Co je proaktivní vyhledávání kybernetických hrozeb?
Vyhledávání kybernetických hrozeb je proces proaktivního vyhledávání neznámých nebo nezjištěných hrozeb v síti, koncových bodech a datech organizace.
Jak funguje proaktivní vyhledávání kybernetických hrozeb
Proaktivní vyhledávání kybernetických hrozeb využívá lovce hrozeb k preventivnímu hledání potenciálních hrozeb a útoků v rámci systému nebo sítě. To umožňuje agilní a efektivní reakce na stále složitější kybernetické útoky řízené lidmi. Zatímco tradiční metody kybernetické bezpečnosti identifikují porušení zabezpečení dodatečně, proaktivní vyhledávání kybernetických hrozeb vychází z předpokladu, že k narušení došlo, a dokáže identifikovat potenciální hrozby, přizpůsobit se jim a reagovat na ně okamžitě po jejich odhalení.
Sofistikovaní útočníci můžou porušit zabezpečení organizace, aniž by je kdokoliv odhalil, a to i po delší dobu – dny, týdny nebo i déle. Přidání proaktivního vyhledávání kybernetických hrozeb do stávajícího profilu nástrojů zabezpečení, jako je zjišťování koncových bodů a reakce (EDR) a správa akcí a informací o zabezpečení (SIEM), vám může pomoct předcházet útokům, které by jinak automatické bezpečnostní nástroje neodhalily, a napravovat je.
Automatizované proaktivní vyhledávání hrozeb
Lovci kybernetických hrozeb můžou některé aspekty procesu automatizovat pomocí strojového učení, automatizace a umělé inteligence. Řešení, jako jsou SIEM a EDR, můžou lovcům hrozeb pomoct zjednodušit postupy proaktivního vyhledávání tím, že budou monitorovat, rozpoznávat a reagovat na potenciální hrozby. Lovci hrozeb můžou vytvářet a automatizovat playbooky, které reagují na různé hrozby, takže kdykoli se podobný útok objeví, ulehčí tím IT týmům práci.
Nástroje a techniky proaktivního vyhledávání kybernetických hrozeb
Lovci hrozeb mají k dispozici celou řadu nástrojů, včetně řešení, jako jsou SIEM a XDR, které jsou navržené tak, aby spolupracovaly.
- SIEM: Řešení SIEM, které shromažďuje data z více zdrojů s analýzou v reálném čase, může lovcům hrozeb poskytnout vodítka k potenciálním hrozbám.
- Rozšířená detekce a reakce (XDR): Lovci hrozeb můžou používat nástroj XDR, který poskytuje analýzu hrozeb a automatizované narušování útoků, a zajišťuje lepší přehled o hrozbách.
- EDR: EDR monitoruje zařízení koncových uživatelů a poskytuje výkonný nástroj i lovcům hrozeb, kteří tak mají přehled o potenciálních hrozbách ve všech koncových bodech organizace.
Tři typy proaktivního vyhledávání kybernetických hrozeb
Proaktivní vyhledávání kybernetických hrozeb má obvykle jednu z těchto tří podob:
Strukturované: Při strukturovaném proaktivním vyhledávání hledají lovci hrozeb podezřelé taktiky, techniky a postupy (TTP), které naznačují potenciální hrozby. Vyhledavače hrozeb nepřistupují k datům nebo systému, aby našly narušitele, ale spíš vytváří hypotézu o metodách potenciálního útočníka a metodicky pracují na identifikaci příznaků tohoto útoku. Protože je strukturované vyhledávání proaktivnější přístup, IT specialisté, kteří tuto taktiku využívají, můžou útočníky často rychle zachytit nebo zastavit.
Nestrukturované: Při nestrukturovaném proaktivním vyhledávání hledá vyhledávač kybernetických hrozeb indikátor ohrožení (IoC) a při pátrání vychází z tohoto bodu. Vzhledem k tomu, že se vyhledávač hrozeb může vrátit a hledat vzory a vodítka v historických datech, nestrukturované proaktivní vyhledávání někdy dokáže identifikovat dříve nezjištěné hrozby, které by mohly organizaci stále ohrožovat.
Situační: Situační vyhledávání hrozeb upřednostňuje konkrétní zdroje nebo data v rámci digitálního ekosystému. Pokud organizace vyhodnotí, že konkrétní zaměstnanci nebo prostředky představují nejvyšší riziko, může nasměrovat lovce kybernetických hrozeb, aby soustředili své úsilí na prevenci nebo nápravu útoků na tyto zranitelné osoby, datové soubory nebo koncové body.
Kroky a implementace proaktivního vyhledávání hrozeb
Lovci kybernetických hrozeb často postupují při vyšetřování a nápravě hrozeb a útoků podle těchto základních kroků:
- Vytvoří teorii nebo hypotézu o potenciální hrozbě. Lovci hrozeb můžou začít identifikací běžných TTP útočníka.
- Provedou výzkum. Lovci hrozeb prošetřují data, systémy a aktivity organizace (SIEM může být užitečný nástroj) a shromažďují a zpracovávají relevantní informace.
- Identifikují aktivační událost. Poznatky z výzkumu a další nástroje zabezpečení můžou pomoct lovcům hrozeb najít výchozí bod k prověřování.
- Prověří hrozbu. Lovci hrozeb používají vlastní výzkum a bezpečnostní nástroje, aby určili, jestli je hrozba škodlivá.
- Odpoví a opraví nedostatky. Lovci hrozeb podnikají kroky, aby hrozbu vyřešili.
Typy hrozeb, které můžou vyhledávače hrozeb detekovat
Proaktivní vyhledávání kybernetických hrozeb má schopnost identifikovat širokou škálu různých hrozeb, včetně následujících:
- Malware and viry: MalwareMalware brání používání běžných zařízení tím, že získává neoprávněný přístup ke koncovým zařízením. Útoky phishing , spyware, adware trojské koně, červi a ransomware jsou všechny příklady malwaru. Viry, jedny z nejběžnějších forem malwaru, jsou navržené tak, aby narušovaly normální provoz zařízení. Dělají to tak, že zaznamenávají, poškozují nebo odstraňují jeho data a potom se šíří do jiných zařízení v síti.
- Insiderské hrozby: Insiderské hrozby pocházejí od osob s oprávněním přistupovat k síti organizace. Tito insideři zneužívají nebo poškozují sítě, data, systémy nebo zařízení organizace, ať už z nekalých úmyslů nebo neúmyslně nebo z nedbalosti.
- Rozšířené trvalé hrozby: Sofistikovaní aktéři, kteří proniknou do sítě organizace a zůstanou po určitou dobu neodhaleni, představují pokročilou trvalou hrozbu. Tito útočníci jsou zkušení a často dobře vybavení.
Útoky formou sociálního inženýrství: Kybernetičtí útočníci mohou pomocí manipulace a podvodu uvést zaměstnance organizace v omyl a přimět je, aby jim prozradili přístupové údaje nebo citlivé informace. Mezi běžné útoky sociálního inženýrství patří útoky phishing, baiting a scareware.
Osvědčené postupy pro proaktivní vyhledávání kybernetických hrozeb
Při implementaci protokolu proaktivního vyhledávání kybernetických hrozeb ve vaší organizaci mějte na paměti následující osvědčené postupy:
- Poskytněte lovcům hrozeb úplný přehled o vaší organizaci. Lovci hrozeb jsou nejúspěšnější, když vidí širší souvislosti.
- Udržujte v chodu doplňkové bezpečnostní nástroje jako jsou SIEM, XDR a EDR. Lovci kybernetických hrozeb spoléhají na automatizaci a data poskytovaná těmito nástroji, aby mohli rychleji a ve větším kontextu identifikovat hrozby a rychleji je řešit.
- Udržujte si přehled o nejnovějších nově vznikajících hrozbách a taktikách. Útočníci a jejich taktiky se neustále vyvíjejí – ujistěte se, že vaši lovci hrozeb mají nejnovější zdroje aktuálních trendů.
- Proškolte zaměstnance, aby identifikovali a nahlásili podezřelé chování. Omezte možnost insiderských hrozeb tím, že budou vaši lidé informovaní.
- Abyste snížili celkové riziko ohrožení vaší organizace, implementujte správu ohrožení zabezpečení.
Proč je proaktivní vyhledávání hrozeb pro organizace důležité
Vzhledem k tomu, že metody útoků škodlivých aktérů jsou stále sofistikovanější, je pro organizace nezbytné investovat do proaktivního vyhledávání kybernetických hrozeb. Lov kybernetických hrozeb, který doplňuje pasivnější formy ochrany před hrozbami, odstraňuje mezery v zabezpečení a umožňuje organizacím napravit hrozby, které by jinak zůstaly neodhalené. Sílící a stále složitější hrozby útočníků nutí organizace posilovat obranu, aby si zachovaly důvěru ve schopnost nakládat s citlivými daty a snížily náklady spojené s narušením bezpečnosti.
Produkty jako Microsoft Sentinel vám pomůžou udržet si náskok před hrozbami tím, že budou shromažďovat, ukládat a přistupovat k historickým datům v cloudovém měřítku, zjednodušovat prověřování a automatizovat běžné úlohy. Tato řešení můžou lovcům kybernetických hrozeb poskytnout výkonné nástroje, které vaši organizaci pomůžou ochránit.
Další informace o zabezpečení od Microsoftu
Microsoft Sentinel
Inteligentní analytika zabezpečení vám umožní odhalovat a eliminovat hrozby v celém podniku.
Microsoft Defender experti na proaktivní vyhledávání
Rozšíření proaktivního vyhledávání hrozeb za hranice koncových bodů.
Analýza hrozeb v programu Microsoft Defender
Zvyšte ochranu své organizace před moderními útočníky a hrozbami, jako je ransomware.
SIEM a XDR
Rozpoznávejte, prověřujte a odpovídejte na hrozby v celém vašem digitálním majetku.
Časté otázky
-
Příkladem proaktivního vyhledávání kybernetických hrozeb je proaktivní vyhledávání založené na hypotézách, při kterém vyhledávač hrozeb identifikuje podezřelé taktiky, techniky a postupy, které by útočník mohl používat, a pak hledá důkazy v síti organizace.
-
Detekce hrozeb je aktivní, často automatizovaný přístup ke kybernetické bezpečnosti, zatímco proaktivní vyhledávání hrozeb je neautomatizovaný přístup.
-
Security Operations Center (SOC) je centralizovaná funkce nebo tým, ať už na místě, nebo externě, který je zodpovědný za zlepšování kybernetické bezpečnosti organizace a za prevenci, rozpoznávání a reakci na hrozby. Proaktivní vyhledávání kybernetických hrozeb je jednou z taktik, které SOC používají k identifikaci a nápravě hrozeb.
-
Nástroje pro proaktivní vyhledávání kybernetických hrozeb jsou softwarové prostředky, které jsou dostupné IT týmům a vyhledávačům hrozeb, a které pomáhají rozpoznávat a opravovat hrozby. Mezi příklady nástrojů proaktivního vyhledávání hrozeb patří například antivirová ochrana a ochrana brány firewall, software EDR, nástroje SIEM a analýza dat.
-
Hlavním účelem proaktivního vyhledávání kybernetických hrozeb je proaktivně rozpoznávat a odstraňovat sofistikované hrozby a útoky dřív, než poškodí organizaci.
-
Analýza kybernetických hrozeb Analýza kybernetických hrozeb jsou informace a data, které software kybernetické bezpečnosti shromažďuje, často automaticky, v rámci svých bezpečnostních protokolů, aby lépe chránil před kybernetickými útoky. Proaktivní vyhledávání hrozeb zahrnuje získání informací shromážděných z analýzy hrozeb a jejich využití k vytváření hypotéz a opatření pro vyhledávání a nápravu hrozeb.
Sledujte zabezpečení od Microsoftu