This is the Trace Id: 564ba6cdd82fdad05cc5404b7a0129c6
Salt la conținutul principal Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Vedeți toate produsele Securitate cibernetică pe platformă de inteligență artificială Securitate în cloud Securitatea și guvernarea datelor Identitate și acces la rețea Confidențialitate și gestionarea riscurilor Securitate pentru inteligența artificială Întreprinderi mici și mijlocii Operațiuni de securitate unificate Zero Trust Prețuri Servicii Parteneri De ce Microsoft Security Conștientizarea securității cibernetice Relatările clienților Introducere în securitate Versiuni de încercare ale produselor Recunoaștere la nivelul sectorului de activitate Microsoft Security Insider Raportul Apărarea digitală Microsoft Security Response Center Blogul Microsoft Security Evenimente Microsoft Security Microsoft Tech Community Documentație Bibliotecă de conținut tehnic Instruire și certificări Programul de conformitate pentru Microsoft Cloud Centru de autorizare Microsoft Service Trust Portal Microsoft Inițiativa pentru un viitor sigur Hub de soluții de afaceri Contactați echipa de vânzări Începeți versiunea de încercare gratuită Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Inteligență artificială Microsoft Azure Space Realitate mixtă Microsoft HoloLens Microsoft Viva Calcul cuantic Instituții de învățământ Auto Servicii financiare Administrație publică Instituții medicale Producție Comerț cu amănuntul Găsiți un partener Deveniți partener Programul de parteneriat Microsoft Marketplace Firme de software Blog Microsoft Advertising Centru pentru dezvoltatori Documentație Evenimente Licențiere Microsoft Learn Cercetare Microsoft Vizualizare hartă site
Un bărbat care lucrează pe laptop.

Ce este căutarea activă a amenințărilor cibernetice?

Căutarea activă a amenințărilor cibernetice este procesul de căutare proactivă a amenințărilor necunoscute sau nedetectate în rețeaua, punctele finale și datele unei organizații.
Descoperiți Microsoft Sentinel

Cum funcționează căutarea activă a amenințărilor cibernetice

Căutarea activă a amenințărilor cibernetice utilizează căutători activi de amenințări pentru a căuta preventiv potențiale amenințări și atacuri într-un sistem sau rețea. Acest lucru permite răspunsuri agile și eficiente la atacuri cibernetice din ce în ce mai complexe, operate de oameni. În timp ce metodele tradiționale de securitate cibernetică identifică breșele de securitate după fapt, căutarea activă a amenințărilor cibernetice operează presupunând că a avut loc o breșă și poate identifica, adapta și răspunde imediat la potențialele amenințări după detectare.

Atacatorii sofisticați pot să încalce o organizație și să rămână nedetectați pentru perioade lungi de timp, zile, săptămâni sau chiar mai mult. Adăugarea de căutare activă a amenințărilor cibernetice la profilul existent de instrumente de securitate, cum ar fi Detectare puncte finale și răspuns (EDR) și Managementul evenimentelor și informațiilor de securitate (SIEM), poate ajuta să preveniți și să remediați atacurile care altfel ar putea să nu fie detectate de instrumentele de securitate automatizate.

Căutarea activă automată a amenințărilor

Căutătorii activi de amenințări cibernetice pot automatiza anumite aspecte ale procesului utilizând învățarea programată, automatizarea și inteligența artificială. Utilizarea soluțiilor precum SIEM și EDR poate ajuta căutătorii activi de amenințări să simplifice procedurile de căutare prin monitorizarea, detectarea și răspunsul la potențialele amenințări. Căutătorii activi de amenințări pot crea și automatiza diferite manuale de proceduri pentru a răspunde la amenințări diferite, simplificând astfel sarcina echipelor IT de fiecare dată când apar atacuri similare.

Instrumente și tehnici pentru căutarea activă a amenințărilor cibernetice

Căutătorii activi de amenințări au la dispoziție numeroase instrumente, inclusiv soluții precum SIEM și XDR, care sunt proiectate să funcționeze împreună.

  • SIEM: O soluție care colectează date de la mai multe surse cu o analiză în timp real, SIEM poate oferi căutătorilor activi de amenințări indicii despre potențialele amenințări.
  • Detectare și răspuns extinse (XDR): Căutătorii activi de amenințări pot utiliza XDR, care oferă investigarea amenințărilor și întreruperea automată a atacurilor pentru a obține o vizibilitate mai mare asupra amenințărilor.
  • EDR: EDR, care monitorizează dispozitivele utilizatorilor finali, oferă, de asemenea, căutătorilor activi de amenințări un instrument puternic, oferindu-le informații despre potențialele amenințări din toate punctele finale ale unei organizații.

Trei tipuri de căutare activă a amenințărilor cibernetice

De obicei, căutarea activă a amenințărilor cibernetice ia una dintre următoarele trei forme:

Structurată: Într-o căutare structurată, căutătorii activi de amenințări caută tactici, tehnici și proceduri suspecte (TTP) care sugerează potențiale amenințări. În loc să abordeze datele sau sistemul și să caute atacatori, căutătorul activ de amenințări creează o ipoteză despre metoda unui atacator potențial și lucrează metodic pentru a identifica simptomele acelui atac. Deoarece căutarea structurată este o abordare mai proactivă, profesioniștii IT care utilizează această tactică pot intercepta sau opri rapid atacatorii.

Nestructurată: Într-o căutare nestructurată, căutătorul activ de amenințări cibernetice caută un indicator de compromis (IoC) și efectuează căutarea de la acest punct de pornire. Deoarece căutătorul activ de amenințări poate reveni și căuta date istorice pentru modele și indicii, căutările nestructurate pot identifica uneori amenințările nedetectate anterior care pot pune în continuare organizația în pericol.

Situațională: Căutarea activă situațională a amenințărilor acordă prioritate anumitor resurse sau date din ecosistemul digital. Dacă o organizație evaluează că anumiți angajați sau active sunt cele mai mari riscuri, poate direcționa căutătorii activi de amenințări cibernetice să concentreze eforturile sau să prevină sau să remedieze atacurile împotriva acestor persoane, seturi de date sau puncte finale vulnerabile.

Pași și implementare pentru căutarea activă a amenințărilor

Căutătorii activi de amenințări cibernetice urmează adesea acești pași de bază atunci când investighează și remediază amenințările și atacurile:

  1. Creați o idee sau o ipoteză despre o potențială amenințare. Căutătorii activi de amenințări pot începe prin identificarea TTP-urilor comune ale unui atacator.
  2. Efectuați cercetări. Căutătorii activi de amenințări investighează datele, sistemele și activitățile organizației - o soluție SIEM poate fi un instrument util și poate colecta și procesa informații relevante.
  3. Identificați triggerul. Rezultatele cercetării și alte instrumente de securitate pot ajuta căutători activi de amenințări să distingă un punct de plecare pentru investigație.
  4. Investigați amenințarea. Căutătorii activi de amenințări utilizează instrumentele de cercetare și securitate pentru a determina dacă amenințarea este rău intenționată.
  5. Răspundeți și remediați. Căutătorii activi de amenințări iau măsuri pentru a rezolva amenințarea.

Tipurile de amenințări pe care le pot detecta căutătorii activi

Căutarea activă a amenințărilor cibernetice are capacitatea de a identifica o gamă largă de amenințări diferite, inclusiv următoarele:

  • Malware și viruși: Malware-ul împiedică utilizarea dispozitivelor normale, obținând acces neautorizat la dispozitivele de punct final. Atacurile de tip phishing, spyware, adware, troieni, viermi și ransomware sunt toate exemple de malware. Virușii, unele dintre cele mai comune forme de malware, sunt proiectați să interfereze cu funcționarea normală a unui dispozitiv prin înregistrarea, coruperea sau ștergerea datelor înainte de a se răspândi pe alte dispozitive dintr-o rețea.
  • Amenințări din interior: Amenințările din interior provin de la persoane cu acces autorizat la rețeaua unei organizații. Fie prin acțiuni rău intenționate, fie prin comportamente involuntare sau neglijente, acești utilizatori din interior utilizează greșit sau provoacă daune rețelelor, datelor, sistemelor sau instalațiilor organizației.
  • Amenințări persistente avansate: Actorii sofisticați care compromit rețeaua unei organizații și rămân nedetectați o perioadă de timp reprezintă amenințări persistente avansate. Acești atacatori sunt competenți și, adesea, dispun de resurse suficiente.
    Atacuri de inginerie socială: Atacatorii cibernetici pot utiliza manipularea și înșelăciunea pentru a induce în eroare angajații unei organizații, determinându-i să ofere acces sau informații sensibile. Printre atacurile comune de inginerie socială se numără phishingul, baitingul (momeala) și scarewareul.

Cele mai bune practici de căutarea activă a amenințărilor cibernetice

Când implementați un protocol de căutare activă a amenințărilor cibernetice în organizație, rețineți următoarele exemple de bună practică:
 
  • Oferiți-le căutătorilor activi de amenințări vizibilitate deplină asupra organizației. Căutătorii activi de amenințări au cel mai mare succes când înțeleg imaginea de ansamblu.
  • Mențineți instrumentele de securitate complementare, cum ar fi SIEM, XDR și EDR. Căutătorii activi de amenințări cibernetice se bazează pe automatizări și date furnizate de aceste instrumente pentru a identifica amenințările mai rapid și cu un context mai mare pentru o rezolvare mai rapidă.
  • Rămâneți informat cu privire la cele mai recente amenințări și tactici în curs de dezvoltare. Atacatorii și tacticile lor evoluează constant. Asigurați-vă că căutătorii activi de amenințări au cele mai actualizate resurse privind tendințele actuale.
  • Instruiți angajații să identifice și să raporteze comportamente suspecte. Reduceți posibilitatea amenințărilor din interior, menținându-vă angajații informați.
  • Implementați gestiunea vulnerabilităților pentru a reduce expunerea globală la risc a organizației.

De ce este importantă căutarea activă a amenințărilor pentru organizații

Pe măsură ce actorii rău intenționați devin din ce în ce mai sofisticați în metodele lor de atac, este vital pentru organizații să investească în căutarea activă a amenințărilor cibernetice. Complementară cu formele mai pasive de protecție împotriva amenințărilor, căutarea activă a amenințărilor cibernetice acoperă lacunele de securitate, permițând organizațiilor să remedieze amenințările care altfel ar rămâne nedetectate. Intensificarea amenințărilor din partea atacatorilor avansați înseamnă că organizațiile trebuie să-și consolideze apărarea pentru a menține încrederea în capacitatea lor de a gestiona datele confidențiale și pentru a reduce costurile asociate cu încălcările de securitate.

Produse precum Microsoft Sentinel vă pot ajuta să rămâneți în fața amenințărilor prin colectarea, stocarea și accesarea istoricului de date la scară cloud, simplificarea investigațiilor și automatizarea sarcinilor comune. Aceste soluții pot oferi căutătorilor activi de amenințări cibernetice instrumente puternice pentru a menține organizația protejată.
Resurse

Aflați mai multe despre Microsoft Security

  1.
O femeie care analizează codul pe un monitor

Microsoft Sentinel

Unificați datele și contextul de securitate pentru a susține apărarea agentică cu platforma SIEM & axată pe inteligență artificială.
Aflați mai multe
O persoană care lucrează la un laptop, cu un prim-plan al ecranului computerului.

Experți Microsoft Defender pentru căutare activă

Extindeți căutarea proactivă a amenințărilor dincolo de punctul final.
Aflați mai multe
O femeie utilizând un laptop într-o sală de conferințe

Investigarea amenințărilor Microsoft Defender

Contribuiți la protejarea organizației împotriva adversarilor moderni și a amenințărilor precum ransomware-ul.
Aflați mai multe
Colegi privesc împreună un monitor într-o încăpere plină de tehnologie

SIEM și XDR

Detectați, investigați și răspundeți la amenințări în întregul mediu digital.
Aflați mai multe
Înapoi la comenzile de navigare carusel
Întrebări frecvente

Întrebări frecvente

  • Un exemplu de căutare a activă a amenințărilor cibernetice este o căutare activă bazată pe ipoteze, în care căutătorul activ de amenințări identifică tacticile, tehnicile și procedurile suspectate pe care le-ar putea utiliza un atacator, apoi caută dovezi ale acestora în rețeaua unei organizații.
  • Detectarea amenințărilor este o abordare activă, adesea automatizată, a securității cibernetice, în timp ce căutarea activă a amenințărilor este o abordare proactivă, neautomatizată.
  • Un centru de operațiuni de securitate (SOC) este o funcție sau o echipă centralizată, fie la fața locului, fie externalizată, responsabilă de îmbunătățirea poziției de securitate cibernetică a unei organizații și de prevenirea, detectarea și răspunsul la amenințări. Căutarea activă a amenințărilor cibernetice este una dintre strategiile utilizate de SOC pentru a identifica și a remedia amenințările.
  • Instrumentele de căutare activă a amenințărilor cibernetice sunt resurse software disponibile pentru echipele IT și pentru căutătorii activi de amenințări pentru a ajuta la detectarea și remedierea amenințărilor. Printre exemplele de instrumente de căutare activă a amenințărilor se numără protecții antivirus și firewall, software EDR, instrumente SIEM și analize de date.
  • Scopul principal al căutării active a amenințărilor cibernetice este detectarea și remedierea proactivă a amenințărilor și atacurilor sofisticate înainte ca acestea să dăuneze organizației.
  • Investigarea amenințărilor cibernetice include informațiile și datele colectate de software-ul de securitate cibernetică, adesea automat, ca parte a protocoalelor de securitate, pentru a proteja mai bine împotriva atacurilor cibernetice. Căutarea activă a amenințărilor implică preluarea informațiilor colectate de la investigarea amenințărilor și utilizarea lor pentru a comunica ipoteze și acțiuni de căutare și remediere a amenințărilor.

Urmăriți Microsoft Security

Copilot pentru organizații Copilot pentru uz personal Microsoft 365 Aplicații Windows 11 Profil de cont Centrul de descărcare Retururi Urmărire comandă Reciclare Garanții comerciale Microsoft Education Dispozitive pentru educație Microsoft Teams pentru educație Microsoft 365 Education Office Education Instruirea și dezvoltarea educatorilor Promoții pentru studenți și părinți Azure pentru studenți
Inteligență artificială Microsoft Securitate Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Dezvoltator Microsoft Documentație Microsoft Learn Comunitatea tehnică Microsoft Microsoft Marketplace Microsoft Power Platform Firme de software Visual Studio Cariere Confidențialitatea în cadrul companiei Microsoft Angajamentul Microsoft privind prevenirea corupției și mitei Investitori
Română (România) Confidențialitatea pentru sănătatea consumatorilor Contactați Microsoft Confidențialitate Gestionare cookie-uri Condiţii de utilizare Mărci comerciale Despre reclamele noastre EU Compliance DoCs