威脅偵測及回應 (TDR) 定義
威脅偵測及回應是一種網路安全性流程,用於識別對組織數位資產的網路威脅,並採取措施以盡快緩解威脅。
威脅偵測及回應如何運作?
為了解決網路威脅和其他安全性問題,許多組織都會設定安全性作業中心 (SOC),這是集中式功能或小組,負責改善組織的網路安全性態勢,並預防、偵測和回應威脅。除了監控和回應持續的網路攻擊之外,SOC 也會主動識別新興網路威脅和組織弱點。大部分的 SOC 小組 (可能是現場或外包) 皆為全天候運作。
SOC 會使用威脅情報和技術來發現嘗試過的、成功的或進行中的外洩。一旦識別出網路威脅,安全性小組就會使用威脅偵測及回應工具來消除或緩解問題。
威脅偵測及回應通常包括下列階段:
- 偵測。監視端點、身分識別、網路、應用程式和雲端的安全性工具可協助發現風險和潛在外洩。安全性專業人員也會使用網路威脅搜捕技術來發現逃避偵測的複雜網路威脅。
- 調查。一旦發現風險,SOC 會使用 AI 和其他工具來確認網路威脅真實性、判斷發生原因,以及評估受影響的公司資產。
- 圍堵。為了阻止網路攻擊的蔓延,網路安全性小組和自動化工具會將受感染的裝置、身分識別和網路與組織的其他資產隔離。
- 根除。小組會消除安全性事件的根本原因,目標是將惡意執行者完全從環境中驅逐。他們也可以緩解可能使組織面臨類似網路攻擊風險的弱點。
- 復原。在小組合理確信網路威脅或弱點已移除之後,他們會讓任何隔離的系統重新上線。
- 報告。根據事件的嚴重程度,安全性小組將進行記錄並向領導者、高階主管和/或董事會簡要說明發生的情況以及解決方式。
- 風險降低。為了防止類似外洩再次發生並改善未來的回應,小組會研究事件並找出要針對環境和程序進行哪些變更。
什麼是威脅偵測?
隨著組織擴大其雲端覆蓋範圍、將更多裝置連結到網路,並過渡到混合工作場所,識別網路威脅變得越來越困難。惡意執行者利用這個擴大的介面區及安全性工具中的碎片化,採取下列類型的策略:
- 網路釣魚廣告活動。惡意執行者欺騙公司最常見的方式之一是傳送電子郵件,誘騙員工下載惡意程式碼或提供其認證。
- 惡意程式碼。許多網路攻擊者會部署專門破壞電腦和系統或收集敏感性資訊的軟體。
- 勒索軟體。勒索軟體是一種惡意程式碼,攻擊者會劫持關鍵系統和資料,威脅要釋出私人資料或是竊取雲端資源來挖掘比特幣,直到支付贖金為止。最近,由一群網路攻擊者取得對組織整個網路存取權的人為操作勒索軟體,已成為安全性小組日益嚴重的問題。
- 分散式阻斷服務 (DDoS) 攻擊。惡意執行者會使用一系列的 Bot,透過大量流量來破壞網站或服務。
- 內部威脅。並非所有的網路威脅都來自組織外部。還存在一種風險,即擁有敏感性資料存取權的信任人員可能會不慎或惡意傷害組織。
- 身分識別型攻擊。大多數外洩都涉及遭入侵的身分識別,即網路攻擊者竊取或猜測使用者認證,並使用它們來存取組織的系統和資料。
- 物聯網 (IoT) 攻擊。IoT 裝置也容易受到網路攻擊,尤其是缺少現代裝置內建安全性控制功能的傳統裝置。
- 供應鏈攻擊。有時候,惡意執行者會竄改第三方廠商所提供的軟體或硬體,以組織作為攻擊目標。
- 程式碼插入。透過利用原始程式碼處理外部資料方式中的漏洞,網路罪犯將惡意程式碼插入應用程式中。
偵測威脅
為了應對不斷增加的網路安全性攻擊,組織使用威脅模型來定義安全性要求、識別漏洞和風險,並決定補救優先順序。透過使用假設情節,SOC 會試圖了解網路罪犯的想法,以便能夠改善組織預防或緩解安全性事件的能力。MITRE ATT&CK® 架構是了解常見網路攻擊技術和策略的實用模型。
多層防禦需要能提供持續即時監視環境並發現潛在安全性問題的工具。解決方案也必須重疊,如此一來,如果其中一種偵測方法遭入侵,第二種偵測方法便會偵測到問題並通知安全性小組。網路威脅偵測解決方案會使用各種方法來識別威脅,包括:
- 簽章型偵測。許多安全性解決方案會掃描軟體和流量,以識別與特定惡意程式碼類型相關的唯一簽章。
- 行為型偵測。為了協助擷取新興網路威脅,安全性解決方案也會尋找網路攻擊中常見的動作和行為。
- 異常型偵測。AI 和分析可協助小組了解使用者、裝置和軟體的典型行為,以便識別可能為網路威脅的異常行為。
雖然軟體十分重要,但人員在網路威脅偵測中扮演同等重要的角色。除了對系統產生的警示進行分類和調查之外,分析師會使用網路威脅搜捕技術主動搜尋入侵指示,或尋找暗示潛在威脅的策略、技術和程序。這些方法可協助 SOC 快速發現並阻止複雜且難以偵測的攻擊
什麼是威脅回應?
在識別網路威脅之後,威脅回應包括 SOC 為圍捕和消除威脅、復原並減少再次發生類似攻擊的可能性而採取的任何行動。許多公司會開發事件回應計劃,以便在可能發生安全漏洞時提供指導,此時保持組織有序和快速反應至關重要。出色的事件回應計劃包括針對特定類型的威脅、角色和職責提供逐步指導的劇本,以及溝通計劃。
威脅偵測及回應的構成要素
延伸偵測及回應
延伸偵測及回應 (XDR) 產品可協助 SOC 簡化整個預防、偵測和回應網路威脅生命週期。這些解決方案會監視端點、雲端應用程式、電子郵件和身分識別。如果 XDR 解決方案偵測到網路威脅,它會警示安全性小組,並依據 SOC 定義的準則自動回應特定事件。
身分識別威脅偵測及回應
由於惡意執行者經常以員工為目標,因此部署用於身分識別和回應對組織身分識別構成威脅的工具和程序至關重要。這些解決方案通常會使用使用者與實體行為分析 (UEBA) 來定義基準使用者行為,並發現代表潛在威脅的異常行為。
安全性資訊與事件管理
了解整個數位環境是了解威脅狀況的第一步。大部分的 SOC 小組使用安全性資訊與事件管理 (SIEM) 解決方案,來彙總和關聯跨端點、雲端、電子郵件、應用程式和身分識別的資料。這些解決方案會使用偵測規則和劇本,將記錄與警示相互關聯,以發現潛在的網路威脅。新式 SIEM 也會使用 AI 來更有效地發現網路威脅,並納入外部威脅情報摘要,以便識別新興網路威脅。
威脅情報
為了全面了解網路威脅環境,SOC 會使用工具來合成及分析各種來源 (包括端點、電子郵件、雲端應用程式和外部威脅情報來源) 的資料。來自此資料的深入解析可協助安全性小組為網路攻擊做好準備、偵測活躍網路威脅、調查持續發生的安全性事件,以及有效第回應。
端點偵測及回應
端點偵測及回應 (EDR) 解決方案是舊版 XDR 解決方案,只著重於端點,例如電腦、伺服器、行動裝置、IoT。就像 XDR 解決方案一樣,當發現潛在攻擊時,這些解決方案會產生警示,並針對某些已清楚了解的攻擊自動回應。由於 EDR 解決方案只著重於端點,因此大部分組織會移轉至 XDR 解決方案。
弱點管理
弱點管理是持續性、主動且通常是自動化的程序,可監控電腦系統、網路和企業應用程式的安全性弱點。弱點管理解決方案會評估弱點以確認其嚴重性和風險等級,並提供 SOC 可用來補救問題的報告。
安全性協調流程、自動化和回應
安全性協調流程、自動化和回應安全性協調流程、自動化和回應 (SOAR) 解決方案將內部和外部資料和工具集中在單一集中式位置,有助於簡化網路威脅偵測及回應。它們也會根據一組預先定義的規則來將網路威脅回應自動化。
受控的偵測及回應
並非所有組織都有資源能夠有效偵測和回應網路威脅。受控的偵測及回應服務,可協助這類組織使用必要工具和人員來搜捕威脅並作出適當回應,藉此強化其安全性小組。
威脅偵測及回應的主要優勢
早期威脅偵測
在網路威脅變成全面外洩之前阻止網路威脅,是大幅降低事件影響的重要方式。透過使用新式威脅偵測及回應工具及專門的小組,SOC 可以提高在威脅較容易解決的初期及早加以發現的可能性。
法規合規性
國家和地區會繼續通過嚴格的隱私權法律,要求組織擁有健全的資料安全性措施,以及回應安全性事件的詳細程序。不遵守這些規則的公司將面臨巨額罰款。威脅偵測及回應計劃可協助組織符合這些法規的需求。
減少停留時間
通常,最具破壞性的網路攻擊來自網路攻擊者在未被偵測到的情況下於數位環境中長時間活動的造成的事件。減少未偵測到這些執行者的時間或其停留的時間,對於限制傷害至關重要。威脅偵測及回應程序 (例如威脅搜捕) 可協助 SOC 快速逮到這些惡意執行者並限制其影響。
提高可見度
威脅偵測及回應工具 (例如 SIEM 和 XDR) 可協助安全性作業小組更清楚地了解其環境,讓小組不僅能快速識別威脅,還能發現需要解決的潛在弱點,例如過時軟體。
保護敏感性資料
對於許多組織來說,資料是其中一項最重要的資產。正確的威脅偵測及回應工具和程序可協助安全性小組在取得敏感性資料的存取權之前先發現惡意執行者,降低這類資訊遭公開或在暗網上販售的可能性。
主動安全性態勢
威脅偵測及回應也揭露出新興威脅,並說明惡意執行者如何存取公司的數位環境。有了這項資訊,SOC 可以強化組織,並防範日後的攻擊。
節省成本
就實際花費在勒索、法規費用或復原工作的費用而言,成功的網路攻擊對於組織而言可能代價非常昂貴。這也可能會導致生產力和銷售下降。透過在網路攻擊的初期階段快速偵測威脅並做出回應,組織能夠藉此降低安全性事件的成本。
信譽管理
高調的資料外洩可能會對公司或政府的信譽造成很大傷害。人們會對於自己認為在保護個人資訊方面做得不好的機構失去信心。威脅偵測及回應可協助降低具有新聞價值的事件發生的可能性,並向客戶、公民和其他利害關係人保證個人資訊是受到保護的。
威脅偵測及回應最佳做法
能夠有效威脅偵測及回應的組織會採取一些做法來協助小組合作並改進其方法,進而減少發生代價高昂的網路攻擊。
定期舉行訓練
雖然 SOC 小組承擔保護組織的最大責任,但公司中的每個人都可以發揮作用。大部分的安全性事件都是因為員工落入網路釣魚活動或使用未經核准裝置而導致的。定期訓練可協助員工持續適應可能的威脅,以便通知安全性小組。良好的訓練計劃也可以確保安全性專業人員隨時了解最新的工具、政策及威脅回應程序。
制定事件回應計劃
安全性事件通常是一種壓力很大的事件,要求人員迅速採取行動,不僅要解決和復原,還要向相關利害關係人提供準確的最新狀況。事件回應計劃會定義適當的圍堵、根除和復原步驟,以排除部分猜測。該計劃也為人力資源、公司通訊、公共關係、律師和資深領導者提供指導,確保員工和其他利害相關人了解發生什麼狀況,以及組織遵守相關法規。
促進強大的共同作業
保持領先於新興威脅並協調有效的回應,需要安全性小組成員之間良好的共同作業和溝通。個人必須了解小組中其他人如何評估威脅、交換意見,並共同處理潛在問題。共同作業也會擴大至公司中可能可以協助偵測威脅或協助應對的部門。
部署 AI
適用於網路安全性的 AI 可綜合整個組織的資料,提供深入解析,協助小組集中時間並快速解決事件。新式 SIEM 和 XDR 解決方案使用 AI 將個別警示與事件相互關聯,協助組織更快速地偵測網路威脅。某些解決方案 (例如 Microsoft Defender 全面偵測回應) 會使用 AI 來自動中斷進行中的網路攻擊。Microsoft 安全性 Copilot 等解決方案中的生成式 AI 有助於 SOC 小組快速調查和回應事件。
持續改善
每個安全性事件都能提供學習機會。安全性事件解決後,最佳做法是評估有哪些方面進展順利、哪些方面進展不順利,並搭配更新程序並減少弱點的目標。XDR 等工具可透過將事件後的安全性態勢改善作為回應程序的一部分來提供協助。
威脅偵測及回應解決方案
威脅偵測及回應是一項重要功能,所有組織都可以在威脅造成危害之前,使用它們來協助找出並解決網路威脅。Microsoft 安全性提供數種威脅防護解決方案,可協助安全性小組監視、偵測及回應網路威脅。對於資源有限的組織,Microsoft Defender 專家會提供受管理的服務,藉此強化現有的員工和工具。
深入了解 Microsoft 安全性
常見問題集
-
進階威脅偵測包括安全性專業人員用來發現進階持續性威脅的技術與工具,這些威脅是旨在長時間不被發現的複雜威脅。這些威脅通常更嚴重,可能包括間諜活動或資料竊取。
-
威脅偵測的主要方法為安全性解決方案 (例如 SIEM 或 XDR),可分析整個環境的活動,以找出入侵跡象或與預期不同的行為。人員使用這些工具來對潛在威脅進行分級和回應。他們也會使用 XDR 和 SIEM 來搜捕可能規避偵測的複雜攻擊者。
-
威脅偵測是發現潛在安全性風險的程序,包括可能表示裝置、軟體、網路或身分識別已遭到入侵的活動。事件回應包括安全性小組和自動化工具為圍堵和消除網路威脅所採取的步驟。
-
威脅偵測及回應程序包括:
- 偵測。監視端點、身分識別、網路、應用程式和雲端的安全性工具可協助發現風險和潛在外洩。安全性專業人員也會使用網路威脅搜捕技術來嘗試找出新興網路威脅。
- 調查。一旦發現風險,人員會使用 AI 和其他工具來確認網路威脅真實性、判斷發生原因,以及評估受影響的公司資產。
- 圍堵。為了阻止網路攻擊的蔓延,網路安全性小組會將受感染的裝置、身分識別和網路與組織的其他資產隔離。
- 根除。小組會消除安全性事件的根本原因,目標是將敵人完全從環境中驅逐,並減少可能使組織面臨類似網路攻擊風險的弱點。
- 復原。在小組合理確信網路威脅或弱點已移除之後,他們會讓任何隔離的系統重新上線。
- 報告。根據事件的嚴重程度,安全性小組將進行記錄並向領導者、高階主管和/或董事會簡要說明發生的情況以及解決方式。
- 風險降低。 為了防止類似外洩再次發生並改善未來的回應,小組會研究事件並找出要針對環境和程序進行哪些變更。
-
TDR 代表威脅偵測及回應,這是識別對組織的網路安全性威脅,並在威脅造成真正損害之前採取措施來降低那些威脅的程序。EDR 代表端點偵測及回應,這是一種軟體產品,用於監視組織端點是否存在潛在的網路攻擊、向安全性小組顯示那些網路威脅,並自動回應特定類型的網路攻擊。
關注 Microsoft 365