Trace Id is missing
Preskoči na glavni sadržaj
Microsoft Security

Što je lociranje sigurnosnih prijetnji?

Lociranje sigurnosnih prijetnji postupak je proaktivnog pretraživanja nepoznatih ili neotkrivenih prijetnji u mreži, krajnjim točkama i podacima tvrtke ili ustanove.

Kako funkcionira lociranje sigurnosnih prijetnji

Lociranjem sigurnosnih prijetnji koriste se stručnjaci za lociranje prijetnji za prethodno pretraživanje potencijalnih prijetnji i napada u sustavu ili mreži. Time se omogućuju agilni i učinkoviti odgovori na sve složenije računalne napade kojima upravlja čovjek. Dok tradicionalni postupci računalne sigurnosti prepoznaju kršenja sigurnosti nakon što se dogode, lociranje sigurnosnih prijetnji funkcionira pod pretpostavkom da je došlo do kršenja sigurnosti i može identificirati potencijalne prijetnje, prilagoditi se i odmah odgovoriti na njih nakon otkrivanja.

Sofisticirani napadači mogu kršiti sigurnost tvrtke ili ustanove i ostati neotkriveni tijekom duljeg vremenskog razdoblja – tjedana ili čak dulje. Dodavanjem lociranja sigurnosnih prijetnji u postojeći profil sigurnosnih alata kao što su prepoznavanje krajnjih točaka i odgovor (EDR) i Upravljanje sigurnosnim informacijama i događajima (SIEM) može vam pomoći u sprječavanju i otklanjanju napada koji inače automatiziranim sigurnosni alati možda ne bi otkrili.

Automatizirano lociranje prijetnji

Stručnjaci za lociranje sigurnosnih prijetnji mogu automatizirati određene aspekte procesa pomoću strojnog učenja, automatizacije i umjetne inteligencije. Korištenje rješenja kao što su SIEM i EDR može pomoći stručnjacima za lociranje prijetnji u pojednostavnjivanju postupaka za lociranje prijetnji praćenjem i otkrivanjem potencijalnih prijetnji i odgovaranjem na potencijalne prijetnje. Stručnjaci za prijetnje mogu stvarati i automatizirati različite proceduralne priručnike da bi odgovorili na različite prijetnje, čime se smanjuje opterećenje IT timova kada god dođe do sličnih napada.

Alati i tehnike za lociranje sigurnosnih prijetnji

Stručnjaci za prijetnje imaju na raspolaganju brojne alate, uključujući rješenja kao što su SIEM i XDR, koja su osmišljena za zajedničko korištenje.

  • SIEM: Rješenje koje prikuplja podatke iz više izvora pomoću analize u stvarnom vremenu, SIEM može pružiti stručnjacima za prijetnje naznake o potencijalnim prijetnjama.
  • Prošireno otkrivanje i reagiranje (XDR): Stručnjaci za prijetnje mogu koristiti XDR, koji omogućuje obavještavanje o prijetnjama i automatizirani prekid napada da bi postigli veću vidljivost prijetnji.
  • EDR: EDR, koji nadzire uređaje krajnjih korisnika također pruža stručnjacima za prijetnje snažan alat, dajući im uvide u potencijalne prijetnje unutar svih krajnjih točaka tvrtke ili ustanove.

Tri vrste lociranja sigurnosnih prijetnji

Lociranje sigurnosnih prijetnji obično dolazi u jednom od sljedeća tri oblika:

Strukturirano: U strukturiranom lociranju, stručnjaci za prijetnje traže sumnjive taktike, tehnike i postupke (TTP-ove) koji ukazuju na potencijalne prijetnje. Umjesto da pristupa podacima ili sustavu i traži kršitelje, stručnjak za lociranje prijetnji postavlja hipotezu o postupku potencijalnog napadača i metodično radi na otkrivanju simptoma tog napada. Budući da je strukturirano lociranje proaktivan pristup, IT profesionalci koji koriste ovu taktiku često mogu brzo presresti ili zaustaviti napadače.

Nestrukturirano: U nestrukturiranom lociranju stručnjak za lociranje sigurnosnih prijetnji traži pokazatelj ugroženosti (IoC) i provodi pretraživanje s te točke. Budući da se stručnjak za prijetnje može vratiti i pretraživati obrasce i tragove u povijesnim podacima, nestrukturirana lociranja ponekad mogu prepoznati prethodno neotkrivene prijetnje koje i dalje mogu predstavljati rizik za tvrtku ili ustanovu.

Situacijsko: Situacijsko lociranje prijetnji daje prioritet određenim resursima ili podacima u digitalnom ekosustavu. Ako tvrtka ili ustanova procijeni da su određeni zaposlenici ili resursi najveći rizik, može usmjeriti stručnjake za lociranje sigurnosnih prijetnji na sprječavanje ili otklanjanje napada na te ranjive osobe, skupove podataka ili krajnje točke.

Koraci i implementacija lociranja prijetnji

Stručnjaci za lociranje sigurnosnih prijetnji često prate ove osnovne korake prilikom istraživanja i otklanjanja prijetnji i napada:

  1. Stvaranje teorije ili hipoteze o potencijalnoj prijetnji. Stručnjaci za lociranje prijetnji mogu započeti prepoznavanjem uobičajenih TTP-ova napadača.
  2. Provođenje istraživanja. Stručnjaci za lociranje prijetnji istražuju podatke, sustave i aktivnosti tvrtke ili ustanove – SIEM rješenje može biti koristan alat – i prikupljaju i obrađuju relevantne informacije.
  3. Prepoznavanje okidača. Rezultati istraživanja i drugi sigurnosni alati mogu pomoći stručnjacima za lociranje prijetnji pri razlikovanju početne točke za istragu.
  4. Istraživanje prijetnji. Stručnjaci za lociranje prijetnji koriste alate za istraživanje i sigurnost da bi utvrdili je li prijetnja zlonamjerna.
  5. Odgovor i popravak. Stručnjaci za lociranje prijetnji poduzimaju radnje za rješavanje prijetnje.

Vrste prijetnji koje stručnjaci za lociranje prijetnji mogu otkriti

Lociranje sigurnosnih prijetnji može prepoznati široki raspona različitih prijetnji, uključujući sljedeće:

  • Zlonamjerni softver i virusi: Zlonamjerni softverZlonamjerni softver onemogućuje korištenje normalnih uređaja neovlaštenim pristupom uređajima krajnjih točaka. Krađa identitetaKrađe identiteta, špijunski softver, neželjeni reklamni sadržaji, trojanski softveri, crvi i ucjenjivački softver primjeri su zlonamjernog softvera. Virusi, neki od češćih oblika zlonamjernog softvera, osmišljeni su tako da ometaju normalno funkcioniranje uređaja snimanjem, oštećivanjem ili brisanjem podataka prije širenja na druge uređaje na mreži.
  • Interne prijetnje: Interne prijetnje potječu od pojedinaca s ovlaštenim pristupom mreži tvrtke ili ustanove. Bez obzira na to radi li se o zlonamjernim ili nehotičnim ili nemarnim radnjama, te osobe zloupotrebljavaju ili uzrokuju štetu mrežama, podacima, sustavima ili objektima tvrtke ili ustanove.
  • Napredne trajne prijetnje: Sofisticirani akteri koji krše sigurnost mreže tvrtke ili ustanove i ostaju neotkriveni tijekom određenog razdoblja predstavljaju napredne trajne prijetnje. Ti su napadači vješti i često imaju mnogo resursa na raspolaganju.
    Napadi društvenim inženjeringom: Računalni napadači mogu koristiti manipulaciju i prijevaru da bi zaposlenike tvrtke ili ustanove obmanuli na davanje pristupa ili odavanje povjerljivih informacija. Uobičajeni napadi društvenog inženjeringa obuhvaćaju krađu identiteta, namamljivanje i plašenje.

 

Najbolje prakse za lociranje sigurnosnih prijetnji

Prilikom implementacije protokola za lociranje sigurnosnih prijetnji u vašoj tvrtki ili ustanovi imajte na umu sljedeće najbolje prakse:

  • Stručnjacima za lociranje prijetnji omogućite potpun uvid u svoju tvrtku ili ustanovu. Stručnjaci za lociranje prijetnji najuspješniji su kada razumiju cijelu sliku.
  • Održavajte komplementarne sigurnosne alate kao što su SIEM, XDR i EDR. Stručnjaci za lociranje sigurnosnih prijetnji oslanjaju se na automatizacije i podatke koje pružaju ti alati za brže prepoznavanje prijetnji i širi kontekst za brže rješavanje.
  • Budite informirani o najnovijim prijetnjama i taktikama. Napadači i njihove taktike neprestano se razvijaju – pobrinite se da vaši stručnjaci za lociranje prijetnji imaju najažurnije resurse o trenutnim trendovima.
  • Obučite zaposlenike da prepoznaju i prijave sumnjiva ponašanja. Smanjite mogućnost internih prijetnji informiranjem zaposlenika.
  • Implementirajte upravljanje ranjivošću da biste smanjili ukupnu izloženost riziku tvrtke ili ustanove.

Zašto je lociranje prijetnji važno za tvrtke ili ustanove

Budući da zlonamjerni akteri postaju sve sofisticiraniji u svojim načinima napada, ključno je da tvrtke ili ustanove ulažu u proaktivno lociranje sigurnosnih prijetnji. Komplementarno pasivnim oblicima zaštite od prijetnji, lociranje sigurnosnih prijetnji zatvara sigurnosne praznine, što tvrtkama ili ustanovama omogućuje otklanjanje prijetnji koje bi inače ostale neotkrivene. Intenziviranje prijetnji složenih napadača znači da tvrtke ili ustanove moraju unaprijediti svoju zaštitu da bi zadržale povjerenje u mogućnost rukovanja povjerljivim podacima i smanjile troškove povezane s kršenjima sigurnosti.

Proizvodi kao što je Microsoft Sentinel mogu vam pomoći da budete korak ispred prijetnji prikupljanjem, pohranom i pristupom povijesnim podacima na razini oblaka, pojednostavnjivanjem istraga i automatizacijom uobičajenih zadataka. Ta rješenja mogu pružiti stručnjacima za lociranje sigurnosnih prijetnji snažne alate koji štite vašu tvrtku ili ustanovu.

Saznajte više o rješenju Microsoft Security

Microsoft Sentinel

Pogledajte i zaustavite prijetnje u cijeloj tvrtki uz inteligentnu sigurnosnu analitiku.

Saznajte više

Stručnjaci za otkrivanje prijetnji programa Microsoft Defender

Proširite proaktivno lociranje prijetnji izvan krajnje točke.

Saznajte više

Obavještavanje o prijetnjama za Microsoft Defender

Zaštitite svoju tvrtku ili ustanovu od modernih suparnika i prijetnji kao što je ucjenjivački softver.

Saznajte više

SIEM i XDR

Otkrijte, istražite i odgovorite na prijetnje u cijeloj digitalnoj imovini.

Saznajte više

Najčešća pitanja

  • Primjer lociranja sigurnosnih prijetnji je hipotetsko lociranje u kojem stručnjak za lociranje prijetnji prepoznaje sumnjive taktike, tehnike i postupke koje napadač može koristiti, a zatim traži dokaze o njima unutar mreže tvrtke ili ustanove.

  • Otkrivanje prijetnji aktivan je, često automatiziran, pristup računalnoj sigurnosti, dok je lociranje prijetnji proaktivan, neautomatizirani pristup.

  • Centar za sigurnosne operacije (SOC) je centralizirana funkcija ili tim, na lokaciji ili izvan tvrtke, zadužen za poboljšanje stanja računalne sigurnosti tvrtke ili ustanove, kao i sprječavanje, otkrivanje i odgovaranje na prijetnje. Lociranje sigurnosnih prijetnji jedna je od taktika koju SOC-ovi koriste za prepoznavanje i otklanjanje prijetnji.

  • Alati za lociranje sigurnosnih prijetnji softverski su resursi dostupni IT timovima i stručnjacima za lociranje prijetnji za pomoć pri otkrivanju i otklanjanju prijetnji. Primjeri alata za lociranje prijetnji obuhvaćaju antivirusne programe i zaštitu pomoću vatrozida, EDR softver, SIEM alate i analitiku podataka.

  • Glavna svrha lociranja sigurnosnih prijetnji proaktivno je otkrivanje i otklanjanje sofisticiranih prijetnji i napada prije nego što oštete tvrtku ili ustanovu.

  • Obavještavanje o sigurnosnim prijetnjama Obavještavanje o sigurnosnim prijetnjama su informacije koje prikuplja softver za računalnu sigurnost, često automatski, u sklopu sigurnosnih protokola radi bolje zaštite od računalnih napada. Lociranje prijetnji uključuje korištenje informacija prikupljenih iz obavještavanja o sigurnosnim prijetnjama i korištenje za postavljanje hipoteza i radnji za traženje i otklanjanje prijetnji.

Pratite Microsoft Security