Mi az a kiberveszélyforrás-keresés?
A kiberveszélyforrás-keresés az ismeretlen, nem észlelt fenyegetések proaktív keresésének folyamata a szervezet hálózatain, végpontjain és adatain.
A kiberveszélyforrás-keresés működése
A kiberveszélyforrás-keresés a veszélyforrás-keresőket alkalmaz potenciális fenyegetések és támadások proaktív keresésére egy rendszeren vagy hálózaton belül. Ez lehetővé teszi az agilis és hatékony reagálást az egyre összetettebb, emberek által működtetett Kibertámadások kibertámadásokra. Míg a hagyományos kiberbiztonsági módszerek a megtörténte után azonosítják a biztonsági incidenseket, a kiberveszélyforrás-keresés azzal a feltételezéssel működik, hogy incidens történt, és az észlelés után azonnal képes azonosítani, igazodni és reagálni a lehetséges fenyegetésekre.
A kifinomult támadók feltörhetik a szervezetet, és hosszabb ideig, akár napokig, hetekig vagy még hosszabb ideig is észrevétlenek maradhatnak. A kiberveszélyforrás-keresés hozzáadása a meglévő biztonsági eszközkészletéhez – mint például Végponti észlelés és reagálásVégponti észlelés és reagálás (EDR) és biztonsági információk és események kezelése (SIEM) – segíthet megelőzheti és elháríthatja azokat a támadásokat, amelyeket egyébként az automatizált biztonsági eszközök esetlegesen nem észlelnek.
Automatizált veszélyforrás-keresés
A kiberfenyegetés-keresők gépi tanulással, automatizálással és mesterséges intelligenciával automatizálni tudják a folyamat bizonyos aspektusait. A SIEM-hez és EDR-hez hasonló megoldások előnyeinek kiaknázása segíthet a veszélyforrás-keresőknek leegyszerűsíteni a veszélyforrás-keresési eljárásokat a lehetséges fenyegetések figyelésével, észlelésével és az azokra való reagálással. A veszélyforrás-keresők különböző forgatókönyveket tudnak létrehozni és automatizálni a különböző fenyegetésekre való reagálásokra, ezzel enyhítve az informatikai csapatokra nehezedő terheket, amikor hasonló támadások lépnek fel.
A kiberveszélyforrás-keresés eszközei és technikái
A veszélyforrás-keresők számos eszközzel rendelkeznek, köztük olyan megoldásokkal, mint a SIEM és az XDR, amelyek együttes működésre lettek tervezve.
- SIEM: A SIEM valós idejű elemzéssel több forrásból adatokat gyűjtő megoldás, ami segíthet a veszélyforrás-keresőknek a potenciális veszélyforrásokkal kapcsolatos jeleket felismerni.
- Kiterjesztett észlelés és válasz (XDR): A veszélyforrás-keresők használhatják az XDR XDR-t, amely intelligens veszélyforrás-felderítés és automatizált támadás-megszakítás segítségével biztosít jobb rálátást a fenyegetésekre.
- EDR: A végfelhasználói eszközöket figyelő EDR is hatékony eszközt biztosít a veszélyforrás-keresők számára, amivel a szervezet összes végpontján betekintést kínál a lehetséges fenyegetésekbe.
A kiberveszélyforrás-keresés három típusa
A kiberveszélyforrás-keresés általában az alábbi három forma egyikében nyilvánul meg:
Strukturált: Strukturált veszélyforrás-keresés esetén a veszélyforrás-keresők gyanús taktikákat, technikákat és eljárásokat (TTP-ket) keresnek, amelyek potenciális fenyegetésekre utalhatnak. Az adatokra vagy a rendszerre összpontosítás és incidensek keresése helyett a veszélyforrás-kereső egy hipotézist állít fel egy lehetséges támadó módszereivel kapcsolatban, és módszeresen dolgozik az adott támadás tünetekének azonosításán. Mivel a strukturált veszélyforrás-keresés proaktívabb megközelítés, az ezt a taktikát alkalmazó informatikai szakemberek gyakran gyorsan elfoghatják vagy leállíthatják a támadókat.
Strukturálatlan: A strukturálatlan keresésekben a veszélyforrás-kereső egy fertőzöttségi mutatót (IOC) keres, és abból a kiindulási pontból végzi a keresést. Mivel a veszélyforrás-kereső visszaléphet és az előzményadatokban is kereshet mintákat és nyomokat, a strukturálatlan keresések néha korábban nem észlelt fenyegetéseket is azonosíthatnak, amelyek továbbra is veszélyeztethetik a szervezetet.
Szituációs: A szituációs veszélyforrás-keresés a digitális ökoszisztémán belül meghatározott erőforrásokat vagy adatokat helyez előtérbe. Ha egy szervezet úgy találja, hogy bizonyos alkalmazottak vagy objektumok jelentik a legnagyobb kockázatot, a kiberveszélyforrás-keresőket irányíthatja úgy, hogy ezekre a sebezhető személyekre, adatkészletekre vagy végpontokra, illetve az ellenük irányuló támadások megelőzésére vagy orvoslására összpontosítsák az erőfeszítéseiket.
A veszélyforrás-keresés lépései és megvalósítása
A kiberveszélyforrás-keresők gyakran ezeket az alapvető lépéseket követik a fenyegetések és támadások kivizsgálása és elhárítása során:
- Elmélet vagy hipotézis felállítása egy lehetséges fenyegetésről. A veszélyforrás-keresők kezdhetnek azzal, hogy azonosítják a támadó gyakori TTP-it.
- Kutatás. A veszélyforrás-keresők megvizsgálják a szervezet adatait, rendszereit és tevékenységeit – egy SIEM-megoldás hasznos eszköz lehet –, és összegyűjtik és feldolgozzák a releváns információkat.
- Az kiváltó azonosítása. A kutatás eredményei és egyéb biztonsági eszközök segíthetnek a veszélyforrás-keresőknek behatárolni a vizsgálatuk kiindulási pontját.
- A fenyegetés kivizsgálása. A veszélyforrás-keresők a kutatási és biztonsági eszközeik segítségével állapítják meg, hogy a fenyegetés rosszindulatú-e.
- Válasz és szervizelés. A veszélyforrás-keresők intézkednek a fenyegetés elhárítására.
A veszélyforrás-keresők által észlelhető fenyegetéstípusok
A kiberveszélyforrás-keresés számos különböző fenyegetés azonosítására képes, között az alábbiakéra:
- Kártevők és vírusok: KártevőkA kártevők a végponteszközökhöz való jogosulatlan hozzáférés révén akadályozzák meg a normál eszközök használatát. AdathalászatAz adathalász támadások, kémprogramok, kártevők, trójai programok, férgek és zsarolóprogramok mind kártevők. A vírusok, ami a kártevők leggyakoribb formája, úgy lettek kialakítva, hogy zavarják az eszközök normál működését azáltal, hogy rögzítik, károsítják vagy törlik az adataikat, mielőtt a hálózaton lévő más eszközökre átterjednének.
- Belső fenyegetések: A belső fenyegetések a szervezet hálózatához jogosult hozzáféréssel rendelkező személyektől származnak. Akár rosszindulatú tettek, akár szándékolatlan vagy gondatlan viselkedés révén ezek a belső felhasználók visszaéléseket követnek el vagy kárt okoznak a szervezet hálózataiban, adataiban, rendszereiben vagy létesítményeiben.
- Emelt szintű állandó fenyegetések: Azok a kifinomult szereplők, akik feltörik egy szervezet hálózatát és egy ideig észrevétlenek maradnak, emelt szintű állandó fenyegetéseket jelentenek. Ezek a támadók jól képzettek, és gyakran sok erőforrással rendelkeznek.
Pszichológiai manipulációs támadások: A kiberbűnözők manipuláció és megtévesztés révén félrevezethetik a szervezet alkalmazottait, hogy azoktól hozzáférést vagy bizalmas információkat szerezzenek meg. A gyakori pszichológiai manipulációs támadások közé tartozik az adathalászat, a csalizás és az ál-vírusirtó szoftverek.
A kiberveszélyforrás-keresés ajánlott eljárásai
A szervezetében a kiberveszélyforrás-keresési protokollok bevezetésekor tartsa szem előtt az alábbi ajánlott eljárásokat:
- Biztosítson a veszélyforrás-keresőknek teljes körű rálátást a szervezetre. A veszélyforrás-keresők akkor a leghatékonyabbak, ha tisztában vannak a teljes képpel.
- Alkalmazzon kiegészítő biztonsági eszközöket, mint például SIEM, XDR és EDR. A kiberveszélyforrás-keresők az ilyen eszközök által biztosított automatizálásokra és adatokra támaszkodnak a fenyegetések gyorsabb azonosításában, és tágabb kontextusban azok gyorsabb megoldásában.
- Maradjon naprakész a legújabb fenyegetésekkel és taktikákkal kapcsolatban. A támadók és a taktikáik folyamatosan fejlődnek; ügyeljen rá, hogy a veszélyforrás-keresők rendelkezzenek a legfrissebb forrásokkal az aktuális trendekhez.
- Tanítsa be az alkalmazottakat a gyanús viselkedések azonosítására és jelentésére. Csökkentse a belső fenyegetések lehetőségét az emberei tájékoztatásával.
- Valósítson meg biztonságirés-kezelést a szervezete általános kockázati kitettségének csökkentése érdekében.
Miért fontos a veszélyforrás-keresés a szervezetek számára?
Ahogy a rosszindulatú szereplők támadási módszerei egyre kifinomultabbá válnak, elengedhetetlenné válik, hogy a szervezetek proaktív kiberveszélyforrás-keresésbe fektessenek be. A veszélyforrások elleni védelem passzívabb formái kiegészítéseként a kiberveszélyforrás-keresés betölti a biztonsági hézagokat, lehetővé téve a szervezetek számára az olyan fenyegetések kijavítását, amelyek egyébként észrevétlenek maradnának. A komplex támadóktól érkező egyre intenzívebb fenyegetések azt jelentik, hogy a szervezeteknek meg kell erősíteniük a védelmüket, hogy megőrizzék a bizalmat a bizalmas adatok kezelésére való képességükben, valamint hogy csökkenteni tudják a biztonsági incidensekkel kapcsolatos költségeiket.
A Microsoft Sentinel és a hasonló termékek segíthetnek a fenyegetések előtt járni az előzményadatokat felhőszintű gyűjtése, tárolása és elérése, a vizsgálatok egyszerűsítése, valamint a gyakori feladatok automatizálása révén. Ezek a megoldások hatékony eszközöket biztosítanak a kiberveszélyforrás-keresőknek, amelyek segítenek a szervezete védettségének megőrzésében.
További információ a Microsoft Biztonságról
Microsoft Sentinel
Az intelligens biztonsági elemzéssel a teljes vállalatra kiterjedően észlelheti és megállíthatja a veszélyforrásokat.
Microsoft Defender Hibakeresés-szakértők
Terjessze ki a végponton túlra is a proaktív veszélyforrás-keresést.
Microsoft Defender Intelligens veszélyforrás-felderítés
Megvédheti a szervezetét a modern támadóktól és veszélyforrásoktól, például a zsarolóprogramoktól.
SIEM és XDR
Észlelje, vizsgálja ki és hárítsa el a fenyegetéseket a teljes digitális eszközközpontban.
Gyakori kérdések
-
A kiberveszélyforrás-keresés egyik példája a hipotézisalapú keresés, amelyben a veszélyforrás-kereső azonosítja a támadó által esetlegesen használható gyanús taktikákat, technikákat és eljárásokat, majd bizonyítékokat keres ezekre a szervezet hálózatán belül.
-
A fenyegetésészlelés a kiberbiztonság aktív, gyakran automatizált megközelítése, míg a veszélyforrás-keresés proaktív, nem automatizált megközelítés.
-
A biztonsági üzemeltetési központ (SOC) egy helyszíni vagy kiszervezett központosított funkció vagy csapat, amely a szervezet kiberbiztonsági helyzetének javításáért, valamint a fenyegetések megelőzéséért, észleléséért és elhárításáért felelős. A kiberveszélyforrás-keresés a SOC által a fenyegetések azonosítására és elhárítására használt egyik taktika.
-
A kiberveszélyforrás-keresési eszközök az informatikai csapatok és a veszélyforrás-keresők számára elérhető szoftveres erőforrások, amelyek segítenek a fenyegetések észlelésében és elhárításában. A veszélyforrás-keresési eszközök közé sorolható például a víruskereső és tűzfalvédelem, az EDR-szoftverek, a SIEM-eszközök és az adatelemzés.
-
A kiberveszélyforrás-keresés fő célja a kifinomult fenyegetések és támadások proaktív észlelése és elhárítása, mielőtt azok kárt okoznának a szervezetnek.
-
Intelligens kiberveszély-felderítés Az intelligens kiberveszély-felderítés a kiberbiztonsági szoftverek által gyakran a biztonsági protokolljaik részeként automatikusan gyűjtött információk és adatok, amelyek révén hatékonyabb védelmet biztosítanak a kibertámadások ellen. A veszélyforrás-keresés magában foglalja az intelligens veszélyforrás-felderítésből gyűjtött információk összegyűjtését és azok felhasználását a fenyegetések keresésére és elhárítására szolgáló hipotézisek és műveletek tájékoztatására.
A Microsoft Biztonság követése