Trace Id is missing
Gå til hovedinnhold
Microsoft Sikkerhet

Hva er trusseloppdagelse og -respons (TDR)?

Finn ut hvordan du beskytter organisasjonens ressurser ved proaktivt å identifisere og redusere risikoer for cybersikkerhet med trusseloppdagelse og -respons.

Oppdag Microsoft XDR-løsningen

Trusseloppdagelse og -respons (TDR) definert

Trusseloppdagelse og -respons er en cybersikkerhetsprosess for å identifisere datatrusler mot en organisasjons digitale ressurser, og iverksette tiltak for å redusere dem så raskt som mulig.

Hvordan fungerer trusseloppdagelse og -respons?

For å håndtere datatrusler og andre sikkerhetsproblemer, har mange organisasjoner konfigurert et sikkerhetsoperasjonssenter (SOC), som er en sentralisert funksjon eller et team som er ansvarlig for å forbedre organisasjonens cybersikkerhet og forhindre, oppdage og svare på trusler. I tillegg til å overvåke og svare på pågående cyberangrep, gjør en SOC også proaktivt arbeid for å identifisere nye datatrusler og organisatoriske sårbarheter. De fleste SOC-team, som kan være på stedet eller outsourcet, opererer døgnet rundt, sju dager i uken.

SOC bruker trusselinformasjon og teknologi til å avdekke et forsøk på, vellykket eller pågående brudd. Når en datatrussel er identifisert, vil sikkerhetsteamet bruke trusseloppdagelses- og responsverktøy for å eliminere eller redusere problemet.

Trusseloppdagelse og -respons omfatter vanligvis følgende faser:

  • Oppdagelse. Sikkerhetsverktøy som overvåker endepunkter, identiteter, nettverk, apper og skyer, bidrar til å avdekke risikoer og potensielle brudd. Sikkerhetseksperter bruker også jaktteknikker for datatrusler til å avdekke sofistikerte datatrusler som unngår oppdagelse.
  • Etterforskning. Når en risiko er identifisert, bruker SOC AI og andre verktøy for å bekrefte at datatrusselen er reell, fastslå hvordan den skjedde og vurdere hvilke firmaressurser som påvirkes.
  • Begrensning. For å stoppe spredning av et cyberangrep isolerer nettsikkerhetsteam og automatiserte verktøy infiserte enheter, identiteter og nettverk fra resten av organisasjonens ressurser.
  • Utrydding. Team eliminerer hovedårsaken til en sikkerhetshendelse med mål om å utestenge den dårlige aktøren fullstendig fra miljøet. De reduserer også sårbarheter som kan sette organisasjonen i fare for et lignende cyberangrep.
  • Gjenoppretting. Etter at teamene er rimelig sikre på at en datatrussel eller sårbarhet har blitt fjernet, bringer de alle isolerte systemer tilbake på nettet.
  • Rapport. Avhengig av hvor alvorlig hendelsen er, vil sikkerhetsteamene dokumentere og informere ledere, direktører og/eller styret om hva som skjedde, og hvordan det ble løst.
  • Risikoreduksjon. For å forhindre at et lignende brudd skjer igjen og for å forbedre responsen i fremtiden, studerer team hendelsen og identifiserer endringer som skal gjøres i miljøet og prosessene.

Hva er trusseloppdagelse?

Identifisering av datatrusler har blitt stadig vanskeligere ettersom organisasjoner har utvidet sitt skyfotavtrykk, koblet flere enheter til Internett og gått over til en hybrid arbeidsplass. Dårlige aktører drar nytte av dette utvidede overflateområdet og fragmenteringen i sikkerhetsverktøy med følgende taktikktyper:

  • Phishing-kampanjer. En av de vanligste måtene dårlige aktører infiltrerer et selskap på, er ved å sende e-postmeldinger som lurer ansatte til å laste ned skadelig kode eller oppgi legitimasjonen sin.
  • Skadelig programvare. Mange cyberangripere distribuerer programvare som er utformet for å skade datamaskiner og systemer, eller samle inn sensitiv informasjon.
  • Løsepengevirus. Løsepengevirusangripere er en type skadelig programvare, de holder kritiske systemer og data som gisler, truer med å frigi private data eller stjele skyressurser for å utvinne bitcoin helt til løsepenger betales. Nylig har menneskelig drevet løsepengevirus, der en gruppe cyberangripere får tilgang til hele organisasjonens nettverk, blitt et økende problem for sikkerhetsteam.
  • DDoS-angrep (Distributed Denial-of-Service). Ved hjelp av en serie roboter forstyrrer dårlige aktører et nettsted eller en tjeneste ved å oversvømme det med trafikk.
  • Interne trusler. Ikke alle datatrusler kommer fra utenfor en organisasjon. Det er også en risiko for at klarerte personer med tilgang til sensitive data utilsiktet eller ondsinnet kan skade organisasjonen.
  • Identitetsbaserte angrep. De fleste brudd involverer kompromitterte identiteter, som er når cyberangripere stjeler eller gjetter brukerlegitimasjon og bruker den til å få tilgang til organisasjonens systemer og data.
  • Tingenes Internett (IoT)-angrep. IoT-enheter er også sårbare for cyberangrep, spesielt eldre enheter som ikke har de innebygde sikkerhetskontrollene som moderne enheter har.
  • Angrep på forsyningskjeder. Noen ganger retter en dårlig aktør seg mot en organisasjon ved å tukle med programvare eller maskinvare som leveres av en tredjepartsleverandør.
  • Kodeinjeksjon. Ved å utnytte sårbarheter i hvordan kildekode håndterer eksterne data, injiserer nettkriminelle skadelig kode i et program.

Oppdage trusler.
For å komme i forkant av økende cybersikkerhetsangrep bruker organisasjoner trusselmodellering til å definere sikkerhetskrav, identifisere sårbarheter og risikoer og prioritere utbedring. Ved hjelp av hypotetiske scenarioer prøver SOC å trenge inn i tankene til nettkriminelle, slik at de kan forbedre organisasjonens evne til å forhindre eller redusere sikkerhetshendelser. MITRE ATT&CK®-rammeverket er en nyttig modell for å forstå vanlige teknikker og taktikker for cyberangrep.

Et forsvar med flere lag krever verktøy som gir kontinuerlig sanntidsovervåking av miljøet og viser potensielle sikkerhetsproblemer. Løsninger må også overlappe hverandre, slik at hvis én oppdagelsesmetode er kompromittert, vil en annen oppdage problemet og varsle sikkerhetsteamet. Løsninger for oppdagelse av datatrusler bruker en rekke metoder for å identifisere trusler, inkludert:

  • Signaturbasert oppdagelse. Mange sikkerhetsløsninger skanner programvare og trafikk for å identifisere unike signaturer, som er knyttet til en bestemt type skadelig programvare.
  • Virkemåtebasert oppdagelse. Sikkerhetsløsninger ser også etter handlinger og atferd som er vanlige i cyberangrep, for å hjelpe til med å fange opp nye og kommende datatrusler.
  • Avviksbasert oppdagelse. AI og analyse hjelper team med å forstå de typiske atferdene til brukere, enheter og programvare, slik at de kan identifisere noe uvanlig som kan indikere en datatrussel.

Selv om programvare er avgjørende, spiller mennesker en like viktig rolle i oppdagelse av datatrusler. I tillegg til å sortere og undersøke systemgenererte varsler, bruker analytikere jaktteknikker for datatrusler til proaktivt å søke etter indikasjoner på kompromiss, eller de ser etter taktikker, teknikker og prosedyrer som antyder en potensiell trussel. Disse tilnærmingene hjelper SOC med raskt å avdekke og stoppe sofistikerte angrep som er vanskelige å oppdage

Hva er trusselrespons?

Etter at en troverdig datatrussel er identifisert, inkluderer trusselresponsen alle handlinger som SOC utfører for å begrense og eliminere den, komme seg og redusere sjansen for at et lignende angrep vil skje igjen. Mange selskaper utvikler en plan for hendelsesrespons for å veilede dem under et potensielt brudd, når det er avgjørende å være organisert og handle raskt. En god responsplan for hendelser inkluderer strategiplaner med trinnvis veiledning for spesifikke typer trusler, roller og ansvar, samt en kommunikasjonsplan.

Komponenter for trusseloppdagelse og -respons

Organisasjoner bruker en rekke verktøy og prosesser til effektivt å oppdage og reagere på trusler.

  • Utvidet oppdagelse og svar

    Produkter for utvidet oppdagelse og respons (XDR) hjelper SOC-er med å forenkle hele livssyklusen for forebygging, oppdagelse og respons på datatrusler. Disse løsningene overvåker endepunkter, skyapper, e-post og identiteter. Hvis en XDR-løsning oppdager en datatrussel, varsler den sikkerhetsteam og svarer automatisk på bestemte hendelser, basert på kriterier som SOC definerer.

  • Oppdagelse og respons på identitetstrusler

    Fordi dårlige aktører ofte retter seg mot ansatte, er det viktig å få på plass verktøy og prosesser for å identifisere og svare på trusler mot organisasjonens identiteter. Disse løsningene bruker vanligvis bruker- og enhetsatferdsanalyse (UEBA) til å definere grunnleggende brukeratferd, og avdekke avvik som representerer en potensiell trussel.

  • Administrasjon av sikkerhetsinformasjon og -hendelser

    Å få innsyn i hele det digitale miljøet er trinn én for å forstå trussellandskapet. De fleste SOC-team bruker løsninger for administrasjon av sikkerhetsinformasjon og -hendelser (SIEM), som samler og korrelerer data på tvers av endepunkter, skyer, e-postmeldinger, apper og identiteter. Disse løsningene bruker oppdagelsesregler og strategier til å vise potensielle datatrusler ved å korrelere logger og varsler. Moderne SIEM-er bruker også kunstig intelligens til å avdekke datatrusler mer effektivt, og de inkluderer feeder for ekstern trusselinformasjon, slik at de kan identifisere nye og kommende datatrusler.

  • Trusselinformasjon

    For å få en omfattende oversikt over datatrussellandskapet, bruker SOC-er verktøy som syntetiserer og analyserer data fra en rekke kilder, inkludert endepunkter, e-post, skyapper og eksterne trusselinformasjonkilder. Innsikt fra disse dataene hjelper sikkerhetsteam med å forberede seg på et cyberangrep, oppdage aktive datatrusler, undersøke pågående sikkerhetshendelser og reagere effektivt.

  • Endepunktoppdagelse og -svar

    Løsninger for endepunktoppdagelse og -svar (EDR) er en tidligere versjon av XDR-løsninger, som bare fokuserer på endepunkter, for eksempel datamaskiner, servere, mobile enheter og IoT. I likhet med XDR-løsninger, genererer disse løsningene et varsel når et potensielt angrep oppdages, og reagerer automatisk for visse godt forståtte angrep. Fordi EDR-løsninger bare fokuserer på endepunkter, overfører de fleste organisasjoner til XDR-løsninger.

  • Håndtering av trusler og sikkerhetsproblemer

    Håndtering av trusler og sikkerhetsproblemer er en kontinuerlig, proaktiv og ofte automatisert prosess som overvåker datasystemer, nettverk og bedriftsprogrammer for sikkerhetssvakheter. Løsninger for håndtering av trusler og sikkerhetsproblemer vurderer sårbarheter for alvorlighetsgrad og risikonivå, og leverer rapportering som SOC bruker til å løse problemer.

  • Sikkerhetsordninger, automatisering og respons

    Løsninger for sikkerhetsordninger, automatisering og respons (SOAR) bidrar til å forenkle oppdagelse og respons av datatrusler, ved å samle interne og eksterne data og verktøy på ett sentralisert sted. De automatiserer også svar på datatrusler basert på et sett med forhåndsdefinerte regler.

  • Administrert oppdagelse og svar

    Ikke alle organisasjoner har ressurser til effektivt å oppdage og svare på datatrusler. Administrerte oppdagelses- og responstjenester hjelper disse organisasjonene med å forbedre sikkerhetsteamene sine med verktøyene og personene, som er nødvendige for å jakte på trusler og reagere på riktig måte.

Viktige fordeler ved trusseloppdagelse og -respons

Det finnes flere måter effektiv trusseloppdagelse og respons kan hjelpe en organisasjon med å forbedre sin robusthet og minimere virkningen av brudd.

  • Tidlig trusseloppdagelse

    Å stoppe datatrusler før de blir et fullstendig brudd, er en viktig måte å dramatisk redusere virkningen av en hendelse på. Med moderne trusseloppdagelses- og responsverktøy og et dedikert team, øker SOC-ene sannsynligheten for at de vil avdekke trusler tidlig når de er enklere å håndtere.

  • Overholdelse av regelverk

    Land og områder fortsetter å innføre strenge personvernlover som krever at organisasjoner har robuste datasikkerhetstiltak på plass, og en detaljert prosess for å svare på sikkerhetshendelser. Selskaper som ikke overholder disse reglene, konfronteres med strenge bøter. Et trusseloppdagelses- og responsprogram hjelper organisasjoner med å oppfylle kravene i disse lovene.

  • Redusert oppholdstid

    Vanligvis er de mest skadelige cyberangrepene fra hendelser der nettangriperne oppholdt seg lengst uten å oppdages i et digitalt miljø. Det er avgjørende å redusere tiden som går uten at man oppdages, eller oppholdstid, for å begrense skaden. Trusseloppdagelse og responsprosesser som trusseljakt, hjelper SOC-er med å fange opp disse dårlige aktørene raskt og begrense innvirkningen deres.

  • Forbedret synlighet

    Trusseloppdagelses- og responsverktøy, for eksempel SIEM og XDR, bidrar til å gi sikkerhetsoperasjonsteamene større synlighet over miljøet, slik at de ikke bare identifiserer trusler raskt, men også avdekker potensielle sårbarheter, for eksempel utdatert programvare, som må håndteres.

  • Beskyttelse av sensitive data

    For mange organisasjoner er data en av de viktigste ressursene. De riktige trusseloppdagelses- og responsverktøyene og -prosedyrene hjelper sikkerhetsteam med å fange opp dårlige aktører før de får tilgang til sensitive data, noe som reduserer sannsynligheten for at denne informasjonen blir offentlig eller selges på det mørke nettet.

  • Proaktiv sikkerhetsstilling

    Trusseloppdagelse og -respons belyser også kommende trusler, og kaster lys over hvordan dårlige aktører kan få tilgang til bedriftens digitale miljø. Med denne informasjonen kan SOC-er styrke organisasjonen og forhindre fremtidige angrep.

  • Kostnadsbesparelser

    Et vellykket cyberangrep kan være svært dyrt for en organisasjon når det gjelder de faktiske pengene som brukes på løsepenger, forskriftsmessige avgifter eller gjenopprettingsarbeid. Det kan også føre til tapt produktivitet og salg. Ved å oppdage trusler raskt og svare i de tidlige fasene av et cyberangrep, kan organisasjoner redusere kostnadene for sikkerhetshendelser.

  • Omdømmeadministrasjon

    Et høyt profilbasert databrudd kan gjøre mye skade på et selskap eller myndighetenes omdømme. Folk mister tro på institusjoner som de ikke synes gjør en god jobb med å beskytte personlige opplysninger. Trusseloppdagelse og -respons kan bidra til å redusere sannsynligheten for en hendelse som har nyhetsverdi, og forsikre kunder, innbyggere og andre interessenter om at personlige opplysninger er beskyttet.

Anbefalte fremgangsmåter for trusseloppdagelse og -respons

Organisasjoner som er effektive når det gjelder trusseloppdagelse og -respons, deltar i fremgangsmåter som hjelper team med å samarbeide og forbedre tilnærmingen sin, noe som fører til færre og mindre kostbare cyberangrep.

  • Gjennomfør regelmessig opplæring

    Selv om SOC-teamet bærer det største ansvaret for å sikre en organisasjon, har alle i et selskap en rolle å spille. Et flertall av sikkerhetshendelser begynner med at en ansatt faller for en phishing-kampanje, eller bruker en enhet som ikke er godkjent. Regelmessig opplæring hjelper arbeidsstyrken med å holde seg oppmerksom på mulige trusler, slik at de kan varsle sikkerhetsteamet. Et godt opplæringsprogram sørger også for at sikkerhetseksperter holder seg oppdatert på de nyeste verktøyene, policyene og prosedyrene for trusselrespons.

  • Legg en plan for svar på hendelser

    En sikkerhetshendelse er vanligvis en stor hendelse som krever at folk handler raskt for ikke bare å håndtere og gjenopprette, men for å gi nøyaktige oppdateringer til relevante interessenter. En hendelsesresponsplan fjerner noe av gjetningen ved å definere de riktige begrensnings-, utrydnings- og gjenopprettingstrinnene. Den gir også veiledning til personaladministrasjon, bedriftskommunikasjon, offentlige relasjoner, rådgivere og toppledere som må sørge for at ansatte og andre interessenter vet hva som skjer, og at organisasjonen overholder relevante forskrifter.

  • Fremme sterkt samarbeid

    Å holde deg i forkant av kommende trusler og koordinere en effektiv respons, krever godt samarbeid og kommunikasjon mellom sikkerhetsteammedlemmer. Enkeltpersoner må forstå hvordan andre i teamet evaluerer trusler, sammenligner notater og samarbeider om potensielle problemer. Samarbeid gjelder også for andre avdelinger i firmaet, som kan bidra til å oppdage trusler eller bidra til å finne svar.

  • Distribuer kunstig intelligens

    Kunstig intelligens for cybersikkerhet syntetiserer data fra hele organisasjonen, og leverer innsikt som hjelper team med å fokusere tiden sin og raskt håndtere hendelser. Moderne SIEM- og XDR-løsninger bruker kunstig intelligens til å korrelere individuelle varsler i hendelser, noe som hjelper organisasjoner med å oppdage datatrusler raskere. Noen løsninger, for eksempel Microsoft Defender XDR, bruker kunstig intelligens til automatisk å forstyrre pågående cyberangrep. Generativ kunstig intelligens i løsninger som Microsoft Security Copilot, hjelper SOC-team med raskt å undersøke og svare på hendelser.

Løsninger for trusseloppdagelse og -respons

Trusseloppdagelse og -respons er en avgjørende funksjon, som alle organisasjoner kan bruke til å hjelpe dem med å finne og håndtere datatrusler før de forårsaker skade. Microsoft Sikkerhet tilbyr flere løsninger for trusselbeskyttelse for å hjelpe sikkerhetsteam med å overvåke, oppdage og svare på datatrusler. For organisasjoner med begrensede ressurser tilbyr Microsoft Defender Experts administrerte tjenester for å forbedre eksisterende ansatte og verktøy.

Mer informasjon om Microsoft Sikkerhet

Enhetlig plattform for sikkerhetsoperasjoner

Beskytt hele din digitale eiendom med en enhetlig oppdagelse, undersøkelse og responsopplevelse.

Mer informasjon

Microsoft Defender XDR

Få fart på responsen med synlighet på hendelsesnivå og automatiske angrepsavbrudd.

Mer informasjon

Microsoft Sentinel

Se og stopp datatrusler på tvers av hele bedriften med intelligent sikkerhetsanalyse.

Mer informasjon

Microsoft Defender Experts for XDR

Få hjelp til å stoppe angripere og forhindre fremtidig kompromiss med en administrert XDR-tjeneste.

Mer informasjon

Microsoft Defender Vulnerability Management

Reduser risikoene med kontinuerlig vurdering av sikkerhetsproblemer, risikobasert prioritering og utbedring.

Mer informasjon

Microsoft Defender for bedrifter

Beskytt små eller mellomstore bedrifter mot cyberangrep, for eksempel skadelig programvare og løsepengevirus.

Mer informasjon

Vanlige spørsmål

  • Avansert trusseloppdagelse inkluderer teknikkene og verktøyene som sikkerhetseksperter bruker til å avdekke avanserte vedvarende trusler, som er avanserte trusler som er utformet for å forbli uoppdaget over lengre tid. Disse truslene er ofte mer alvorlige og kan omfatte spionasje eller datatyveri.

  • De primære metodene for trusseloppdagelse er sikkerhetsløsninger, for eksempel SIEM eller XDR, som analyserer aktivitet på tvers av miljøet for å oppdage indikasjoner på kompromiss eller atferd som avviker fra det som forventes. Personer arbeider med disse verktøyene for å sortere og reagere på potensielle trusler. De bruker også XDR og SIEM til å jakte på sofistikerte angripere som kan unngå oppdagelse.

  • Trusseloppdagelse er prosessen med å avdekke potensielle sikkerhetsrisikoer, inkludert aktivitet som kan indikere at en enhet, programvare, et nettverk eller en identitet er kompromittert. Hendelsesrespons inkluderer trinnene som sikkerhetsteamet og automatiserte verktøy utfører, for å begrense og eliminere en datatrussel.

  • Trusseloppdagelses- og responsprosessen inkluderer:

    • Oppdagelse. Sikkerhetsverktøy som overvåker endepunkter, identiteter, nettverk, apper og skyer, bidrar til å avdekke risikoer og potensielle brudd. Sikkerhetseksperter bruker også jaktteknikker for datatrusler for å prøve å avdekke nye datatrusler.
    • Etterforskning. Når en risiko er identifisert, bruker personer kunstig intelligens og andre verktøy for å bekrefte at datatrusselen er reell, fastslå hvordan den skjedde og vurdere hvilke firmaressurser som påvirkes.
    • Begrensning. For å stoppe spredning av et cyberangrep isolerer cybersikkerhetsteam infiserte enheter, identiteter og nettverk fra resten av organisasjonens ressurser.
    • Utrydding. Teamene eliminerer den opprinnelige årsaken til en sikkerhetshendelse med mål om å utestenge motstanderen fullstendig fra miljøet, og redusere sårbarheter som kan sette organisasjonen i fare for et lignende cyberangrep.
    • Gjenoppretting. Etter at teamene er rimelig sikre på at en datatrussel eller sårbarhet har blitt fjernet, bringer de alle isolerte systemer tilbake på nettet.
    • Rapport. Avhengig av hvor alvorlig hendelsen er, vil sikkerhetsteamene dokumentere og informere ledere, direktører og/eller styret om hva som skjedde, og hvordan det ble løst.
    • Risikoreduksjon. For å forhindre at et lignende brudd skjer igjen og for å forbedre responsen i fremtiden, studerer team hendelsen og identifiserer endringer som skal gjøres i miljøet og prosessene.

  • TDR står for trusseloppdagelse og -respons, som er en prosess for å identifisere trusler mot cybersikkerhet for en organisasjon, og iverksette tiltak for å redusere disse truslene før de gjør reell skade. EDR står for endepunktoppdagelse og -respons, som er en kategori av programvareprodukter som overvåker organisasjonens endepunkter for potensielle cyberangrep, viser disse datatruslene til sikkerhetsteamet og svarer automatisk på visse typer cyberangrep.

Følg Microsoft 365