в ходе которых киберзлоумышленники провели большую часть времени незамеченными в цифровой среде. Сокращение времени обнаружения, или времени пребывания, имеет решающее значение для ограничения ущерба. Процессы обнаружения угроз и реагирования на них, такие как поиск угроз, помогают SOC быстро выявлять злоумышленников и ограничивать их влияние.

  • Улучшенная видимость

    Инструменты обнаружения угроз и реагирования на них, такие как SIEM и XDR, помогают группам по обеспечению безопасности лучше управлять средой, чтобы они не только быстро выявляли угрозы, но и выявляли потенциальные уязвимости, такие как устаревшее программное обеспечение, которые необходимо устранить.

  • Защита конфиденциальных данных

    Для многих организаций данные являются одним из наиболее важных активов. Правильные средства и процедуры обнаружения и реагирования на угрозы помогают группам безопасности ловить злоумышленников до того, как они получат доступ к конфиденциальным данным, снижая вероятность того, что эта информация станет общедоступной или будет продана в Dark Web.

  • Упреждающий подход к безопасности

    Обнаружение угроз и реагирование на них также выявляют возникающие угрозы и проливают свет на то, как злоумышленники могут получить доступ к цифровой среде компании. Обладая этой информацией, SOC могут укрепить организацию и предотвратить будущие атаки.

  • Снижение затрат

    Успешная кибератака может стоить организации очень дорого с точки зрения фактических денег, потраченных на выкупы, сборы регулирующих органов или усилия по восстановлению. Это также может привести к снижению производительности и продаж. Быстро обнаруживая угрозы и реагируя на кибератаки на ранних стадиях, организации могут сократить расходы на инциденты безопасности.

  • Управление репутацией

    Высокий уровень профиля утечки данных может нанести большой ущерб репутации компании или правительства. Люди теряют доверие к учреждениям, которые, по их мнению, не обеспечивают должной защиты персональных данных. Обнаружение угроз и реагирование на них могут помочь снизить вероятность инцидента, заслуживающего освещения в печати, и убедить клиентов, граждан и других заинтересованных лиц в том, что персональные данные защищены.

Лучшие методики обнаружения угроз и реагирования на них

Организации, которые эффективно обнаруживают угрозы и реагируют на них, используют методы, которые помогают группам работать вместе и совершенствовать свои подходы, что приводит к меньшему количеству и менее дорогостоящим кибератакам.

  • Проводите регулярное обучение

    Хотя группа SOC несет наибольшую ответственность за безопасность организации, каждый в компании должен сыграть свою роль. Большинство инцидентов безопасности начинаются с того, что сотрудник попадает в фишинговую кампанию или использует неутвержденное устройство. Регулярное обучение помогает сотрудникам оставаться в курсе возможных угроз и уведомлять службу безопасности. Хорошая программа обучения также гарантирует, что специалисты по безопасности будут в курсе новейших инструментов, политик и процедур реагирования на угрозы.

  • Разработка плана реагирования на инциденты

    Инцидент безопасности, как правило, представляет собой стрессовое событие, которое требует от людей быстрых действий, чтобы не только устранить проблему и восстановиться, но и предоставить точные обновления соответствующим заинтересованным сторонам. План реагирования на инциденты устраняет некоторые догадки, определяя соответствующие шаги по сдерживанию, искоренению и восстановлению. Он также предоставляет рекомендации для специалистов по кадрам, корпоративным коммуникациям, связям с общественностью, юристов и старших руководителей, которым необходимо убедиться, что сотрудники и другие заинтересованные стороны знают, что происходит, и что организация соблюдает соответствующие правила.

  • Содействуйте тесной совместной работе

    Чтобы опережать возникающие угрозы и координировать эффективные ответные меры, требуется хорошая совместная работа и общение между участниками группы безопасности. Сотрудники должны понимать, как другие участники группы оценивают угрозы, сравнивают записи и вместе работают над потенциальными проблемами. Совместная работа также распространяется на другие отделы компании, которые могут помочь обнаружить угрозы или оказать помощь в реагировании.

  • Разверните ИИ

    ИИ для кибербезопасности синтезирует данные со всей организации, предоставляя ценную аналитику, которая помогает группам сконцентрировать свое время и быстро устранять инциденты. Современные решения SIEM и XDR используют ИИ для сопоставления отдельных предупреждений с инцидентами, помогая организациям быстрее обнаруживать киберугрозы. Некоторые решения, такие как Microsoft Defender XDR, используют ИИ для автоматического предотвращения текущих кибератак. Генеративный ИИ в таких решениях, как Microsoft Security Copilot, помогает группам SOC быстро исследовать инциденты и реагировать на них.

Решения для обнаружения угроз и реагирования на них

Обнаружение угроз и реагирование на них — важнейшая функция, которую могут использовать все организации, чтобы помочь им обнаружить и устранить киберугрозы до того, как они причинят вред. Microsoft Security предлагает несколько решений по защите от угроз, которые помогают группам безопасности отслеживать, обнаруживать и реагировать на киберугрозы. Для организаций с ограниченными ресурсами эксперты Microsoft Defender предоставляют управляемые службы для расширения существующего персонала и инструментов.

Подробнее о Microsoft Security

Объединенная платформа операций по обеспечению безопасности

Защитите от киберугроз все свое цифровое имущество с помощью единого средства обнаружения, исследования и реагирования.

Подробнее

Microsoft Defender XDR

Ускорьте реагирование благодаря видимости на уровне инцидентов и автоматическому прекращению атак.

Подробнее

Microsoft Sentinel

Выявляйте и предотвращайте киберугрозы по всему предприятию с помощью интеллектуальной аналитики безопасности.

Подробнее

Эксперты Microsoft Defender по решениям XDR

Получите помощь в остановке злоумышленников и предотвращении компрометации в будущем с помощью управляемой службы XDR.

Подробнее

Управление уязвимостями Microsoft Defender

Уменьшите риски киберугроз с помощью постоянной оценки уязвимостей, определения приоритетов на основе рисков и устранения последствий.

Подробнее

Microsoft Defender для бизнеса

Защитите свой малый или средний бизнес от кибератак, таких как вредоносное ПО и программы-вымогатели.

Подробнее

Вопросы и ответы

  • Расширенное обнаружение угроз включает методы и инструменты, которые специалисты по безопасности используют для обнаружения сложных постоянных угроз, которые представляют собой сложные угрозы, предназначенные для того, чтобы оставаться незамеченными в течение длительного периода времени. Эти угрозы часто более серьезны и могут включать шпионаж или кражу данных.

  • Основными методами обнаружения угроз являются решения безопасности, такие как SIEM или XDR, которые анализируют активность в среде, чтобы обнаружить признаки компрометации или поведение, отклоняющееся от ожидаемого. Люди используют эти инструменты для сортировки потенциальных угроз и реагирования на них. Они также используют XDR и SIEM для поиска сложных злоумышленников, которые могут избежать обнаружения.

  • Обнаружение угроз — это процесс обнаружения потенциальных угроз безопасности, включая действия, которые могут указывать на то, что устройство, программное обеспечение, сеть или удостоверение скомпрометированы. Реагирование на инциденты включает действия, которые группа безопасности и автоматизированные инструменты предпринимают для сдерживания и устранения киберугрозы.

  • Процесс обнаружения угроз и реагирования на них включает:

    • Обнаружение. Средства безопасности, которые отслеживают конечные точки, идентификационные данные, сети, приложения и облака, помогают выявить риски и потенциальные нарушения. Специалисты по безопасности также используют методы охоты на киберугрозы, чтобы попытаться обнаружить новые киберугрозы.
    • Исследование. После выявления риска люди используют ИИ и другие инструменты, чтобы подтвердить реальность киберугрозы, определить, как она произошла, и оценить, какие активы компании затронуты.
    • Автономность. Чтобы остановить распространение кибератаки, группы кибербезопасности изолируют зараженные устройства, идентификационные данные и сети от остальных активов организации.
    • Искоренения. Группы устраняют основную причину инцидента безопасности с целью полного изгнания злоумышленника из среды и устранения уязвимостей, которые могут подвергнуть организацию риску аналогичной кибератаки.
    • Восстановление. Как только группы будут достаточно уверены в том, что киберугроза или уязвимость устранены, они снова подключат все изолированные системы к сети.
    • Отчет. В зависимости от серьезности инцидента группы безопасности документируют и информируют руководителей, руководителей или совет директоров о том, что произошло и как это было решено.
    • Устранение рисков. Чтобы предотвратить повторение подобного нарушения и улучшить реагирование в будущем, группы изучают инцидент и определяют изменения, которые необходимо внести в среду и процессы.

  • TDR означает обнаружение угроз и реагирование на них, то есть процесс выявления угроз кибербезопасности организации и принятия мер по смягчению этих угроз до того, как они нанесут реальный ущерб. EDR означает обнаружение и реагирование на конечных точках. Это категория программных продуктов, которые отслеживают конечные точки организации на предмет потенциальных кибератак, сообщают об этих киберугрозах группе безопасности и автоматически реагируют на определенные типы кибератак.

Следите за новостями Microsoft 365