Trace Id is missing
Преминаване към основното съдържание
Microsoft Security

Какво представлява откриване и реакция на заплахи (TDR)?

Научете как да защитите активите на организацията си чрез проактивно идентифициране и намаляване на рисковете за киберсигурността с помощта на откриване и реагиране на заплахи.

Открийте решението Microsoft XDR

Дефиниране на откриване и реагиране на заплахи (TDR)

Откриването на заплахи и реакцията на тях е процес на киберсигурност за идентифициране на киберзаплахите за цифровите активи на организацията и предприемане на стъпки за тяхното възможно най-бързо намаляване.

Как работи откриването и реакцията на заплахи?

За да се справят с киберзаплахите и други проблеми на сигурността, много организации създават Оперативен център за сигурност (SOC), който представлява централизирана функция или екип, отговарящ за подобряване на състоянието на киберсигурността на организацията и за предотвратяване, откриване и реагиране на заплахи. В допълнение към наблюдението и реагирането на текущи кибератаки, SOC извършва и проактивна работа за идентифициране на нововъзникващи киберзаплахи и организационни уязвимости. Повечето екипи на SOC, които могат да бъдат на място или възложени на външен изпълнител, работят денонощно, седем дни в седмицата.

SOC използва разузнаване за заплахи и технологии, за да разкрие опит за пробив, успешен пробив или пробив в процес на изпълнение. След като бъде идентифицирана киберзаплаха, екипът по сигурността ще използва инструменти за откриване на заплахи и реагиране, за да елиминира или намали проблема.

Откриването и реакцията на заплахи обикновено включват следните етапи:

  • Откриване. Инструментите за защита, които следят крайните точки, идентичностите, мрежите, приложенията и облаците, помагат за разкриване на рискове и потенциални нарушения. Специалистите по сигурността използват и техники за проактивно търсене на киберзаплахи, за да откриват сложни киберзаплахи, които избягват откриване.
  • Разследване. След като рискът бъде идентифициран, SOC използва ИИ и други инструменти, за да потвърди, че киберзаплахата е реална, да определи как се е случила и да оцени кои активи на компанията са засегнати.
  • Задържане. За да спрат разпространението на кибератаката, екипите за киберсигурност и автоматизираните инструменти изолират заразените устройства, идентичности и мрежи от останалите активи на организацията.
  • Изкореняване. Екипите елиминира първопричината за инцидента със защитата, като целта е лошото действащо лице да бъде напълно изхвърлено от средата. Те също така намаляват уязвимостите, които могат да изложат организацията на риск от подобна кибератака.
  • Възстановяване. След като екипите са достатъчно сигурни, че киберзаплахата или уязвимостта са отстранени, те възстановяват онлайн всички изолирани системи.
  • Отчет. В зависимост от сериозността на инцидента екипите по сигурността документират и информират лидерите, изпълнителните директори и/или управителния съвет за това какво се е случило и как е било разрешено.
  • Ограничаване на риска. За да се предотврати повторно подобно нарушение и да се подобри реакцията в бъдеще, екипите проучват инцидента и определят промените, които трябва да се направят в средата и процесите.

Какво е откриване на заплахи?

Идентифицирането на киберзаплахите става все по-трудно, тъй като организациите разширяват обхвата на облачните си услуги, свързват повече устройства към интернет и преминават към хибридно работно място. Лошите действащи лица се възползват от тази разширена площ и от фрагментацията на инструментите за сигурност със следните видове тактики:

  • Фишинг кампании. Един от най-често срещаните начини за проникване в компанията е чрез изпращане на имейли, които подмамват служителите да изтеглят зловреден код или да предоставят своите идентификационни данни.
  • Злонамерен софтуер. Много кибератаки разполагат със софтуер, който е предназначен за повреждане на компютри и системи или за събиране на поверителна информация.
  • Рансъмуер. Като вид зловреден софтуер рансъмуер хакерите държат критични системи и данни като заложници, като заплашват да освободят лични данни или да откраднат ресурси в облака, за да добиват биткойни, докато не бъде платен откуп. Напоследък все по-често срещан проблем за екипите по сигурността става управляваният от хора рансъмуер, при който група кибератакисти получават достъп до цялата мрежа на организацията.
  • Разпределени атаки за отказ на услуга (DDoS). С помощта на поредица от ботове лошите играчи нарушават функционирането на даден уебсайт или услуга, като ги заливат с трафик.
  • Вътрешна заплаха. Не всички киберзаплахи идват извън организацията. Съществува и риск доверени лица с достъп до чувствителни данни да навредят на организацията по невнимание или злонамерено.
  • Атаки, базирани на идентичност. Повечето нарушения са свързани с компрометирани самоличности, т.е. когато кибератакистите откраднат или отгатнат потребителските идентификационни данни и ги използват, за да получат достъп до системите и данните на организацията.
  • Атаки в областта на интернет на нещата (IoT). Устройствата на IoT също са уязвими за кибератаки, особено старите устройства, които не разполагат с вградените контроли за сигурност, каквито имат съвременните устройства.
  • Атака срещу верига за доставки. Понякога лошото действащо лице атакува организацията, като манипулира софтуер или хардуер, предоставени от доставчик от трета страна.
  • Инжектиране на код. Като се възползват от уязвимости в начина, по който изходният код обработва външни данни, киберпрестъпниците инжектират зловреден код в дадено приложение.

Откриване на заплахи
За да изпреварят нарастващите атаки в областта на киберсигурността, организациите използват моделиране на заплахите, за да определят изискванията за сигурност, да идентифицират уязвимостите и рисковете и да определят приоритетите за отстраняване. Използвайки хипотетични сценарии, SOC се опитва да проникне в съзнанието на киберпрестъпниците, за да може да подобри способността на организацията да предотвратява или смекчава инциденти със сигурността. Рамката MITRE ATT&CK® е полезен модел за разбиране на обичайните техники и тактики за кибератаки.

Многопластовата защита изисква инструменти, които осигуряват непрекъснато наблюдение на средата в реално време и разкриват потенциални проблеми със сигурността. Решенията също така трябва да се припокриват, така че ако един метод за откриване е компрометиран, вторият да открие проблема и да уведоми екипа по сигурността. Решенията за откриване на киберзаплахи използват различни методи за идентифициране на заплахи, включително:

  • Откриване, базирано на подписи. Много решения за сигурност сканират софтуера и трафика, за да идентифицират уникални сигнатури, които са свързани с определен тип зловреден софтуер.
  • Откриване, базирано на поведението. За да помогнат за улавянето на нови и нововъзникващи киберзаплахи, решенията за сигурност също така търсят действия и поведения, които са често срещани при кибератаките.
  • Откриване, базирано на аномалии. ИИ и анализите помагат на екипите да разберат типичното поведение на потребителите, устройствата и софтуера, за да могат да идентифицират нещо необичайно, което може да означава киберзаплаха.

Въпреки че софтуерът е от решаващо значение, хората играят също толкова важна роля в откриването на киберзаплахи. В допълнение към сортирането и разследването на сигнали, генерирани от системата, анализаторите използват техники за лов на киберзаплахи, за да търсят проактивно индикации за компрометиране, или търсят тактики, техники и процедури, които предполагат потенциална заплаха. Тези подходи помагат на SOC бързо да разкрива и спира сложни и трудни за откриване атаки

Какво представлява реакцията на заплаха?

След като бъде идентифицирана надеждна киберзаплаха, реакцията на заплахата включва всички действия, които SOC предприема, за да я ограничи и елиминира, да се възстанови и да намали вероятността подобна атака да се повтори. Много компании разработват план за реагиране на инциденти, който да им помогне да се ориентират по време на потенциален пробив, когато организираността и бързото действие са от решаващо значение. Добрият план за реакция при инциденти включва наръчници с указания стъпка по стъпка за конкретни видове заплахи, роли и отговорности, както и план за комуникация.

Компоненти на откриването на заплахи и реагирането

Организациите използват различни инструменти и процеси за ефективно откриване и реагиране на заплахи.

  • Разширено откриване и реакция

    Продуктите за разширено откриване и реакция (XDR) помагат на SOC да опростят целия жизнен цикъл на превенцията, откриването и реакцията при киберзаплахи. Тези решения наблюдават крайни точки, облачни приложения, електронна поща и идентичности. Ако едно XDR решение открие киберзаплаха, то предупреждава екипите по сигурността и реагира автоматично на определени инциденти въз основа на критерии, определени от SOC.

  • Откриване и реакция на заплахи за самоличността

    Тъй като лошите действащи лица често се насочват към служителите, е важно да се въведат инструменти и процеси за идентифициране и реагиране на заплахи за идентичността на организацията. Тези решения обикновено използват анализ на поведението на потребителите и субектите (UEBA), за да определят базовото поведение на потребителите и да откриват аномалии, които представляват потенциална заплаха.

  • Управление на информацията и събитията в областта на защитата

    Получаването на видимост към цялата цифрова среда е първа стъпка в разбирането на пейзажа на заплахите. Повечето екипи на SOC използват решения за управление на информацията и събитията за сигурност (SIEM), които обобщават и корелират данни от крайни точки, облаци, имейли, приложения и идентичности. Тези решения използват правила за откриване и тактически наръчници за изпълнение, за да разкриват потенциални киберзаплахи чрез съпоставяне на дневници и сигнали. Съвременните SIEM използват и изкуствен интелект за по-ефективно разкриване на киберзаплахи и включват външни информационни канали за заплахи, така че да могат да идентифицират нови и възникващи киберзаплахи.

  • Разузнаване за заплахи

    За да получат цялостна представа за ландшафта на киберзаплахите, SOC използват инструменти, които синтезират и анализират данни от различни източници, включително крайни точки, електронна поща, облачни приложения и външни източници на информация за заплахи. Прозренията от тези данни помагат на екипите по сигурността да се подготвят за кибератака, да откриват активни киберзаплахи, да разследват текущи инциденти със сигурността и да реагират ефективно.

  • Откриване и реагиране на крайни точки

    Решенията за откриване и реакция на крайни точки (EDR) са по-ранна версия на решенията XDR, фокусирани само върху крайни точки, като компютри, сървъри, мобилни устройства, IoT. Подобно на решенията за XDR, когато бъде открита потенциална атака, тези решения генерират предупреждение и за някои добре разбрани атаки реагират автоматично. Тъй като решенията EDR са фокусирани само върху крайните точки, повечето организации преминават към решения XDR.

  • Управление на уязвимости

    Управлението на уязвимостите е непрекъснат, проактивен и често автоматизиран процес, който следи компютърните системи, мрежи и корпоративни приложения за слабости в сигурността. Решенията за управление на уязвимостите оценяват уязвимостите по отношение на сериозността и нивото на риска и предоставят отчети, които SOC използва за отстраняване на проблемите.

  • Оркестрация, автоматизация и реакция на сигурността

    Решенията за оркестрация, автоматизация и реагиране на сигурността (SOAR) помагат за опростяване на откриването и реагирането на киберзаплахи чрез обединяване на вътрешни и външни данни и инструменти на едно централизирано място. Те също така автоматизират отговорите на киберзаплахите въз основа на набор от предварително определени правила.

  • Управлявано откриване и реакция

    Не всички организации разполагат с ресурси за ефективно откриване и реакция на киберзаплахи. Услугите за управление на откриването и реагирането помагат на тези организации да увеличат екипите си по сигурността с необходимите инструменти и хора, за да откриват заплахи и да реагират по подходящ начин.

Основни предимства на откриването на заплахи и реакцията

Съществуват няколко начина, по които ефективното откриване и реагиране на заплахи може да помогне на организацията да подобри своята устойчивост и да сведе до минимум въздействието на пробивите.

  • Ранно откриване на заплахи

    Спирането на киберзаплахите, преди те да се превърнат в пълно нарушение, е важен начин за драстично намаляване на въздействието на инцидента. С помощта на съвременни инструменти за откриване и реагиране на заплахи и специализиран екип SOC увеличават шансовете да открият заплахите на ранен етап, когато е по-лесно да им се противодейства.

  • Съответствие с нормативните изисквания

    Държавите и регионите продължават да приемат строги закони за защита на личните данни, които изискват от организациите да разполагат с надеждни мерки за сигурност на данните и подробен процес за реагиране при инциденти със сигурността. На компаниите, които не спазват тези правила, се налагат големи глоби. Програма за откриване и реагиране на заплахи помага на организациите да изпълнят изискванията на тези закони.

  • Намалено време за престой

    Обикновено най-вредните кибератаки са от инциденти, при които кибератаките са прекарали най-много време, без да бъдат открити в цифровата среда. Намаляването на времето, прекарано в неразкриване, или времето на престой, е от решаващо значение за ограничаване на щетите. Процесите за откриване на заплахи и реагиране, като например ловуване на заплахи, помагат на SOC да улови бързо тези лоши участници и да ограничи тяхното въздействие.

  • Повишена видимост

    Инструментите за откриване на заплахи и реагиране, като SIEM и XDR, помагат на екипите по операциите по сигурността да имат по-голяма видимост върху своята среда, така че не само да идентифицират бързо заплахите, но и да откриват потенциални уязвимости, като например остарял софтуер, на които трябва да се обърне внимание.

  • Защита на чувствителни данни

    За много организации данните са един от най-важните им активи. Правилните инструменти и процедури за откриване и реагиране на заплахи помагат на екипите по сигурността да уловят лошите участници, преди да получат достъп до чувствителни данни, като намаляват вероятността тази информация да стане публична или да бъде продадена в тъмната мрежа.

  • Проактивна позиция по отношение на защитата

    Откриването на заплахи и реагирането на тях също така осветлява нововъзникващите заплахи и хвърля светлина върху начините, по които лошите участници могат да получат достъп до цифровата среда на компанията. С тази информация SOC могат да укрепят организацията и да предотвратят бъдещи атаки.

  • Икономия на разходи

    Една успешна кибератака може да струва много скъпо на организацията от гледна точка на реално похарчените пари за откупи, регулаторни такси или усилия за възстановяване. Това може да доведе и до загуба на производителност и продажби. Чрез бързо откриване на заплахите и реагиране в ранните етапи на кибератаката организациите могат да намалят разходите за инциденти, свързани със сигурността.

  • Управление на репутацията

    Високопоставеното нарушение на сигурността на данните може да нанесе големи щети на репутацията на дадена компания или правителство. Хората губят доверие в институциите, които според тях не се справят добре с опазването на личната информация. Откриването на заплахи и реагирането на тях може да помогне за намаляване на вероятността от инцидент, който заслужава внимание, и да увери клиентите, гражданите и другите заинтересовани страни, че личната информация е защитена.

Най-добри практики за откриване на заплахи и реакция

Организациите, които са ефективни в откриването и реагирането на заплахи, прилагат практики, които помагат на екипите да работят заедно и да подобряват подхода си, което води до по-малко и по-евтини кибератаки.

  • Провеждане на редовно обучение

    Въпреки че екипът на SOC носи най-голяма отговорност за защитата на организацията, всеки в компанията има своята роля. По-голямата част от инцидентите, свързани със сигурността, започват с това, че служител се е поддал на фишинг кампания или е използвал неодобрено устройство. Редовното обучение помага на служителите да са наясно с възможните заплахи, за да могат да уведомят екипа по сигурността. Добрата програма за обучение също така гарантира, че специалистите по сигурността са в крак с най-новите инструменти, политики и процедури за реагиране на заплахи.

  • Разработване на план за реакция при инциденти

    Инцидентът със защитата обикновено е стресиращо събитие, което изисква от хората да действат бързо, за да се справят с него и да се възстановят, но и да предоставят точна информация на съответните заинтересовани страни. Планът за реакция при инцидент премахва част от догадките, като определя подходящите стъпки за ограничаване, ликвидиране и възстановяване. Той също така предоставя насоки на човешките ресурси, корпоративните комуникации, връзките с обществеността, юристите и висшите ръководители, които трябва да се уверят, че служителите и другите заинтересовани страни знаят какво се случва и че организацията спазва съответните разпоредби.

  • Насърчаване на силното сътрудничество

    Изпреварването на нововъзникващите заплахи и координирането на ефективен отговор изисква добро сътрудничество и комуникация между членовете на екипа по сигурността. Хората трябва да разбират как другите в екипа оценяват заплахите, да сравняват бележки и да работят заедно по потенциални проблеми. Сътрудничеството се разпростира и върху други отдели в компанията, които могат да помогнат за откриването на заплахите или да съдействат за реакцията.

  • Внедряване на ИИ

    ИИ за киберсигурност синтезира данни от цялата организация, като предоставя информация, която помага на екипите да съсредоточат времето си и бързо да се справят с инциденти. Съвременните решения SIEM и XDR използват ИИ, за да корелират отделните сигнали в инциденти, като помагат на организациите да откриват киберзаплахите по-бързо. Някои решения, като Microsoft Defender XDR, използват ИИ за автоматично прекъсване на кибератаки в процес на изпълнение. Генеративният AI в решения като Microsoft Security Copilot, помага на SOC екипите бързо да разследват и реагират на инциденти.

Решения за откриване и реагиране на заплахи

Откриването и реагирането на заплахи е критична функция, която всички организации могат да използват, за да открият и да се справят с киберзаплахите, преди да са причинили вреда. Microsoft Security предлага няколко решения за защита от заплахи, които помагат на екипите по сигурността да наблюдават, откриват и реагират на киберзаплахи. За организациите с ограничени ресурси Microsoft Defender Experts предоставя управлявани услуги за допълване на съществуващия персонал и инструменти.

Научете повече за Microsoft Security

Единна платформа за операции по сигурността

Защитете цялото си цифрово имущество с унифицирано откриване, разследване и реакция.

Научете повече

Microsoft Defender XDR

Ускорете реакцията си с видимост на ниво инцидент и автоматично прекъсване на атаката.

Научете повече

Microsoft Sentinel

Преглеждайте и спирайте заплахите в цялото си предприятие чрез интелигентен анализ на защитата.

Научете повече

Експерти на Microsoft Defender за XDR

Получете помощ за спиране на нападателите и предотвратяване на бъдещи компромати с управлявана услуга XDR.

Научете повече

Управление на уязвимости на Microsoft Defender

Намалете киберзаплахите с непрекъснати оценки на уязвимостите, приоритизиране на базата на риска и отстраняване на нередности.

Научете повече

Microsoft Defender за бизнеса

Защитете своя малък или среден бизнес от кибератаки, като зловреден софтуер и софтуер за откуп.

Научете повече

Често задавани въпроси

  • Усъвършенстваното откриване на заплахи включва техниките и инструментите, които специалистите по сигурността използват за разкриване на усъвършенствани постоянни заплахи - сложни заплахи, които са проектирани така, че да останат неразкрити за продължителен период от време. Тези заплахи често са по-сериозни и могат да включват шпионаж или кражба на данни.

  • Основните методи за откриване на заплахи са решения за сигурност, като SIEM или XDR, които анализират дейността в цялата среда, за да открият признаци на компрометиране или поведение, което се отклонява от очакваното. Хората работят с тези инструменти, за да сортират и да реагират на потенциални заплахи. Те също така използват XDR и SIEM за издирване на сложни нападатели, които могат да избегнат откриване.

  • Откриването на заплахи е процесът на разкриване на потенциални рискове за сигурността, включително дейност, която може да показва, че дадено устройство, софтуер, мрежа или идентичност са компрометирани. Реакцията на инциденти включва стъпките, които екипът по сигурността и автоматизираните инструменти предприемат, за да ограничат и елиминират киберзаплахата.

  • Процесът на откриване и реагиране на заплахи включва:

    • Откриване. Инструментите за защита, които следят крайните точки, идентичностите, мрежите, приложенията и облаците, помагат за разкриване на рискове и потенциални нарушения. Специалистите по въпросите на защитата използват и техники за търсене на киберзаплахи, за да се опитат да открият нововъзникващи киберзаплахи.
    • Разследване. След като рискът бъде идентифициран, хората използват изкуствен интелект и други инструменти, за да потвърдят, че киберзаплахата е реална, да определят как се е случила и да оценят кои активи на компанията са засегнати.
    • Задържане. За да спрат разпространението на кибератаката, екипите за киберсигурност изолират заразените устройства, самоличности и мрежи от останалите активи на организацията.
    • Изкореняване. Екипите елиминират първопричината за инцидента със сигурността с цел да елиминират напълно противника от средата и да намалят уязвимостите, които могат да изложат организацията на риск от подобна кибератака.
    • Възстановяване. След като екипите са достатъчно сигурни, че киберзаплахата или уязвимостта са отстранени, те възстановяват онлайн всички изолирани системи.
    • Отчет. В зависимост от сериозността на инцидента екипите по сигурността документират и информират лидерите, изпълнителните директори и/или управителния съвет за това какво се е случило и как е било разрешено.
    • Ограничаване на риска. За да се предотврати повторно подобно нарушение и да се подобри реакцията в бъдеще, екипите проучват инцидента и определят промените, които трябва да се направят в средата и процесите.

  • TDR е съкращение от "откриване на заплахи и реагиране", което представлява процес на идентифициране на заплахите за киберсигурността на организацията и предприемане на стъпки за намаляване на тези заплахи, преди те да нанесат реални щети. EDR е съкращение от endpoint detection and response (откриване и реагиране на крайни точки) - категория софтуерни продукти, които следят крайните точки на организацията за потенциални кибератаки, показват тези киберзаплахи на екипа по сигурността и автоматично реагират на определени видове кибератаки.

Следвайте Microsoft 365