威胁检测和响应 (TDR) 的定义
威胁检测和响应是一个网络安全流程,用于识别针对组织数字资产的网络威胁,并采取措施来尽快缓解这些威胁。
威胁检测和响应的工作原理
为了解决网络威胁和其他安全问题,许多组织建立了安全运营中心 (SOC),这是一个集中的职能或团队,负责改善组织的网络安全状况,还负责防止、检测和响应威胁。除了监视和响应正在进行的网络攻击外,SOC 还会主动行动来识别新出现的网络威胁和组织漏洞。大多数 SOC 团队,可能是现场的,也可能是外包的,每周 7 天全天候工作。
SOC 运用威胁情报和技术来发现企图、成功或正在进行的入侵。确定网络威胁后,安全团队将使用威胁检测和响应工具来消除或缓解该问题。
威胁检测和响应通常包括下面几个阶段:
- 检测。有安全工具监视终结点、标识、网络、应用和云,帮助发现风险和潜在漏洞。安全专业人员还使用网络威胁搜寻技术来发现逃避检测的复杂网络威胁。
- 调查。确定风险后,SOC 将使用 AI 和其他工具来确认网络威胁的真实性、确定其发生情况,并评估哪些公司资产受到了影响。
- 遏制。为了阻止网络攻击的蔓延,网络安全团队和自动化工具将受感染的设备、标识和网络与组织的其余资产隔离开来。
- 根除。团队消除安全事件的根本原因,目标是将恶意操作者从环境中完全逐出。他们还缓解可能使组织面临类似网络攻击风险的漏洞。
- 恢复。在团队有理由确信网络威胁或漏洞被移除后,他们会将所有隔离的系统重新联机。
- 报告。根据事件的严重程度,安全团队将记录并向领导、主管和/或董事会汇报发生了什么以及如何解决问题。
- 风险缓解。为了防止类似的漏洞再次出现并改进将来的响应,团队将研究事件并确定对环境和流程进行的更改。
什么是威胁检测?
随着组织扩大其云足迹、将更多设备连接到 Internet,并过渡到混合工作场所,识别网络威胁变得越来越困难。恶意操作者采用下面几种战术,利用这种扩大的攻击面和安全工具中的碎片化:
- 市场营销活动。恶意操作者渗透公司的最常见方式之一是,发送电子邮件来诱骗员工下载恶意代码或提供他们的凭据。
- 恶意软件。许多网络攻击者部署了企图破坏计算机和系统或收集敏感信息的软件。
- 勒索软件。勒索软件是一种恶意软件,攻击者以关键系统和数据为筹码,威胁公布私人数据或窃取云资源来挖掘比特币,直到成功勒索到赎金。最近,人为操作的勒索软件已经成为安全团队面临的一个日益严重的问题;在这种勒索软件中,一群网络攻击者获取对组织整个网络的访问权限。
- 分布式拒绝服务 (DDoS) 攻击。恶意操作者利用一系列机器人,向网站或服务发送大量流量,让它们不堪负重。
- 内部威胁。并非所有网络威胁都来自组织外部。还有一种风险是,受到信任、有权访问敏感数据的人员可能会无意中或恶意地损害组织。
- 基于标识的攻击。大多数漏洞涉及标识泄露,即网络攻击者窃取或猜测用户凭证,并利用它们来获取对组织系统和数据的访问权限。
- 物联网 (IoT) 攻击。IoT 设备也容易受到网络攻击,尤其是没有现代设备内置安全控制的传统设备。
- 供应链攻击。有时,恶意操作者通过篡改第三方供应商提供的软件或硬件来攻击组织。
- 代码注入。通过利用源代码处理外部数据的方式中的漏洞,网络犯罪分子将恶意代码注入到应用程序中。
检测威胁
为了应对日益增长的网络安全攻击,组织使用威胁建模来定义安全要求、识别漏洞和风险,并确定修正的优先级。通过假设的场景,SOC 试图了解网络罪犯分子的思想,这样他们就可以提高组织预防或缓解安全事件的能力。MITRE ATT&CK® 框架是了解常见网络攻击技术和战术的有用模型。
多层防御需要提供持续实时监视环境和发现潜在安全问题的工具。解决方案还必须重叠,这样如果一个检测方法被破坏,第二个检测方法将检测到问题并通知安全团队。网络威胁检测解决方案使用各种方法来识别威胁,这些方法包括:
- 基于签名的检测。许多安全解决方案会扫描软件和流量,以识别与特定类型的恶意软件相关联的唯一签名。
- 基于行为的检测。为了帮助捕捉新的和正在出现的网络威胁,安全解决方案还会寻找网络攻击中常见的操作和行为。
- 基于异常的检测。AI 和分析可帮助团队了解用户、设备和软件的典型行为,以便他们可以识别可能表明网络威胁的异常。
尽管软件至关重要,但用户在网络威胁检测中发挥着同等重要的作用。除了会审和调查系统生成的警报外,分析师还使用网络威胁搜寻技术主动搜索泄露迹象,或者寻找暗示潜在威胁的策略、技术和流程。这些方法可帮助 SOC 快速发现和遏止复杂、难以检测的攻击
什么是威胁响应?
识别出可信的网络威胁后,威胁响应包括 SOC 采取来遏制和消除威胁、从攻击中恢复并减少类似攻击再次发生的可能性的任何措施。许多公司都制定了事件响应计划,在快速组织和行动至关重要的时候帮助指导他们应对潜在的漏洞。一个好的事件响应计划包括 playbook 和沟通计划,其中有分步指导针对特定类型的威胁、角色和责任。
威胁检测和响应的组成部分
扩展检测和响应
扩展检测和响应 (XDR) 产品可帮助 SOC 在整个生命周期中更轻松地预防、检测和响应网络威胁。这些解决方案会监视终结点、云应用、电子邮件和标识。如果 XDR 解决方案检测到网络威胁,它将根据 SOC 定义的条件向安全团队发出警报并自动响应某些事件。
标识威胁检测和响应
由于恶意操作者的攻击对象通常是员工,因此有必要设置工具和流程来识别和响应对组织标识的威胁。这些解决方案通常使用用户和实体行为分析 (UEBA) 来定义基线用户行为并发现表示潜在威胁的异常情况。
安全信息和事件管理
了解整个数字环境是了解威胁形势的第一步。大多数 SOC 团队使用安全信息和事件管理 (SIEM) 解决方案来聚合和关联终结点、云、电子邮件、应用和标识中的数据。这些解决方案使用检测规则和 playbook,通过关联日志和警报来发现潜在的网络威胁。新式 SIEM 还使用 AI 更有效地发现网络威胁,并整合外部威胁情报源,以便识别新的和正在出现的网络威胁。
威胁情报
为了全面了解网络威胁形势,SOC 使用工具来整合和分析来自各种来源的数据,包括终结点、电子邮件、云应用和外部威胁情报源。从这些数据中获得的见解可帮助安全团队为网络攻击做好准备、检测活跃的网络威胁、调查正在发生的安全事件,并有效地做出响应。
终结点检测和响应
终结点检测和响应 (EDR) 解决方案是 XDR 解决方案的早期版本,只关注终结点,例如计算机、服务器、移动设备和 IoT。与 XDR 解决方案一样,当发现潜在的攻击时,这些解决方案会生成警报,并且对于某些众所周知的攻击,它们能够自动响应。由于 EDR 解决方案只关注终结点,因此大多数组织都在迁移到 XDR 解决方案。
漏洞管理
漏洞管理是一个持续、主动且通常自动化的过程,可监视计算机系统、网络和企业应用程序的安全弱点。漏洞管理解决方案评估漏洞的严重性和风险级别,并提供 SOC 用于修正问题的报告。
安全编排、自动化和响应
安全编排、自动化和响应 (SOAR) 解决方案通过将内部和外部数据和工具整合到一个集中位置来帮助简化网络威胁检测和响应。它们还根据一组预定义规则自动执行网络威胁响应。
托管检测和响应
并非所有组织都具有有效检测和响应网络威胁的资源。托管检测和响应服务可帮助这些组织为他们的安全团队提供必要的工具和人员,以搜寻威胁并做出适当的响应。
威胁检测和响应的关键优势
尽早检测威胁
在网络威胁成为全面破坏之前遏止这些威胁是显著降低事件影响的重要方法。借助新式威胁检测和响应工具,在专用团队的帮助下,SOC 提高了在威胁更容易解决时尽早发现这些威胁的可能性。
法规合规性
许多国家和地区继续颁发严格的隐私法,要求组织制定健全的数据安全措施,并制定详细的流程来应对安全事件。不遵守这些规则的公司面临严重的处罚。威胁检测和响应计划可帮助组织满足这些法律的要求。
减少停留时间
通常,网络攻击者在数字环境中花费最多时间而未被发现的事件会造成最具破坏性的网络攻击。减少未被发现的时间(即停留时间)是限制损害的关键。威胁检测和响应流程(例如威胁搜寻)可帮助 SOC 快速找出这些恶意操作者并限制其影响。
提高可见性
威胁检测和响应工具(例如 SIEM 和 XDR)可帮助安全运营团队更深入地了解其环境,这样他们不仅能够快速识别威胁,还能发现需要解决的潜在漏洞,比如过时的软件。
保护敏感数据
对于许多组织来说,数据是他们最重要的资产之一。正确的威胁检测和响应工具和流程可帮助安全团队在恶意操作者获得敏感数据的访问权限之前找出这些操作者,从而降低这些信息被公开或在暗网上被出售的可能性。
主动安全态势
威胁检测和响应还阐明了新出现的威胁,并揭示了恶意操作者如何进入公司的数字环境。有了这些信息,SOC 可以加强组织并防止将来的攻击。
成本节约
就花在赎金、监管费用或恢复工作所花费的实际资金而言,一次成功的网络攻击对于组织来说可能代价高昂。它还可能导致生产力和销售额下降。通过快速检测威胁并在网络攻击的早期阶段做出响应,组织可以降低安全事件的成本。
声誉管理
一次引人注目的数据泄露会对公司或政府的声誉造成很大损害。人们会对那些他们认为在保护个人信息方面做得不好的机构失去信心。威胁检测和响应有助于降低发生有新闻价值的事件的可能性,并向客户、公民和其他利益干系人保证个人信息得到了保护。
威胁检测和响应最佳做法
有效进行威胁检测和响应的组织采用有助于团队协同工作并改进其方法的做法,从而减少和降低网络攻击的成本。
定期举行培训
尽管 SOC 团队对保护组织负有最大责任,但公司中的每个人都有自己的角色。大多数安全事件始于员工陷入网络钓鱼活动或使用未经批准的设备。定期培训可帮助员工随时了解可能的威胁,这样他们就能够通知安全团队。良好的培训计划还可确保安全专业人员掌握最新的工具、策略和威胁响应流程。
制定事件响应计划
安全事件通常令人倍感压力,要求人们迅速行动,不仅要解决问题和恢复能力,还要向相关利益干系人提供准确的新信息。事件响应计划通过定义适当的遏制、根除和恢复步骤,消除了一些猜测。它还为人力资源、企业沟通、公共关系、律师和高级领导提供指导,这些人需要确保员工和其他利益干系人知道发生了什么,还要确保组织遵守相关法规。
促进强有力的协作
保持领先于新出现的威胁并协调有效的响应需要安全团队成员之间进行良好的协作和沟通。个人需要了解团队中的其他人如何评估威胁、比较意见,并在潜在问题上共同努力。协作还扩展到公司中可能能够帮助检测威胁或协助响应的其他部门。
部署 AI
网络安全 AI整合来自整个组织的数据,提供见解来帮助团队专注时间并快速解决事件。 新式 SIEM 和 XDR 解决方案使用 AI 将各个警报与事件关联起来,帮助组织更快地检测网络威胁。某些解决方案(例如 Microsoft Defender XDR)使用 AI 自动遏止正在进行的网络攻击。解决方案中的生成式 AI(例如 Microsoft 安全 Copilot)可帮助 SOC 团队快速调查和响应事件。
持续改进
每一次安全事件都是一次学习的机会。一旦安全事件得到解决,最好的做法是评估哪些进展顺利,哪些进展不顺利,目标是更新流程并缓解漏洞。XDR 等工具通过将事后安全态势改进纳入到响应过程中来提供帮助。
威胁检测和响应解决方案
威胁检测和响应是一项关键功能,所有组织都可以使用它来帮助他们在网络威胁造成损害之前查找和解决这些威胁。Microsoft Security 提供了多种威胁防护解决方案,可帮助安全团队监视、检测和响应网络威胁。对于资源有限的组织,Microsoft Defender 专家提供托管服务来增强现有人员和工具。
详细了解 Microsoft 安全
常见问题解答
-
高级威胁检测包括安全专业人员用来发现高级持久威胁的技术和工具,这些威胁很复杂,根据设计会长时间不被检测到。这些威胁通常更为严重,可能包括谍报活动或数据盗窃。
-
威胁检测的主要方法是安全解决方案(例如 SIEM 或 XDR),它们分析整个环境中的活动,以发现泄露的迹象或行为偏离预期的迹象。人们使用这些工具对潜在威胁进行会审和响应。他们还使用 XDR 和 SIEM 来搜寻可能逃避检测的老练攻击者。
-
威胁检测是发现潜在安全风险的过程,包括可能表明设备、软件、网络或标识已被泄露的活动。事件响应包括安全团队和自动化工具为遏制和消除网络威胁而采取的行动。
-
威胁检测和响应过程包括:
- 检测。有安全工具监视终结点、标识、网络、应用和云,帮助发现风险和潜在漏洞。安全专业人员还使用网络威胁搜寻技术来试着发现新出现的网络威胁。
- 调查。确定风险后,人们将使用 AI 和其他工具来确认网络威胁的真实性、确定其发生情况,并评估哪些公司资产受到了影响。
- 遏制。为了阻止网络攻击的蔓延,网络安全团队将受感染的设备、标识和网络与组织的其余资产隔离开来。
- 根除。团队消除安全事件的根本原因,目标是将攻击者从环境中完全逐出,并缓解可能使组织面临类似网络攻击风险的漏洞。
- 恢复。在团队有理由确信网络威胁或漏洞被移除后,他们会将所有隔离的系统重新联机。
- 报告。根据事件的严重程度,安全团队将记录并向领导、主管和/或董事会汇报发生了什么以及如何解决问题。
- 风险缓解。 为了防止类似的漏洞再次出现并改进将来的响应,团队将研究事件并确定对环境和流程进行的更改。
-
TDR 是指威胁检测和响应,这是一个识别组织网络安全威胁,并在这些威胁造成实际损害之前采取措施来缓解它们的过程。EDR 是指终结点检测和响应,这是一类软件产品,用于监视组织终结点是否存在潜在的网络攻击、将这些网络威胁呈现给安全团队,并自动响应某些类型的网络攻击。
关注 Microsoft 365