Trace Id is missing
Pređi na glavni sadržaj
Microsoft bezbednost

Šta je to otkrivanje pretnji i odgovor (TDR)?

Saznajte kako da zaštitite resurse organizacije proaktivnim identifikovanjem i ublažavanjem rizika kibernetičke bezbednost pomoću otkrivanja pretnji i odgovora.

Otkrijte Microsoft XDR rešenje

Definisano otkrivanje pretnji i odgovor (TDR)

Otkrivanje pretnji i odgovor je proces kibernetičke bezbednosti za identifikovanje kibernetičkih pretnji na digitalnim resursima organizacije i preduzimanje koraka za njihovo što brže ublaživanje.

Kako funkcioniše otkrivanje pretnji i odgovor?

Da bi rešile probleme kibernetičkih pretnji i druge bezbednosne probleme, mnoge organizacije postavljajucentar za bezbednosne operacije (SOC), koji predstavlja centralizovanu funkciju ili tim odgovoran za poboljšanje stanja kibernetičke bezbednosti organizacije i sprečavanje, otkrivanje i odgovaranje na pretnje. Pored nadgledanja i odgovaranja na tekućekibernetičke napade, SOC takođe proaktivno radi na identifikovanju novih kibernetičkih pretnji i ranjivosti organizacije. Većina SOC timova, koji mogu biti lokalni ili angažovani van organizacije, rade non-stop, sedam dana sedmično.

SOC koristi obaveštavanje o pretnjama, i tehnologiju za otkrivanje pokušaja, uspešnog ili u toku proboja. Kada se identifikuje kibernetička pretnja, bezbednosni tim će koristiti alatke za otkrivanje pretnji i odgovore da bi uklonio ili ublažio problem.

Otkrivanje pretnji i odgovor obično obuhvataju sledeće faze:

  • Otkrivanje. Bezbednosne alatke koje nadgledaju krajnje tačke, identitete, mreže, aplikacije i oblake pomažu u otkrivanju rizika i potencijalnih proboja. Stručnjaci za bezbednost takođe koristetehnike potrage za kibernetičkim pretnjama da otkriju sofisticirane kibernetičke pretnje koje izbegavaju otkrivanje.
  • Ispitivanje. Kada se identifikuje rizik, SOC koristi AI i druge alatke da bi potvrdio da je kibernetička pretnja stvarna, utvrdio kako se to desilo i procenio na koje resurse preduzeća to utiče.
  • Zadržavanje. Da biste zaustavili širenje kibernetičkih grupa, timovi za kibernetičku bezbednost i automatizovane alatke izoluju zaražene uređaje, identitete i mreže od ostatka resursa organizacije.
  • Iskorenjivanje. Teams eliminiše osnovni uzrok bezbednosnog incidenta sa ciljem potpunog izbacivanja lošeg aktera iz okruženja. One takođe ublažavaju ranjivosti koje mogu da izlože organizaciju riziku od sličnog kibernetičkog napada.
  • Oporavak. Nakon što su timovi razumno sigurni da su kibernetičke pretnje ili ranjivosti uklonjene, oni vraćaju sve izolovane sisteme na mrežu.
  • Izveštaj. U zavisnosti od ozbiljnosti incidenta, bezbednosni timovi će dokumentovati i obavestiti rukovodioce, direktore i/ili odbor o tome šta se dogodilo i kako je rešen.
  • Ublaživanje rizika. Da bi sprečili da se slični proboj ponovo desi i poboljša odgovor u budućnosti, timovi proučavaju incident i identifikuju promene koje će izvršiti u okruženju i procesima.

Šta je otkrivanje pretnji?

Identifikovanje kibernetičkih pretnji postaje sve teže kako su organizacije proširile svoj otisak u oblaku, povezali više uređaja sa internetom i prešli na hibridno radno mesto. Loši akteri koriste prednosti ove proširene površine i fragmentaciju u bezbednosnim alatkama uz sledeće tipove taktike:

  • Phishing kampanjePhishing kampanje. Jedan od najčešćih načina na koje se loši akteri infiltriraju u preduzeće jeste slanje e-poruka koje varaju zaposlene da preuzmu zlonamerni kôd ili obezbede svoje akreditive.
  • MalverMalver. Mnogi kibernetički napadači primenjuju softver koji je dizajniran da ošteti računare i sisteme ili prikupi osetljive informacije.
  • RansomverRansomver. Tip malvera, napadači ransomver-a drže kritične sisteme i podatke kao taoce, preteći da će objaviti privatne podatke ili ukrasti resurse u oblaku za rudarenje bitkoina dok se ne plati otkup. Nedavno,Ransomver kojim upravlja čovek, pri kojem grupa kibernetičkih napadača dobija pristup celoj mreži organizacije, postao je sve veći problem za bezbednosne timove.
  • Distribuirano odbijanje uslugedistribuiranih napada za odbijanje usluge (DDoS). Koristeći niz robota, loši akteri ometaju veb lokaciju ili uslugu tako što ih preplavljaju saobraćajem.
  • Insajderska pretnja. Ne dolaze svi kibernetički napadi izvan organizacije. Postoji i rizik da pouzdane osobe koje imaju pristup osetljivim podacima mogu nenamerno ili zlonamerno da naškode organizaciji.
  • Napadi zasnovani na identitetu. Većina proboja uključuje ugrožene identitete, što je kada kibernetički napadači kradu ili pogađaju korisničke akreditive i koriste ih za dobijanje pristupa sistemima i podacima organizacije.
  • Napadi Interneta stvari (IoT). IoT uređaji su takođe podložni kibernetičkim napadima,posebno zastareli uređaji koji nemaju ugrađene bezbednosne kontrole kao moderni uređaji.
  • Napadi na lanac snabdevanja. Ponekad loš akter cilja organizaciju neovlašćenim izmenama softvera ili hardvera koji je isporučio nezavisni proizvođač.
  • Ubacivanje koda. Iskorišćavanjem ranjivosti u načinu na koji izvorni kôd rukuje spoljnim podacima, kibernetički kriminalci ubacuju zlonamerni kôd u aplikaciju.

Otkrivanje pretnji
Da bi stekle prednost od rastućih napada kibernetičke bezbednosti, organizacije koriste modeliranje pretnji da definišu bezbednosne zahteve, identifikuju ranjivosti i rizike i daju prioritet oporavku. Koristeći hipotetičke scenarije, SOC pokušava da pristupi umu kibernetičkih kriminalca kako bi mogli da poboljšaju mogućnost organizacije da spreči ili ublaži bezbednosne incidente. MITRE ATT&CK® okvir je koristan model za razumevanje uobičajenih tehnika i taktika kibernetičkih napada.

Višeslojna odbrana zahteva alatke koje obezbeđuju neprekidno nadgledanje okruženja u realnom vremenu i potencijalne bezbednosne probleme. Rešenja takođe moraju da se preklapaju, tako da ako je jedan metod otkrivanja ugrožen, drugi će otkriti problem i obavestiti bezbednosni tim. Rešenja za otkrivanje kibernetičkih pretnji koriste različite metode za identifikovanje pretnji, uključujući:

  • otkrivanje zasnovano na potpisu. Mnoga bezbednosna rešenja skeniraju softver i saobraćaj kako bi identifikovala jedinstvene potpise koji su povezani sa određenim tipom malvera.
  • otkrivanje zasnovano na ponašanju. Da bi se pomoglo pri hvatanju novih i kibernetičkih pretnji koje se tek pojavljuju, bezbednosna rešenja takođe traže radnje i ponašanja koja su uobičajena u kibernetičkim napadima.
  • otkrivanje zasnovano na anomalijama. AI i analitika pomažu timovima da razumeju tipična ponašanja korisnika, uređaja i softvera kako bi mogli da identifikuju nešto neobično što može ukazivati na kibernetičku pretnju.

Iako je softver kritičan, ljudi igraju podjednako važnu ulogu u otkrivanju kibernetičkih pretnji. Pored određivanja i istraživanja sistemski generisanih upozorenja, analitičari koriste tehnike potraga za kibernetičkim pretnjama da bi proaktivno pretraživaliindikacije ugrožavanjaili traže taktike, tehnike i procedure koje predlažu potencijalnu pretnju. Ovi pristupi pomažu SOC-u da brzo otkrije i zaustavi sofisticirane napade koji se teško otkrivaju

Šta je to odgovor na pretnje?

Nakon što je identifikovana verodostojna kibernetička pretnja, odgovor na pretnju obuhvata sve radnje koje SOC preduzima da bi je zadržao i uklonio, oporavio i smanjio šanse da će se sličan napad ponovo desiti. Mnoge kompanije razvijaju plan odgovora na incidente koji će im pomoći da ih vode tokom potencijalnog proboja kada je kritično biti organizovan i brzo se kretati. Dobar plan odgovora na incident obuhvata i priručnike sa postupnim uputstvima za određene tipove pretnji, uloga i odgovornosti i plan komunikacije.

Komponente otkrivanja pretnji i odgovora

Organizacije koriste različite alatke i procese za efikasno otkrivanje pretnji i odgovaranje na njih.

  • Prošireno otkrivanje i odgovor

    Proizvodi proširenog otkrivanja i odgovora (XDR) pomažu SOC-ovima da pojednostave ceo životni ciklus kibernetičkih pretnji za prevenciju, otkrivanje i reagovanje. Ova rešenja nadgledaju krajnje tačke, aplikacije u oblaku, e-poštu i identitete. Ako XDR rešenje otkrije kibernetičku pretnju, on upozorava bezbednosne timove i automatski odgovara na određene incidente na osnovu kriterijuma koje SOC definiše.

  • Otkrivanje pretnji po identitet i odgovor

    Pošto loši akteri često ciljaju zaposlene,važno je da postavite alatke i procese za identifikovanje i odgovaranje na pretnje identitetima organizacije. Ova rešenja obično koriste analitiku ponašanja korisnika i entiteta (UEBA) za definisanje osnovnog ponašanja korisnika i otkrivanje anomalija koje predstavljaju potencijalnu pretnju.

  • Bezbednosne informacije i upravljanje događajima

    Dobijanje uvida u celo digitalno okruženje je prvi korak u razumevanju okruženja pretnji. Većina SOC timova koristirešenja za bezbednosne informacije i upravljanje događajima (SIEM) koja prikupljaju i povezuju podatke širom krajnjih tačaka, oblaka, e-pošte, aplikacija i identiteta. Ova rešenja koriste pravila za otkrivanje i pravilnike za otkrivanje potencijalnih kibernetičkih pretnji povezujući evidencije i upozorenja. Moderni SIEM-ovi takođe koriste veštačku inteligenciju za efikasnije otkrivanje kibernetičkih pretnji i obuhvataju feedove informacija o spoljnim pretnjama kako bi mogli da identifikuju nove i kibernetičke pretnje koje se tek pojavljuju.

  • Obaveštavanje o pretnjama

    Da biste dobili sveobuhvatni prikaz okruženja kibernetičkih pretnji, SOC-ovi koriste alatke koje sinhronizuju i analiziraju podatke iz raznih izvora, uključujući krajnje tačke, e-poštu, aplikacije u oblaku i izvore obaveštenja o spoljnim pretnjama. Uvidi iz ovog podataka pomažu bezbednosnim timovima da se pripreme za kibernetički napad, otkriju aktuelne kibernetičke pretnje, ispitaju tekuće bezbednosne incidente i efikasno odgovore.

  • Otkrivanje krajnje tačke i odgovor

    Rešenja z otkrivanje krajnjih tačaka i odgovor (EDR) su starija verzija XDR rešenja, fokusirana samo na krajnje tačke, kao što su računari, serveri, mobilni uređaji, IoT. Kao i XDR rešenja, kada se otkrije potencijalni napad, ova rešenja generišu upozorenje i za određene dobro shvaćene napade, automatski odgovaraju. Pošto su EDR rešenja fokusirana samo na krajnje tačke, većina organizacija migrira u XDR rešenja.

  • Upravljanje ranjivostima

    Upravljanje ranjivostimaUpravljanje ranjivostima je neprekidan, proaktivan i često automatizovan proces koji nadgleda računarske sisteme, mreže i poslovne aplikacije radi bezbednosnih slabosti. Rešenja za upravljanje ranjivostima procenjuju ranjivosti u odnosu na ozbiljnost i nivo rizika i obezbeđuju izveštavanje koje SOC koristi za rešavanje problema.

  • Bezbednosna orkestracija, automatizacija i odgovor

    Bezbednosna orkestracija, automatizacija i odgovorRešenja bezbednosne orkestracije, automatizacije i odgovora (SOAR) pomažu u pojednostavljivanju otkrivanja kibernetičkih pretnji i odgovora tako što objedinjuju unutrašnje i spoljne podatke i alatke na jedno centralizovano mesto. Oni takođe automatizuju odgovore na kibernetičke pretnje na osnovu skupa unapred definisanih pravila.

  • Kontrolisano otkrivanje i odgovor

    Nemaju sve organizacije resurse za efikasno otkrivanje i odgovaranje na kibernetičke pretnje. Kontrolisano otkrivanje i odgovorKontrolisane usluge otkrivanja i odgovora pomažu ovim organizacijama da unaprede svoje timove za bezbednost pomoću alatki i osoba potrebnih za potragu za pretnjama i odgovarajućim odgovorom.

Ključne prednosti otkrivanja pretnji i odgovora

Postoji nekoliko načina na koje efikasno otkrivanje pretnji i odgovor mogu da pomognu organizaciji da poboljša otpornost i umanji uticaj proboja.

  • Rano otkrivanje pretnji

    Zaustavljanje kibernetičkih pretnji pre nego što postanu potpuni proboj predstavlja važan način za drastično smanjenje uticaja incidenta. Pomoću modernih alatki za otkrivanje pretnji i odgovora i namenskog tima, SOC-ove povećavaju verovatnoću da će otkriti pretnje rano kada je lakše rešiti ih.

  • Usaglašenost sa propisima

    Zemlje i regioni nastavljaju da donose stroge zakone o privatnosti koji zahtevaju da organizacije imaju moćne mere bezbednosti podataka i detaljan proces za odgovaranje na bezbednosne incidente. Preduzeća koja se ne pridržavaju ovih pravila suočavaju se sa strogim kaznama. Program za otkrivanje pretnji i odgovore pomaže organizacijama da ispune zahteve ovih zakona.

  • Skraćeno vreme zadržavanja

    Obično,najštetniji kibernetički napadi su iz incidenata u kojima su kibernetički napadači najviše vremena proveli neotkriveni u digitalnom okruženju. Smanjenje vremena provedenog neotkriveno ili vremena zadržavanja je od presudne važnosti za ograničavanje oštećenja. Procesi otkrivanja pretnji i odgovora poput lova na pretnje pomažu SOCovima da brzo uhvate ove loše aktere i ograniče njihov uticaj.

  • Poboljšana vidljivost

    Alatke za otkrivanje pretnji i odgovore, kao što su SIEM i XDR, pomažu timovima za bezbednosne operacije da imaju veću vidljivost nad svojim okruženjem tako da ne samo što brzo identifikuju pretnje već i da otkriju potencijalne ranjivosti,, kao što je zastareli softver, koji treba da se reši.

  • Zaštita osetljivih podataka

    Za mnoge organizacije, podaci su jedan od njihovih najvažnijih resursa. Odgovarajuće alatke za otkrivanje pretnji i odgovor i procedure pomažu bezbednosnim timovima da uhvate loše aktere pre nego što dobiju pristup osetljivim podacima, čime se smanjuje verovatnoća da će ove informacije postati javne ili prodate na tamnom vebu.

  • Proaktivno stanje bezbednosti

    Otkrivanje pretnji i odgovor takođe osvetljava pretnje koje se tek pojavljuju i rasvetljavaju koliko loši akteri mogu da dobiju pristup digitalnom okruženju preduzeća. Pomoću ove informacije SOC-ovi mogu da ojačaju organizaciju i spreče buduće napade.

  • Ušteda troškova

    Uspešan kibernetički napad može da bude veoma skup za organizaciju u smislu stvarnog novca utrošenog na otkupnine, regulatorne naknade ili napore za oporavak. To takođe može dovesti do gubitka produktivnosti i prodaje. Ako brzo otkriju pretnje i odgovore u ranim fazama kibernetičkih napada, organizacije mogu da smanje troškove bezbednosnih incidenata.

  • Upravljanje reputacijom

    Proboj podataka visokog profila može mnogo da ošteti reputaciju preduzeća ili vlade. Ljudi gube veru u institucije za koje smatraju da ne rade dobar posao zaštite ličnih informacija. Otkrivanje pretnji i odgovor mogu pomoći u smanjenju verovatnoće incidenta vrednog pažnje i uveriti klijente, građane i druge zainteresovane strane da su lični informacije zaštićeni.

Najbolje prakse otkrivanja pretnji i odgovora

Organizacije koje su efikasne u otkrivanju pretnji i odgovoru angažuju se u praksama koje pomažu timovima da rade zajedno i poboljšaju pristup, što dovodi do manjeg broja i jeftinijih kibernetičkih napada.

  • Obavljajte redovnu obuku

    Iako SOC tim snosi najveću odgovornost za obezbeđivanje organizacije, svako u kompaniji ima svoju ulogu. Većina bezbednosnih incidenata počinje padom zaposlenog na phishing kampanju ili koristi neodobreni uređaj. Redovna obuka pomaže radnoj snazi da ostanu u toku sa mogućim pretnjama, tako da može da obavesti bezbednosni tim. Dobar program za obuku takođe takođe osigurava da stručnjaci za bezbednost ostanu u toku sa najnovijim alatkama, smernicama i procedurama odgovora na pretnje.

  • Razvijte plan odgovora na incident

    Bezbednosni incident je obično stresan događaj koji zahteva da ljudi brzo reaguju ne samo da reše i oporave, već da obezbede tačne ispravke relevantnim zainteresovanim stranama. Plan odgovora na incident uklanja neke od nagađanja tako što definiše odgovarajuće korake zadržavanja, iskorenjivanje i oporavak. Takođe pruža uputstva za ljudske resurse, korporativne komunikacije, odnose sa javnošću, advokate i više rukovodioce koji moraju da se uvere da zaposleni i drugi zainteresovane strane znaju šta se dešava i da se organizacija pridržava relevantnih propisa.

  • Podstičite snažnu saradnju

    Ostajanje ispred pretnji koje se tek pojavljuju i koordinacija efikasnog odgovora zahteva dobru saradnju i komunikaciju između članova bezbednosnog tima. Pojedinci treba da razumeju kako drugi u timu procenjuju pretnje, porede beleške i sarađuju na potencijalnim problemima. Saradnja se takođe proteže i na druge sektore u preduzeću koji možda mogu da pomognu u otkrivanju pretnji ili pomoći u odgovoru.

  • Primeni AI

    AI za kibernetičku bezbednostAI za sajber bezbednost sinhronizuje podatke iz cele organizacije i pruža uvide koji timovima pomažu fokusiraju svoje vreme i brzo reše incidente. Moderna SIEM i XDR rešenja koriste veštačku inteligencije za spajanje pojedinačnih upozorenja u incidente, pomažući organizacijama da brže otkriju kibernetičke pretnje. Neka rešenja, kao što je XDR Microsoft Defender, koriste AI za automatsko ometanje kibernetičkih napada u toku. Generativna AI u rešenjima kao što suMicrosoft Security Copilot, pomaže SOC timovima da brzo ispitaju incidente i odgovore na njih.

Rešenja za otkrivanje pretnji i odgovore

Otkrivanje pretnji i odgovor je kritična funkcija koju sve organizacije mogu da koriste kako bi im pomogle da pronađu i otkriju kibernetičke pretnje pre nego što izazovu štetu. Microsoft bezbednost nudi nekoliko rešenja za zaštitu od pretnji koja pomažu bezbednosnim timovima da nadgledaju, otkrivaju i odgovaraju na kibernetičke pretnje. Za organizacije sa ograničenim resursima, Microsoft Defender stručnjaci pružaju kontrolisane usluge za unapređenje postojećeg osoblja i alatki.

Saznajte više o Microsoft bezbednosti

Platforma objedinjenih bezbednosnih operacija

Zaštitite čitavo digitalno imanje objedinjenim iskustvom otkrivanja, ispitivanja i odgovora.

Saznajte više

Microsoft Defender XDR

Ubrzajte odgovor uz vidljivost na nivou incidenta i automatski prekid napada.

Saznajte više

Microsoft Sentinel

Pregledajte i zaustavite kibernetičke pretnje u celom preduzeću pomoću analitike inteligentne bezbednosti.

Saznajte više

Microsoft Defender stručnjaci za XDR

Pronađite pomoć za zaustavljanje napadača i sprečavanje budućeg ugrožavanja pomoću kontrolisane XDR usluge.

Saznajte više

Upravljanje ranjivostima za Microsoft Defender

Smanjite rizik uz neprekidnu procenu ranjivosti, prioritete zasnovane na riziku i oporavku.

Saznajte više

Microsoft Defender za posao

Zaštitite malo ili srednje preduzeće od kibernetičkih napada, kao što su malver i ransomver.

Saznajte više

Najčešća pitanja

  • Napredno otkrivanje pretnji obuhvata tehnike i alatke koje stručnjaci za bezbednost koriste da otkriju napredne uporne pretnje, koje su sofisticirane pretnje dizajnirane tako da ostanu neotkrivene tokom produženog vremenskog perioda. Ove pretnje su često ozbiljnije i mogu da uključuju špijunažu ili krađu podataka.

  • Primarni metodi otkrivanja pretnji su bezbednosna rešenja, kao što su SIEM ili XDR, koja analiziraju aktivnost širom okruženja da bi otkrili indikatore ugrožavanja ili ponašanja koje odstupa od očekivanog. Ljudi rade sa ovim alatkama na trijaži i odgovaranju na potencijalne pretnje. Oni takođe koriste XDR i SIEM za potragu na sofisticirane napadače koji mogu izbeći otkrivanje.

  • Otkrivanje pretnji je proces otkrivanja potencijalnih bezbednosnih rizika, uključujući aktivnost koja može da ukazuje na to da je uređaj, softver, mreža ili identitet kompromitovan. Odgovor na incident uključuje korake koje bezbednosni tim i automatizovane alatke preduzimaju da obuzdaju i eliminišu kibernetičku pretnju.

  • Proces otkrivanja pretnji i odgovora obuhvata:

    • Otkrivanje. Bezbednosne alatke koje nadgledaju krajnje tačke, identitete, mreže, aplikacije i oblake pomažu u otkrivanju rizika i potencijalnih proboja. Stručnjaci za bezbednost takođe koriste tehnike potrage na kibernetičke pretnje da bi pokušali da otkriju nove kibernetičke pretnje.
    • Ispitivanje. Kada se identifikuje rizik, ljudi koriste veštačku inteligenciju i druge alatke da bi potvrdili da je kibernetička pretnja stvarna, da utvrde kako se to dogodilo i procene koji resursi preduzeća su ugroženi.
    • Zadržavanje. Da bi zaustavili širenje kibernetičkog napada, timovi za kibernetičku bezbednost izoluju zaražene uređaje, identitete i mreže od ostatka resursa organizacije.
    • Iskorenjivanje. Teams eliminiše osnovni uzrok bezbednosnog incidenta sa ciljem potpunog izbacivanja protivnika iz okruženja i ublaživanja ranjivosti koje bi mogle izložiti organizaciju riziku od sličnog kibernetičkih napada.
    • Oporavak. Nakon što su timovi razumno sigurni da su kibernetičke pretnje ili ranjivosti uklonjene, oni vraćaju sve izolovane sisteme na mrežu.
    • Izveštaj. U zavisnosti od ozbiljnosti incidenta, bezbednosni timovi će dokumentovati i obavestiti rukovodioce, direktore i/ili odbor o tome šta se dogodilo i kako je rešen.
    • Ublaživanje rizika. Da bi sprečili da se slični proboj ponovo desi i poboljša odgovor u budućnosti, timovi proučavaju incident i identifikuju promene koje će izvršiti u okruženju i procesima.

  • TDR označava otkrivanje pretnji i odgovor, što je proces identifikovanja pretnji kibernetičke bezbednosti organizaciji i preduzeti korake za ublaživanje tih pretnji pre nego što naprave stvarnu štetu. EDR označava otkrivanje krajnjih tačaka i odgovor,što je kategorija softverskih proizvoda koji nadgledaju krajnje tačke organizacije za potencijalne kibernetičke pretnje, izlažu te kibernetičke pretnje bezbednosnom timu i automatski odgovaraju na određene tipove kibernetičkih pretnji.

Pratite Microsoft 365