Trace Id is missing
Zu Hauptinhalt springen
Microsoft Security

Was ist Erkennung von Bedrohungen und die Reaktion darauf (Threat Detection and Response, TDR)?

Erfahren Sie, wie Sie die Werte Ihrer Organisation schützen können, indem Sie mit der Erkennung von Bedrohungen und der Reaktion darauf proaktiv Cybersecurityrisiken identifizieren und mindern.

Entdecken Sie die Microsoft XDR-Lösung

Einfach erklärt: Erkennung von Bedrohungen und Reaktion darauf (Threat Detection and Response, TDR)

Die Erkennung von Bedrohungen und Reaktion darauf ist ein Cybersicherheitsprozess zum Identifizieren von Cyberbedrohungen für die digitalen Ressourcen eines Unternehmens und zum Ergreifen von Maßnahmen, um diese so schnell wie möglich zu mindern.

Wie funktioniert die Erkennung von Bedrohungen und Reaktion darauf?

Um Cyberbedrohungen und anderen Sicherheitsproblemen zu begegnen, richten viele Organisationen ein Security Operations Center (SOC) ein. Dabei handelt es sich um eine zentralisierte Funktion oder ein Team, das für die Verbesserung der Cybersicherheitslage einer Organisation sowie für die Prävention, Erkennung und Reaktion auf Bedrohungen zuständig ist. Ein SOC überwacht nicht nur laufende Cyberangriffe und reagiert darauf, sondern arbeitet auch proaktiv, um neue Cyberbedrohungen und organisatorische Schwachstellen zu erkennen. Die meisten SOC-Teams, die sich entweder vor Ort befinden oder ausgelagert sind, arbeiten rund um die Uhr, sieben Tage die Woche.

Das SOC nutzt Threat Intelligence und Technologien, um einen versuchten, erfolgreichen oder laufenden Einbruch aufzudecken. Sobald eine Cyberbedrohung identifiziert ist, setzt das Sicherheitsteam Tools zur Erkennung von Bedrohungen und zur Reaktion darauf ein, um das Problem zu beseitigen oder zu entschärfen.

Die Erkennung von und Reaktion auf Bedrohungen umfasst in der Regel die folgenden Phasen:

  • Erkennung. Sicherheitstools, die Endpunkte, Identitäten, Netzwerke, Anwendungen und Clouds überwachen, helfen dabei, Risiken und potenzielle Verstöße aufzudecken. Sicherheitsexperten nutzen auch Techniken zur Suche nach Cyberbedrohungen, um ausgeklügelte Cyberbedrohungen aufzudecken, die sich der Erkennung entziehen.
  • Untersuchung. Sobald ein Risiko identifiziert ist, setzt das SOC KI und andere Tools ein, um zu bestätigen, dass die Cyberbedrohung real ist, um festzustellen, wie es dazu kam, und um zu bewerten, welche Unternehmensressourcen betroffen sind.
  • Eindämmung. Um die Ausbreitung eines Cyberangriffs zu stoppen, isolieren Cybersicherheitsteams und automatisierte Tools infizierte Geräte, Identitäten und Netzwerke von den übrigen Ressourcen der Organisation.
  • Beseitigung. Teams beseitigen die Grundursache eines Sicherheitsvorfalls mit dem Ziel, den böswilligen Akteur vollständig aus der Umgebung zu vertreiben. Sie mindern auch Sicherheitsrisiken, die die Organisation einem ähnlichen Cyberangriff aussetzen könnten.
  • Wiederherstellung. Nachdem die Teams einigermaßen sicher sind, dass eine Cyberbedrohung oder Schwachstelle beseitigt wurde, bringen sie alle isolierten Systeme wieder ans Netz.
  • Berichterstattung. Je nach Schwere des Vorfalls dokumentieren die Sicherheitsteams den Vorfall und informieren die Verantwortlichen, die Geschäftsführung und/oder den Vorstand darüber, was passiert ist und wie der Vorfall behoben wurde.
  • Risikominderung. Um zu verhindern, dass sich ein ähnlicher Verstoß wiederholt, und um die Reaktion in Zukunft zu verbessern, untersuchen die Teams den Vorfall und ermitteln, welche Änderungen an der Umgebung und den Prozessen vorgenommen werden müssen.

Was ist Bedrohungserkennung?

Die Identifizierung von Cyberbedrohungen ist zunehmend schwieriger geworden, da Organisationen ihren Cloudfußabdruck erweitert haben, mehr Geräte mit dem Internet verbunden haben und zu einem hybriden Arbeitsplatz übergegangen sind. Böswillige nutzen diese erweiterte Oberfläche und die Fragmentierung der Sicherheitstools mit den folgenden Taktiken aus:

  • Phishingkampagnen. Eine der häufigsten Methoden, mit denen böswillige Akteure ein Unternehmen infiltrieren, ist das Versenden von E-Mails, die Mitarbeiter dazu verleiten, bösartigen Code herunterzuladen oder ihre Anmeldeinformationen weiterzugeben.
  • Schadsoftware. Viele Cyberangreifer setzen Software ein, die darauf abzielt, Computer und Systeme zu beschädigen oder sensible Informationen zu sammeln.
  • Ransomware. Bei dieser Art von Schadsoftware nehmen Ransomwareangreifer wichtige Systeme und Daten als Geiseln und drohen, private Daten freizugeben oder Cloudressourcen zu stehlen, um Bitcoin zu schürfen, bis ein Lösegeld gezahlt wird. In letzter Zeit ist von Menschenhand betriebene Ransomware, bei der sich eine Gruppe von Cyberangreifern Zugang zum gesamten Netzwerk einer Organisation verschafft, zu einem immer größeren Problem für Sicherheitsteams geworden.
  • DDoS-Angriffe (Distributed Denial-of-Service). Mithilfe einer Reihe von Bots unterbrechen böswillige Akteure eine Website oder einen Dienst, indem sie mit Datenverkehr überflutet werden.
  • IInsiderbedrohung. Nicht alle Cyberbedrohungen stammen von außerhalb einer Organisation. Es besteht auch das Risiko, dass vertrauenswürdige Personen mit Zugang zu sensiblen Daten die Organisation versehentlich oder böswillig schädigen.
  • Identitätsbasierte Angriffe. Die meisten Sicherheitsverletzungen betreffen kompromittierte Identitäten, d. h. Cyberangreifer stehlen oder erraten Anmeldeinformationen und nutzen sie, um sich Zugang zu den Systemen und Daten einer Organisation zu verschaffen.
  • Internet der Dinge (IoT)-Angriffe. IoT-Geräte sind ebenfalls anfällig für Cyberangriffe, insbesondere ältere Geräte, die nicht über die eingebauten Steuerelemente verfügen, die moderne Geräte haben.
  • Angriffe auf die Lieferkette. Es kommt vor, dass ein bösartiger Akteur eine Organisation angreift, indem er Software oder Hardware manipuliert, die von einem Drittanbieter bereitgestellt wird.
  • Codeeinschleusung. Indem sie Schwachstellen im Umgang mit externen Daten im Quellcode ausnutzen, injizieren Cyberkriminelle bösartigen Code in eine Anwendung.

Erkennung von Bedrohungen
Um den zunehmenden Cybersecurity-Angriffen einen Schritt voraus zu sein, verwenden Organisationen Bedrohungsmodelle, um Sicherheitsanforderungen zu definieren, Schwachstellen und Risiken zu identifizieren und Prioritäten für die Behebung zu setzen. Anhand hypothetischer Szenarien versucht das SOC, sich in die Gedankenwelt von Cyberkriminellen hineinzuversetzen, um die Fähigkeit der Organisation zu verbessern, Sicherheitsvorfälle zu verhindern oder zu entschärfen. Das MITRE ATTCK&CK®/Framework ist ein nützliches Modell für das Verständnis gängiger Cyberangriffstechniken und -taktiken.

Eine mehrschichtige Verteidigung erfordert Tools, die eine kontinuierliche Echtzeitüberwachung der Umgebung ermöglichen und potenzielle Sicherheitsprobleme aufdecken. Außerdem müssen sich die Lösungen überschneiden, so dass im Falle einer Beeinträchtigung einer Erkennungsmethode eine zweite das Problem erkennt und das Sicherheitsteam benachrichtigt. Lösungen zur Erkennung von Cyberbedrohungen verwenden eine Reihe von Methoden, um Bedrohungen zu identifizieren, darunter:

  • Signaturbasierte Erkennung. Viele Sicherheitslösungen scannen Software und Datenverkehr, um eindeutige Signaturen zu identifizieren, die mit einer bestimmten Art von Schadsoftware in Verbindung gebracht werden.
  • Verhaltensbasierte Erkennung. Um neue und aufkommende Cyberbedrohungen zu erkennen, suchen Sicherheitslösungen auch nach Aktionen und Verhaltensweisen, die bei Cyberangriffen üblich sind.
  • Anomaliebasierte Erkennung. KI und Analysen helfen den Teams, das typische Verhalten von Benutzern, Geräten und Software zu verstehen, so dass sie Ungewöhnliches erkennen können, das auf eine Cyberbedrohung hinweisen könnte.

Auch wenn Software entscheidend ist, spielen Menschen eine ebenso wichtige Rolle bei der Erkennung von Cyberbedrohungen. Neben der Bearbeitung und Untersuchung von systemgenerierten Warnmeldungen setzen Analysten Techniken zur Suche nach Cyberbedrohungen ein, um proaktiv nach Anzeichen für eine Gefährdung zu suchen, oder sie suchen nach Taktiken, Techniken und Verfahren, die auf eine potenzielle Bedrohung hindeuten. Diese Ansätze helfen dem SOC, ausgeklügelte, schwer zu entdeckende Angriffe schnell aufzudecken und zu stoppen.

Was versteht man unter Bedrohungsreaktion?

Nachdem eine glaubwürdige Cyberbedrohung identifiziert wurde, umfasst die Reaktion auf die Bedrohung alle Maßnahmen, die das SOC ergreift, um die Bedrohung einzudämmen und zu beseitigen, sich zu erholen und die Wahrscheinlichkeit zu verringern, dass sich ein ähnlicher Angriff wiederholt. Viele Unternehmen entwickeln einen Plan für Incident Response, der ihnen bei einem möglichen Verstoß helfen soll, wenn es darauf ankommt, sich zu organisieren und schnell zu handeln. Ein guter Plan für Incident Response umfasst Spielpläne mit schrittweisen Anleitungen für bestimmte Arten von Bedrohungen, Rollen und Verantwortlichkeiten sowie einen Kommunikationsplan.

Komponenten der Erkennung von Bedrohungen und Reaktion darauf

Organisationen verwenden eine Vielzahl von Tools und Prozessen, um Bedrohungen effektiv zu erkennen und darauf zu reagieren.

  • Extended Detection and Response

    Produkte für Extended Detection and Response (XDR) helfen SOCs, den gesamten Lebenszyklus von Prävention, Erkennung und Reaktion auf Cyberbedrohungen zu vereinfachen. Diese Lösungen überwachen Endpunkte, Cloudanwendungen, E-Mails und Identitäten. Wenn eine XDR-Lösung eine Cyberbedrohung entdeckt, alarmiert sie die Sicherheitsteams und reagiert automatisch auf bestimmte Vorfälle auf der Grundlage von Kriterien, die das SOC definiert.

  • Erkennung von Bedrohungen und Reaktion darauf

    Da es böswillige Akteure häufig auf Mitarbeiter abgesehen haben, ist es wichtig, Tools und Prozesse zur Erkennung von und Reaktion auf Bedrohungen der Identitäten einer Organisation einzurichten. Diese Lösungen verwenden in der Regel User and Entity Behaviour Analytics (UEBA), um das grundlegende Benutzerverhalten zu definieren und Anomalien aufzudecken, die eine potenzielle Bedrohung darstellen.

  • Security Information & Event Management

    Der erste Schritt zum Erfassen der Bedrohungslandschaft besteht darin, sich einen Überblick über die gesamte digitale Umgebung zu verschaffen. Die meisten SOC-Teams verwenden SIEM-Lösungen (Security Information & Event Management), die Daten über Endpunkte, Clouds, E-Mails, Anwendungen und Identitäten hinweg zusammenführen und korrelieren. Diese Lösungen verwenden Erkennungsregeln und Playbooks, um potenzielle Cyberbedrohungen durch die Korrelation von Protokollen und Warnmeldungen aufzudecken. Moderne SIEMs nutzen auch KI, um Cyberbedrohungen effektiver aufzudecken, und sie beziehen externe Bedrohungsdaten ein, um neue und aufkommende Cyberbedrohungen zu erkennen.

  • Threat Intelligence

    Um sich einen umfassenden Überblick über die Cyberbedrohungslandschaft zu verschaffen, verwenden SOCs Tools, die Daten aus einer Vielzahl von Quellen zusammenführen und analysieren, darunter Endpunkte, E-Mails, Cloudanwendungen und externe Bedrohungsdatenquellen. Die Erkenntnisse aus diesen Daten helfen den Sicherheitsteams, sich auf einen Cyberangriff vorzubereiten, aktive Cyberbedrohungen zu erkennen, laufende Sicherheitsvorfälle zu untersuchen und effektiv zu reagieren.

  • Erkennung und Reaktion am Endpunkt

    Lösungen zur Erkennung und Reaktion am Endpunkt (EDR) sind eine frühere Version von XDR-Lösungen, die sich nur auf Endpunkte wie Computer, Server, mobile Geräte und IoT konzentrieren. Wie die XDR-Lösungen erzeugen diese Lösungen bei der Entdeckung eines potenziellen Angriffs eine Warnmeldung und reagieren bei bestimmten, gut verstandenen Angriffen automatisch. Da EDR-Lösungen nur auf Endpunkte ausgerichtet sind, migrieren die meisten Organisationen zu XDR-Lösungen.

  • Sicherheitsrisikomanagement

    Schwachstellenmanagement ist ein kontinuierlicher, proaktiver und oft automatisierter Prozess, der Computersysteme, Netzwerke und Unternehmensanwendungen auf Sicherheitsschwachstellen überwacht. Lösungen für das Schwachstellenmanagement bewerten Schwachstellen nach Schweregrad und Risiko und liefern Berichte, die das SOC zur Behebung von Problemen verwendet.

  • Sicherheitsorchestrierung, Automatisierung und Reaktion

    SOAR-Lösungen (Security Orchestration, Automation and Response) vereinfachen die Erkennung von und Reaktion auf Cyberbedrohungen, indem sie interne und externe Daten und Tools an einem zentralen Ort zusammenführen. Sie automatisieren auch die Reaktion auf Cyberbedrohungen auf der Grundlage einer Reihe vordefinierter Regeln.

  • Managed Detection and Response

    Nicht alle Organisationen verfügen über die Ressourcen, um Cyberbedrohungen wirksam zu erkennen und darauf zu reagieren. Managed Detection and Response-Dienste helfen diesen Organisationen, ihre Sicherheitsteams mit den erforderlichen Tools und Mitarbeitern auszustatten, um Bedrohungen aufzuspüren und angemessen zu reagieren.

Die wichtigsten Vorteile der Erkennung von Bedrohungen und Reaktion darauf

Eine effektive Erkennung von Bedrohungen und Reaktion darauf kann einer Organisation auf verschiedene Weise helfen, ihre Widerstandsfähigkeit zu verbessern und die Auswirkungen von Sicherheitsverletzungen zu minimieren.

  • Frühzeitige Bedrohungserkennung

    Cyberbedrohungen zu stoppen, bevor sie zu einer vollständigen Verletzung werden, ist ein wichtiger Weg, um die Auswirkungen eines Vorfalls drastisch zu reduzieren. Mit modernen Tools zur Erkennung von Bedrohungen und Reaktion darauf und einem engagierten Team erhöhen SOCs die Wahrscheinlichkeit, dass sie Bedrohungen frühzeitig aufdecken, wenn sie leichter zu beheben sind.

  • Sicherung der Compliance

    In vielen Ländern und Regionen werden weiterhin strenge Datenschutzgesetze erlassen, die von Organisationen robuste Datensicherheitsmaßnahmen und ein detailliertes Verfahren für die Reaktion auf Sicherheitsvorfälle verlangen. Unternehmen, die sich nicht an diese Vorschriften halten, müssen mit hohen Geldstrafen rechnen. Ein Programm zur Erkennung von Bedrohungen und Reaktion darauf hilft Organisationen, die Anforderungen dieser Gesetze zu erfüllen.

  • Kürzere Verweildauer

    In der Regel gehen die schädlichsten Cyberangriffe auf Vorfälle zurück, bei denen die Cyberangreifer die meiste Zeit unentdeckt in einer digitalen Umgebung verbrachten. Um den Schaden zu begrenzen, ist es entscheidend, die Zeit zu verkürzen, die unentdeckt bleibt, die sogenannte Verweilzeit. Prozesse zur Erkennung von Bedrohungen und Reaktion darauf, wie z. B. Bedrohungssuche, helfen SOCs, diese böswilligen Akteure schnell zu erwischen und ihre Auswirkungen zu begrenzen.

  • Verbesserte Sichtbarkeit

    Tools zur Erkennung von Bedrohungen und Reaktion darauf wie SIEM und XDR verschaffen den Sicherheitsteams einen besseren Überblick über ihre Umgebung, so dass sie nicht nur Bedrohungen schnell erkennen, sondern auch potenzielle Schwachstellen, wie veraltete Software, aufdecken können, die behoben werden müssen.

  • Schutz vertraulicher Daten

    Für viele Organisationen sind Daten einer ihrer wichtigsten Vermögenswerte. Mit den richtigen Tools und Verfahren für die Erkennung von Bedrohungen und die Reaktion darauf können Sicherheitsteams böswillige Akteure aufspüren, bevor sie Zugang zu sensiblen Daten erhalten, und so die Wahrscheinlichkeit verringern, dass diese Informationen an die Öffentlichkeit gelangen oder im Dark Web verkauft werden.

  • Proaktiver Sicherheitsstatus

    Das Verfahren zur Erkennung von Bedrohungen und Reaktion darauf beleuchtet auch neue Bedrohungen und geben Aufschluss darüber, wie sich böswillige Akteure Zugang zur digitalen Umgebung eines Unternehmens verschaffen können. Mit diesen Informationen können SOCs die Organisation stärken und zukünftige Angriffe verhindern.

  • Kostenvorteile

    Ein erfolgreicher Cyberangriff kann für eine Organisation sehr kostspielig sein, was die tatsächlichen Ausgaben für Lösegeld, behördliche Gebühren oder Wiederherstellungsmaßnahmen angeht. Sie kann auch zu Produktivitäts- und Umsatzeinbußen führen. Indem sie Bedrohungen schnell erkennen und im Frühstadium eines Cyberangriffs reagieren, können Organisationen die Kosten von Sicherheitsvorfällen reduzieren.

  • Reputationsmanagement

    Eine öffentlichkeitswirksame Datenpanne kann dem Ruf eines Unternehmens oder einer Regierung großen Schaden zufügen. Die Menschen verlieren das Vertrauen in Institutionen, von denen sie glauben, dass sie ihre persönlichen Daten nicht gut schützen. Die Erkennung von Bedrohungen und die Reaktion darauf kann dazu beitragen, die Wahrscheinlichkeit eines berichtenswerten Vorfalls zu verringern und Kunden, Bürgern und anderen Beteiligten die Gewissheit zu geben, dass persönliche Daten geschützt werden.

Bewährte Methoden zur Erkennung von Bedrohungen und zur Reaktion darauf

Organisationen, die bei der Erkennung von Bedrohungen und der Reaktion darauf erfolgreich sind, wenden Praktiken an, die den Teams helfen, zusammenzuarbeiten und ihre Vorgehensweise zu verbessern, was zu weniger und weniger kostspieligen Cyberangriffen führt.

  • Regelmäßige Schulungen durchführen

    Obwohl das SOC-Team die größte Verantwortung für die Sicherheit einer Organisation trägt, muss jeder in einem Unternehmen eine Rolle spielen. Ein Großteil der Sicherheitsvorfälle beginnt damit, dass ein Mitarbeiter auf eine Phishingkampagne hereinfällt oder ein nicht zugelassenes Gerät benutzt. Regelmäßige Schulungen helfen den Mitarbeitern, auf mögliche Bedrohungen aufmerksam zu werden, damit sie das Sicherheitsteam benachrichtigen können. Ein gutes Schulungsprogramm stellt auch sicher, dass die Sicherheitsexperten über die neuesten Tools, Richtlinien und Verfahren zur Reaktion auf Bedrohungen informiert sind.

  • Incident Response-Plan entwickeln

    Ein Sicherheitsvorfall ist in der Regel ein stressiges Ereignis, bei dem die Mitarbeiter nicht nur schnell handeln und sich erholen müssen, sondern auch genaue Informationen an die relevanten Interessengruppen weitergeben müssen. Ein Plan für die Reaktion auf einen Vorfall beseitigt einen Teil des Rätselraten, indem er die entsprechenden Schritte zur Eindämmung, Ausrottung und Wiederherstellung festlegt. Es bietet auch Orientierungshilfen für die Personalabteilung, die Unternehmenskommunikation, die Öffentlichkeitsarbeit, Juristen und Führungskräfte, die sicherstellen müssen, dass Mitarbeiter und andere Interessengruppen über die Vorgänge informiert sind und dass die Organisation die einschlägigen Vorschriften einhält.

  • Fördern einer starken Zusammenarbeit

    Um neuen Bedrohungen immer einen Schritt voraus zu sein und eine wirksame Reaktion zu koordinieren, ist eine gute Zusammenarbeit und Kommunikation zwischen den Mitgliedern des Sicherheitsteams erforderlich. Die einzelnen Mitarbeiter müssen wissen, wie die anderen im Team die Bedrohungen einschätzen, Wertevergleiche anstellen und gemeinsam an möglichen Problemen arbeiten. Die Zusammenarbeit erstreckt sich auch auf andere Abteilungen des Unternehmens, die bei der Erkennung von Bedrohungen oder bei der Reaktion darauf helfen können.

  • Bereitstellen von KI

    KI für Cybersicherheit  synthetisiert Daten aus der gesamten Organisation und liefert Erkenntnisse, die Teams dabei helfen, sich auf ihre Zeit zu konzentrieren und Vorfälle schnell zu beheben. Moderne SIEM- und XDR-Lösungen nutzen KI, um einzelne Warnmeldungen zu Vorfällen zu korrelieren und helfen Organisationen, Cyberbedrohungen schneller zu erkennen. Einige Lösungen, wie Microsoft Defender XDR, nutzen KI, um laufende Cyberangriffe automatisch zu unterbrechen. Generative KI in Lösungen wie Microsoft Security Copilot hilft SOC-Teams dabei, Vorfälle schnell zu untersuchen und darauf zu reagieren.

Lösungen zur Erkennung von Bedrohungen und zur Reaktion darauf

Die Erkennung von Bedrohungen und die Reaktion darauf ist eine wichtige Funktion, die alle Organisationen nutzen können, um Cyberbedrohungen zu erkennen und zu bekämpfen, bevor sie Schaden anrichten. Microsoft Security bietet verschiedene Lösungen zum Schutz vor Bedrohungen, die Sicherheitsteams bei der Überwachung, Erkennung von und Reaktion auf Cyberbedrohungen unterstützen. Für Organisationen mit begrenzten Ressourcen bietet Microsoft Defender Experts verwaltete Dienste an, um die vorhandenen Mitarbeiter und Tools zu ergänzen.

Mehr erfahren über Microsoft Security

Einheitliche Security Operations-Plattform

Schützen Sie Ihr gesamtes digitales Vermögen mit einer einheitlichen Erkennungs-, Untersuchungs- und Reaktionsfunktion.

Mehr erfahren

Microsoft Defender XDR

Beschleunigen Sie Ihre Reaktion mit Transparenz auf Vorfallsebene und automatischer Angriffsunterbrechung.

Mehr erfahren

Microsoft Sentinel

Erkennen und bekämpfen Sie Cyberbedrohungen unternehmensweit mit intelligenten Sicherheitsanalysen.

Mehr erfahren

Microsoft Defender Experts for XDR

Mit einem verwalteten XDR-Dienst können Sie Angreifer stoppen und zukünftige Kompromisse verhindern.

Mehr erfahren

Microsoft Defender Vulnerability Management

Verringern Sie Cyberbedrohungen durch die kontinuierliche Bewertung von Sicherheitsrisiken, die risikobasierte Priorisierung und geeignete Gegenmaßnahmen.

Mehr erfahren

Microsoft Defender for Business

Schützen Sie Ihr kleines oder mittleres Unternehmen vor Cyberangriffen, wie Schadsoftware und Ransomware.

Mehr erfahren

Häufig gestellte Fragen

  • Die Erkennung von Bedrohungen umfasst die Techniken und Tools, die Sicherheitsexperten einsetzen, um komplexe, hartnäckige Bedrohungen aufzudecken, die so konzipiert sind, dass sie über einen längeren Zeitraum hinweg unentdeckt bleiben. Diese Bedrohungen sind oft ernster und können Spionage oder Datendiebstahl beinhalten.

  • Die wichtigsten Methoden zur Erkennung von Bedrohungen sind Sicherheitslösungen wie SIEM oder XDR, die Aktivitäten in der gesamten Umgebung analysieren, um Hinweise auf eine Gefährdung oder ein von den Erwartungen abweichendes Verhalten zu entdecken. Die Menschen arbeiten mit diesen Instrumenten, um potenzielle Bedrohungen einzuteilen und darauf zu reagieren. Außerdem nutzen sie XDR und SIEM, um nach raffinierten Angreifern zu suchen, die sich der Erkennung entziehen könnten.

  • Die Erkennung von Bedrohungen ist der Prozess der Aufdeckung potenzieller Sicherheitsrisiken, einschließlich Aktivitäten, die darauf hindeuten können, dass ein Gerät, eine Software, ein Netzwerk oder eine Identität kompromittiert wurde. Die Reaktion auf einen Vorfall umfasst die Schritte, die das Sicherheitsteam und automatisierte Tools zur Eindämmung und Beseitigung einer Cyberbedrohung unternehmen.

  • Das Verfahren zur Erkennung von Bedrohungen und zur Reaktion darauf umfasst:

    • Erkennung. Sicherheitstools, die Endpunkte, Identitäten, Netzwerke, Anwendungen und Clouds überwachen, helfen dabei, Risiken und potenzielle Verstöße aufzudecken. Sicherheitsexperten nutzen auch Techniken zur Suche nach Cyberbedrohungen, um zu versuchen, aufkommende Cyberbedrohungen aufzudecken.
    • Untersuchung. Sobald ein Risiko identifiziert ist, werden KI und andere Tools eingesetzt, um zu bestätigen, dass die Cyberbedrohung real ist, um festzustellen, wie es dazu kam, und um zu bewerten, welche Unternehmensressourcen betroffen sind.
    • Eindämmung. Um die Ausbreitung eines Cyberangriffs zu stoppen, isolieren Cybersicherheitsteams infizierte Geräte, Identitäten und Netzwerke von den übrigen Ressourcen der Organisation.
    • Beseitigung. Die Teams beseitigen die Ursache eines Sicherheitsvorfalls mit dem Ziel, den Angreifer vollständig aus der Umgebung zu vertreiben und Schwachstellen zu beseitigen, die die Organisation dem Risiko eines ähnlichen Cyberangriffs aussetzen könnten.
    • Wiederherstellung. Nachdem die Teams einigermaßen sicher sind, dass eine Cyberbedrohung oder Schwachstelle beseitigt wurde, bringen sie alle isolierten Systeme wieder ans Netz.
    • Berichterstattung. Je nach Schwere des Vorfalls dokumentieren die Sicherheitsteams den Vorfall und informieren die Verantwortlichen, die Geschäftsführung und/oder den Vorstand darüber, was passiert ist und wie der Vorfall behoben wurde.
    • Risikominderung. Um zu verhindern, dass sich ein ähnlicher Verstoß wiederholt, und um die Reaktion in Zukunft zu verbessern, untersuchen die Teams den Vorfall und ermitteln, welche Änderungen an der Umgebung und den Prozessen vorgenommen werden müssen.

  • TDR steht für „Threat Detection and Response“ (Erkennung von Bedrohungen und Reaktion darauf). Dabei handelt es sich um einen Prozess zur Identifizierung von Cybersecurity-Bedrohungen für eine Organisation und zur Ergreifung von Maßnahmen, um diese Bedrohungen zu entschärfen, bevor sie echten Schaden anrichten. EDR steht für „Endpoint Detection and Response“, d. h. Erkennung und Reaktion am Endpunkt, und ist eine Kategorie von Softwareprodukten, die die Endpunkte einer Organisation auf potenzielle Cyberbedrohungen überwachen, diese Cyberbedrohungen dem Sicherheitsteam anzeigen und automatisch auf bestimmte Arten von Cyberangriffen reagieren.

Microsoft 365 folgen