Trace Id is missing
Pāriet uz galveno saturu
Microsoft drošība

Kas ir kiberdraudu medīšana?

Kiberdraudu medīšana ir process, kurā tiek proaktīvi meklēti nezināmi vai nenoteikti apdraudējumi organizācijas tīklā, galapunktos un datos.

Kā darbojas kiberdraudu medīšana

Kiberdraudu medīšana izmanto draudu medniekus, lai sākotnēji meklētu iespējamos apdraudējumus un uzbrukumus sistēmā vai tīklā. Tas ļauj ātri un efektīvi reaģēt uz arvien sarežģītākiem, cilvēku vadītiem kiberuzbrukumiem. Lai gan tradicionālās kiberdrošības metodes drošības pārkāpumus identificē pēc fakta, kiberdraudu medīšana darbojas, pieņemot, ka pārkāpums ir noticis, un var identificēt, pielāgoties un reaģēt uz potenciālo apdraudējumu uzreiz pēc atklāšanas.

Inteliģenti uzbrucēji var uzlauzt organizāciju un palikt neatklāti ilgu laiku — dienas, nedēļas vai pat ilgāk. Kiberdraudu medīšanas pievienošana esošajam drošības rīku profilam, piemēram, galapunktu noteikšanai un reaģēšanai (EDR) un drošības informācijas un notikumu pārvaldībai (SIEM), var palīdzēt novērst un koriģēt uzbrukumus, kurus pretējā gadījumā automatizētie drošības rīki varētu neatklāt.

Automatizēta draudu medīšana

Kiberdraudu mednieki var automatizēt noteiktus procesa aspektus, izmantojot mašīnmācīšanos, automatizāciju un AI. Tādu risinājumu kā SIEM un EDR izmantošana var palīdzēt draudu medniekiem racionalizēt medību procedūras, uzraugot, atklājot iespējamos draudus un reaģējot uz tiem. Draudu mednieki var izveidot un automatizēt dažādas rokasgrāmatas, lai reaģētu uz dažādiem apdraudējumiem, tādējādi atvieglojot IT komandu slogu, kad rodas līdzīgi uzbrukumi.

Kiberdraudu medīšanas rīki un metodes

Draudu mednieku rīcībā ir daudz rīku, tostarp tādi risinājumi kā SIEM un paplašinātā atklāšana un reaģēšana (XDR), kas ir izstrādāti, lai tos izmantotu kopā.

  • SIEM: Risinājums, kas apkopo datus no vairākiem avotiem, izmantojot reāllaika analīzi — SIEM var sniegt draudu medniekiem norādes par iespējamiem draudiem.
  • Paplašinātā atklāšana un reaģēšana (XDR): Draudi mednieki var izmantot XDR, kas nodrošina draudu informāciju un automatizētu uzbrukumu pārtraukšanu, lai panāktu lielāku apdraudējumu redzamību.
  • Galapunktu atklāšana un reaģēšana: Galapunktu atklāšana un reaģēšana (EDR), kas pārrauga lietotāju ierīces, arī nodrošina draudu medniekiem jaudīgu rīku, sniedzot viņiem ieskatu par iespējamiem draudiem visos organizācijas galapunktos.

Trīs veidu kiberdraudu medīšana

Kiberdraudu medīšana parasti notiek kādā no šīm trīs formām:

Strukturētā: Strukturētās medībās draudu mednieki meklē aizdomīgu taktiku, paņēmienus un procedūras (TTP), kas liecina par iespējamiem draudiem. Tā vietā, lai piekļūtu datiem vai sistēmai un meklētu pārkāpējus, draudu mednieks izveido hipotēzi par potenciālā uzbrucēja metodi un metodiski strādā, lai identificētu šī uzbrukuma simptomus. Tā kā strukturētās medības ir aktīvāka pieeja, IT speciālisti, kuri izmanto šo taktiku, bieži var ātri pārtvert vai apturēt uzbrucējus.

Nestrukturētā: Nestrukturētās medībās kiberdraudu mednieks meklē apdraudējuma rādītāju (IoC) un veic meklēšanu no šī sākuma punkta. Tā kā draudu mednieks var atgriezties un meklēt vēsturiskos datos modeļiem un norādēm, nestrukturētas medības dažkārt var identificēt iepriekš neatklātus draudus, kas joprojām var apdraudēt organizāciju.

Situacionālā: Situacionālā draudu medīšana prioritizē konkrētus resursus vai datus digitālajā ekosistēmā. Ja organizācija novērtē, ka konkrēti darbinieki vai resursi ir visvairāk apdraudēti, tā var likt kiberdraudu medniekiem koncentrēt pūles, novērst vai koriģēt uzbrukumus šiem neaizsargātajiem cilvēkiem, datu kopām vai galapunktiem.

Draudu medīšanas soļi un ieviešana

Kiberdraudu mednieki bieži veic tālāk norādītās pamatdarbības, izmeklējot un koriģējot apdraudējumus un uzbrukumus:

  1. Izveido pieņēmumu vai hipotēzi par iespējamu apdraudējumu. Draudu mednieki var sākt, identificējot uzbrucēja izplatīto taktiku, paņēmienus un procedūras (TTP).
  2. Veic izpēti. Draudu mednieki pēta organizācijas datus, sistēmas un darbības — SIEM risinājums var būt noderīgs rīks — un apkopo un apstrādā attiecīgo informāciju.
  3. Identificē trigeri. Izpētes rezultāti un citi drošības rīki var palīdzēt draudu medniekiem noteikt izmeklēšanas sākumpunktu.
  4. Izpēta apdraudējumu. Draudu mednieki izmanto savus izpētes un drošības rīkus, lai noteiktu, vai apdraudējums ir ļaunprātīgs.
  5. Reaģē un koriģē. Draudu mednieki veic darbības, lai novērstu apdraudējumu.

Draudu veidi, ko mednieki var atklāt

Kiberdraudu medīšana spēj identificēt plašu dažādu apdraudējumu klāstu, tostarp šādus:

  • Ļaunprogrammatūra un vīrusi: Ļaunprogrammatūra kavē parasto ierīču izmantošanu, iegūstot nesankcionētu piekļuvi galapunkta ierīcēm. Pikšķerēšanas uzbrukumi, spiegprogrammatūra, reklāmprogrammatūra, Trojas zirgi, tārpi un izspiedējprogrammatūra ir ļaunprogrammatūras piemēri. Vīrusi, daži no izplatītākajiem ļaunprātīgas programmatūras veidiem, ir paredzēti, lai traucētu ierīces normālu darbību, ierakstot, sabojājot vai dzēšot tās datus, pirms tie tiek izplatīti citās tīkla ierīcēs.
  • Iekšējie draudi: Iekšējo draudu pamatā ir personas ar autorizētu piekļuvi organizācijas tīklam. Neatkarīgi no tā, vai tā ir ļaunprātīga darbība, netīša vai nolaidīga rīcība, šīs iekšējās personas ļaunprātīgi izmanto vai nodara kaitējumu organizācijas tīkliem, datiem, sistēmām vai iekārtām.
  • Komplicēts pastāvīgais apdraudējums: Inteliģenti aktori, kas pārkāpj organizācijas tīklu un kādu laiku paliek nepamanīti, rada komplicētu pastāvīgo apdraudējumu. Šie uzbrucēji ir prasmīgi un bieži vien ar labiem resursiem.
    Sociālās inženierijas uzbrukumi: Kiberuzbrucēji var izmantot manipulācijas un maldināšanu, lai maldinātu organizācijas darbiniekus, lai viņi sniegtu piekļuvi vai sensitīvu informāciju. Bieži sastopami sociālās inženierijas uzbrukumi ietver pikšķerēšanu, pievilināšanu un baidatūru.

 

Kiberdraudu medīšanas paraugprakse

Kad savā organizācijā ieviešat kiberdraudu medīšanas protokolu, ņemiet vērā tālāk norādīto paraugpraksi:

  • Sniedziet draudu medniekiem pilnīgu redzamību savā organizācijā. Draudi mednieki darbojas visefektīvāk, kad viņi saprot kopainu.
  • Uzturiet papildu drošības rīkus, piemēram, SIEM, XDR un EDR. Kiberdraudu mednieki paļaujas uz automatizāciju un datiem, ko nodrošina šie rīki, lai ātrāk un plašākā kontekstā identificētu draudus ātrākai to atrisināšanai.
  • Esiet informēts par jaunākajiem draudiem un taktikām. Uzbrucēji un viņu taktika nepārtraukti attīstās — pārliecinieties, ka jūsu draudu medniekiem ir visjaunākie resursi par pašreizējām tendencēm.
  • Apmāciet darbiniekus identificēt aizdomīgu darbību un ziņot par to. Samaziniet iekšējo draudu iespējamību, informējot lietotājus.
  • Ieviesiet ievainojamības pārvaldību, lai samazinātu jūsu organizācijas vispārējo pakļautību riskiem.

Kāpēc draudu medīšana ir svarīga organizācijām

Ļaunprātīgie aktori kļūst arvien inteliģentāki savās uzbrukuma metodēs, un organizācijām ir ļoti svarīgi ieguldīt proaktīvā kiberdraudu medīšanā. Papildinot pasīvākus pretdraudu aizsardzības veidus, kiberdraudu medīšana novērš drošības nepilnības, ļaujot organizācijām koriģēt draudus, kas citādi netiktu atklāti. Sarežģītu uzbrucēju radīto draudu pastiprināšanās nozīmē, ka organizācijām ir jāpastiprina sava aizsardzība, lai saglabātu uzticību savām spējām apstrādāt sensitīvus datus un samazinātu izmaksas, kas saistītas ar drošības pārkāpumiem.

Produkti, piemēram, Microsoft Sentinel, var palīdzēt novērst apdraudējumus, apkopojot, saglabājot un piekļūstot vēsturiskiem datiem mākoņa mērogā, racionalizējot izmeklēšanu un automatizējot bieži veicamus uzdevumus. Šie risinājumi var nodrošināt kiberdraudu medniekus ar jaudīgiem rīkiem, lai palīdzētu aizsargāt jūsu organizāciju.

Papildinformācija par Microsoft drošību

Microsoft Sentinel

Izmantojot intelektiskas drošības analīzi, skatiet un apturiet apdraudējumus visā savā uzņēmumā.

Papildinformācija

Microsoft Defender medību eksperti

Izvērsiet proaktīvu draudu medīšanu, kas sniedzas tālāk par galapunktu.

Papildinformācija

Microsoft Defender draudu informācija

Palīdziet aizsargāt savu organizāciju pret mūsdienu kaitniekiem un tādiem draudiem kā izspiedējprogrammatūra.

Papildinformācija

SIEM un XDR

Nosakiet, izmeklējiet apdraudējumus un reaģējiet uz tiem visā digitālajā īpašumā.

Papildinformācija

Bieži uzdotie jautājumi

  • Kiberdraudu medīšanas piemērs ir uz hipotēzēm balstītas medības, kurās draudu mednieks identificē iespējamo taktiku, paņēmienus un procedūras, ko uzbrucējs varētu izmantot, un pēc tam meklē pierādījumus par tiem organizācijas tīklā.

  • Draudu noteikšana ir aktīva, bieži vien automatizēta pieeja kiberdrošībai, bet draudu medīšana ir proaktīva pieeja, kas nav automatizēta.

  • Drošības operāciju centrs (SOC) ir centralizēta funkcija vai darba grupa, kas atrodas uz vietas vai ir ārpakalpojums, un ir atbildīga par organizācijas kiberdrošības stāvokļa uzlabošanu un draudu novēršanu, noteikšanu un reaģēšanu uz tiem. Kiberdraudu medīšana ir viena no taktikām, ko SOC izmanto, lai identificētu un koriģētu draudus.

  • Kiberdraudu medīšanas rīki ir programmatūras resursi, kas pieejami IT komandām un draudu medniekiem, lai palīdzētu atklāt un koriģēt draudus. Draudu medīšanas rīku piemēri ietver tādas lietas kā pretvīrusu un ugunsmūra aizsardzība, EDR programmatūra, SIEM rīki un datu analīze.

  • Kiberdraudu medīšanas galvenais mērķis ir proaktīvi atklāt un koriģēt sarežģītus draudus un uzbrukumus, pirms tie kaitē organizācijai.

  • Kiberdraudu informācija ir informācija un dati, ko kiberdrošības programmatūra apkopo, bieži vien automātiski, kā daļu no saviem drošības protokoliem, lai labāk aizsargātos pret kiberuzbrukumiem. Draudu medīšana ietver no draudu informācijas iegūtās informācijas ņemšanu un izmantošanu, lai informētu par hipotēzēm un darbībām, un tādējādi meklētu un koriģētu draudus.

Sekot Microsoft drošībai