This is the Trace Id: a12dc7ba3c1a8f56289e39e59aa3f093
Preskoči na glavni sadržaj Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Prikaži sve proizvode Računalna sigurnost pogonjena umjetnom inteligencijom Sigurnost u oblaku Sigurnost podataka i upravljanje njima Identitet i pristup mreži Zaštita privatnosti i upravljanje rizicima Sigurnost za umjetnu inteligenciju Male i srednje velike tvrtke Unified SecOps model "svi su nepouzdani" Cijene Servisi Partneri Zašto Microsoft Security Svjesnost o računalnoj sigurnosti Iskustva korisnika Osnovna sigurnost Probne verzije proizvoda Priznanje struke Microsoft Security Insider Microsoftovo izvješće o digitalnoj obrani Security Response Center Blog o paketu Microsoft Security Microsoftove konferencije o sigurnosti Microsoftova zajednica tehničkih stručnjaka Dokumentacija Biblioteka tehničkog sadržaja Obuka i certifikati Compliance Program for Microsoft Cloud Microsoftov centar za pouzdanost Service Trust Portal Microsoftova inicijativa za sigurnu budućnost Središte za poslovna rješenja Obratite se odjelu prodaje Započnite besplatno probno razdoblje Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mixed reality Microsoft HoloLens Microsoft Viva Quantum computing Obrazovanje Automobili Financijske usluge Državna uprava Zdravstvo Proizvodnja Maloprodaja Pronađi partnera Postani partner Mreža partnera Microsoft Marketplace Softverske tvrtke Blog Microsoftovo oglašavanje Centar za razvojne inženjere Dokumentacija Događaji Licenciranje Microsoft Learn Microsoft Research Prikaz karte web-mjesta
Muškarac radi na prijenosnom računalu.

Što je lociranje sigurnosnih prijetnji?

Lociranje sigurnosnih prijetnji postupak je proaktivnog pretraživanja nepoznatih ili neotkrivenih prijetnji u mreži, krajnjim točkama i podacima tvrtke ili ustanove.

Kako funkcionira lociranje sigurnosnih prijetnji

Lociranje sigurnosnih prijetnji upotrebljavaju stručnjaci za lociranje prijetnji za pretraživanje potencijalnih prijetnji i napada unaprijed u sustavu ili mreži. Time se omogućuju agilni i učinkoviti odgovori na sve složenije računalne napade kojima upravlja čovjek. Dok tradicionalni postupci računalne sigurnosti prepoznaju kršenja sigurnosti nakon što se dogode, lociranje sigurnosnih prijetnji funkcionira pod pretpostavkom da je došlo do kršenja sigurnosti i može identificirati potencijalne prijetnje, prilagoditi se i odmah odgovoriti na njih nakon otkrivanja.

Sofisticirani napadači mogu kršiti sigurnost tvrtke ili ustanove i ostati neotkriveni tijekom duljeg vremenskog razdoblja – dana, tjedana ili čak dulje. Dodavanje lociranja sigurnosnih prijetnji u postojeći profil sigurnosnih alata kao što su prepoznavanje krajnjih točaka i odgovor (EDR) i Upravljanje sigurnosnim informacijama i događajima (SIEM) može vam pomoći u sprječavanju i otklanjanju napada koji inače automatizirani sigurnosni alati možda ne bi otkrili.

Automatizirano lociranje prijetnji

Stručnjaci za lociranje računalnih prijetnji mogu automatizirati određene aspekte procesa pomoću strojnog učenja, automatizacije i umjetne inteligencije. Korištenje rješenja kao što su SIEM i EDR može pomoći stručnjacima za lociranje prijetnji u pojednostavnjivanju postupaka za lociranje prijetnji praćenjem i otkrivanjem potencijalnih prijetnji i odgovaranjem na potencijalne prijetnje. Stručnjaci za lociranje prijetnji mogu stvarati i automatizirati različite proceduralne priručnike kako bi odgovorili na različite prijetnje, čime se smanjuje opterećenje IT timova kada god dođe do sličnih napada.

Alati i tehnike za lociranje sigurnosnih prijetnji

Stručnjaci za lociranje prijetnji imaju na raspolaganju brojne alate, uključujući rješenja kao što su SIEM i XDR, koja su osmišljena za zajedničko korištenje.

  • SIEM: rješenje koje prikuplja podatke iz više izvora pomoću analize u stvarnom vremenu, SIEM može pružiti stručnjacima za prijetnje naznake o potencijalnim prijetnjama.
  • Prošireno otkrivanje i reagiranje (XDR): stručnjaci za prijetnje mogu koristiti XDR koji omogućuje obavještavanje o prijetnjama i automatizirani prekid napada kako bi postigli veću vidljivost prijetnji.
  • EDR: EDR, koji nadzire uređaje krajnjih korisnika, također pruža stručnjacima za prijetnje snažan alat, dajući im uvide u potencijalne prijetnje unutar svih krajnjih točaka tvrtke ili ustanove.

Tri vrste lociranja sigurnosnih prijetnji

Lociranje sigurnosnih prijetnji obično dolazi u jednom od sljedeća tri oblika:

Strukturiranom: U strukturiranom lociranju, stručnjaci za lociranje prijetnji traže sumnjive taktike, tehnike i postupke (TTP-ove) koji ukazuju na potencijalne prijetnje. Umjesto da pristupa podacima ili sustavu i traži kršitelje sigurnosti, stručnjak za lociranje prijetnji postavlja hipotezu o metodi potencijalnog napadača i metodično radi na otkrivanju simptoma tog napada. Budući da je strukturirano lociranje proaktivan pristup, IT stručnjaci koji upotrebljavaju ovu taktiku često mogu brzo presresti ili zaustaviti napadače.

Nestrukturiranom: U nestrukturiranom lociranju stručnjak za lociranje sigurnosnih prijetnji traži pokazatelj ugroženosti (IOC) i provodi pretraživanje s te točke. Budući da se stručnjak za prijetnje može vratiti i pretraživati obrasce i tragove u povijesnim podacima, nestrukturirana lociranja ponekad mogu prepoznati prethodno neotkrivene prijetnje koje i dalje mogu predstavljati rizik za tvrtku ili ustanovu.

Situacijskom: Situacijsko lociranje prijetnji daje prioritet određenim resursima ili podacima u digitalnom ekosustavu. Ako tvrtka ili ustanova procijeni da su određeni zaposlenici ili resursi najveći rizik, može usmjeriti stručnjake za lociranje sigurnosnih prijetnji na sprječavanje ili otklanjanje napada na te ranjive osobe, skupove podataka ili krajnje točke.

Koraci i implementacija lociranja prijetnji

Stručnjaci za lociranje sigurnosnih prijetnji često prate ove osnovne korake prilikom istraživanja i otklanjanja prijetnji i napada:

  1. Stvaranje teorije ili hipoteze o potencijalnoj prijetnji. Stručnjaci za lociranje prijetnji mogu započeti prepoznavanjem uobičajenih TTP-ova napadača.
  2. Provođenje istraživanja. Stručnjaci za lociranje prijetnji istražuju podatke, sustave i aktivnosti tvrtke ili ustanove – SIEM rješenje može biti koristan alat – i prikupljaju i obrađuju relevantne informacije.
  3. Prepoznavanje okidača. Rezultati istraživanja i drugi sigurnosni alati mogu pomoći stručnjacima za lociranje prijetnji pri razlikovanju početne točke za istragu.
  4. Istraživanje prijetnji. Stručnjaci za lociranje prijetnji koriste alate za istraživanje i sigurnost da bi utvrdili je li prijetnja zlonamjerna.
  5. Odgovor i popravak. Stručnjaci za lociranje prijetnji poduzimaju radnje za rješavanje prijetnje.

Vrste prijetnji koje stručnjaci za lociranje prijetnji mogu otkriti

Lociranje sigurnosnih prijetnji može prepoznati širok raspon različitih prijetnji, uključujući sljedeće:

  • Zlonamjerni softver i viruse: Zlonamjerni softver onemogućuje upotrebu normalnih uređaja neovlaštenim pristupom uređajima krajnjih točaka. Napadi Krađa identiteta: što je krađa identiteta?krađe identiteta, špijunski softver, neželjeni reklamni sadržaji, trojanski softveri, crvi i ucjenjivački softver primjeri su zlonamjernog softvera. Virusi, jedan od češćih oblika zlonamjernog softvera, osmišljeni su tako da ometaju normalno funkcioniranje uređaja snimanjem, oštećivanjem ili brisanjem podataka prije širenja na druge uređaje na mreži.
  • Interne prijetnje: Interne prijetnje potječu od pojedinaca s ovlaštenim pristupom mreži tvrtke ili ustanove. Bez obzira na to radi li se o zlonamjernim, nehotičnim ili nemarnim radnjama, te osobe zloupotrebljavaju ili uzrokuju štetu mrežama, podacima, sustavima ili objektima tvrtke ili ustanove.
  • Napredne trajne prijetnje: Sofisticirani akteri koji krše sigurnost mreže tvrtke ili ustanove i ostaju neotkriveni neko vrijeme predstavljaju napredne trajne prijetnje. Ti su napadači vješti i često imaju mnogo resursa na raspolaganju.
    Napadi društvenog inženjeringa: Računalni napadači mogu upotrebljavati manipulaciju i obmanu kako bi zaposlenike tvrtke ili ustanove obmanuli na davanje pristupa ili odavanje povjerljivih podataka. Uobičajeni napadi društvenog inženjeringa obuhvaćaju krađu identiteta, mamljenje i softver za zastrašivanje.

Najbolje prakse za lociranje sigurnosnih prijetnji

Prilikom implementacije protokola za lociranje sigurnosnih prijetnji u tvrtki ili ustanovi, imajte na umu sljedeće najbolje prakse:
 
  • Stručnjacima za lociranje prijetnji omogućite potpun uvid u svoju tvrtku ili ustanovu. Stručnjaci za lociranje prijetnji najuspješniji su kada razumiju cijelu situaciju.
  • Održavanje komplementarnih sigurnosnih alata kao što su SIEM, XDR i EDR. Stručnjaci za lociranje sigurnosnih prijetnji oslanjaju se na automatizacije i podatke koje pružaju ti alati za brže prepoznavanje prijetnji i širi kontekst za brže rješavanje.
  • Budite informirani o najnovijim prijetnjama i taktikama. Napadači i njihove taktike neprestano se razvijaju – pobrinite se da vaši stručnjaci za lociranje prijetnji imaju najažurnije resurse o trenutnim trendovima.
  • Obučite zaposlenike da prepoznaju i prijave sumnjiva ponašanja. Smanjite mogućnost internih prijetnji informiranjem zaposlenika.
  • Implementiranje upravljanja ranjivošću radi smanjivanja ukupne izloženosti riziku tvrtke ili ustanove.

Zašto je lociranje prijetnji važno za tvrtke ili ustanove

Budući da zlonamjerni akteri postaju sve sofisticiraniji u svojim načinima napada, ključno je da tvrtke ili ustanove ulažu u proaktivno lociranje sigurnosnih prijetnji. Komplementarno pasivnim oblicima zaštite od prijetnji, lociranje sigurnosnih prijetnji zatvara sigurnosne praznine, što tvrtkama ili ustanovama omogućuje otklanjanje prijetnji koje bi inače ostale neotkrivene. Intenziviranje prijetnji složenih napadača znači da tvrtke ili ustanove moraju unaprijediti svoju zaštitu kako bi zadržale povjerenje u mogućnost rukovanja povjerljivim podacima i smanjile troškove povezane s kršenjima sigurnosti.

Proizvodi kao što je Microsoft Sentinel mogu vam pomoći da preduhitrite prijetnje prikupljanjem, pohranom i pristupom povijesnim podacima na razini oblaka, pojednostavljivanjem istraga i automatizacijom uobičajenih zadataka. Ta rješenja mogu pružiti stručnjacima za lociranje sigurnosnih prijetnji snažne alate za zaštitu tvrtke ili ustanove.
Najčešća pitanja

Najčešća pitanja

  • Primjer lociranja sigurnosnih prijetnji hipotetsko je lociranje u kojem stručnjak za lociranje prijetnji prepoznaje sumnjive taktike, tehnike i postupke koje napadač može upotrebljavati, a zatim traži dokaze o njima unutar mreže tvrtke ili ustanove.
  • Otkrivanje prijetnji aktivan je, često automatiziran, pristup računalnoj sigurnosti, dok je lociranje prijetnji proaktivan, neautomatiziran pristup.
  • Centar za sigurnosne operacije (SOC) centralizirana je funkcija ili tim, na lokaciji ili izvan tvrtke, zadužen za poboljšanje stanja računalne sigurnosti tvrtke ili ustanove, kao i sprječavanje, otkrivanje i odgovaranje na prijetnje. Lociranje sigurnosnih prijetnji jedna je od taktika koju SOC-ovi upotrebljavaju za prepoznavanje i otklanjanje prijetnji.
  • Alati za lociranje sigurnosnih prijetnji softverski su resursi dostupni IT timovima i stručnjacima za lociranje prijetnji za pomoć pri otkrivanju i otklanjanju prijetnji. Primjeri alata za lociranje prijetnji obuhvaćaju antivirusne programe i zaštitu pomoću vatrozida, EDR softver, SIEM alate i analitiku podataka.
  • Glavna svrha lociranja sigurnosnih prijetnji proaktivno je otkrivanje i otklanjanje sofisticiranih prijetnji i napada prije nego što oštete tvrtku ili ustanovu.
  • Obavještavanje o sigurnosnim prijetnjama: što je obavještavanje o sigurnosnim prijetnjama?Obavještavanje o sigurnosnim prijetnjama informacije su koje prikuplja softver za računalnu sigurnost, često automatski, u sklopu sigurnosnih protokola radi bolje zaštite od računalnih napada. Lociranje prijetnji obuhvaća upotrebu informacija prikupljenih iz obavještavanja o sigurnosnim prijetnjama za postavljanje hipoteza i radnji za traženje i otklanjanje prijetnji.

Pratite Microsoft Security

Hrvatski (Hrvatska) Zaštita privatnosti podataka o zdravlju potrošača Kontaktirajte Microsoft Zaštita privatnosti Upravljanje kolačićima Uvjeti korištenja Zaštitni znakovi O našim oglasima EU Compliance DoCs