This is the Trace Id: f0551a523159db48f61c78bd31f56928
Prejsť na hlavný obsah Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Zobraziť všetky produkty Kybernetická bezpečnosť využívajúca umelú inteligenciu Cloudové zabezpečenie Zabezpečenie a riadenie údajov Identita a prístup k sieti Ochrana osobných údajov a riadenie rizík Zabezpečenie pre AI Malé a stredne veľké podniky Unified SecOps Nulová dôvera (Zero Trust) Ceny Služby Partneri Prečo zabezpečenie od spoločnosti Microsoft Zvyšovanie povedomia o kybernetickej bezpečnosti Príbehy zákazníkov Základy zabezpečenia Skúšobné verzie produktov Ocenenia v rámci odvetvia Microsoft Security Insider Správa spoločnosti Microsoft o digitálnej obrane Security Response Center Blog o zabezpečení od spoločnosti Microsoft Podujatia spoločnosti Microsoft venované zabezpečeniu Microsoft Tech Community Dokumentácia Knižnica technického obsahu Školenia a certifikácie Program zabezpečenia súladu pre Microsoft Cloud Centrum dôveryhodnosti spoločnosti Microsoft Service Trust Portal Microsoft Iniciatíva Bezpečná budúcnosť Centrum podnikových riešení Kontaktovať odd. predaja Spustiť bezplatnú skúšobnú verziu Zabezpečenie od spoločnosti Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Zmiešaná realita Microsoft HoloLens Microsoft Viva Kvantové výpočtové prostriedky Vzdelávanie Automobilový priemysel Finančné služby Vládne inštitúcie İş ortakları Výroba Maloobchod Vyhľadať partnera Staňte sa partnerom Sieť partnerov Microsoft Marketplace Softvérové spoločnosti Blog Microsoft Advertising Stredisko pre vývojárov Dokumentácia Udalosti Licencovanie Microsoft Learn Microsoft Research Zobraziť mapu stránky
Dvaja odborníci stoja spolu na chodbe kancelárie, držia tablet a diskutujú o práci.

Čo je detekcia a reakcia na hrozby (TDR)?

Zistite, ako chrániť aktíva svojej organizácie aktívnou identifikáciou a zmierňovaním rizík kybernetickej bezpečnosti pomocou detekcie hrozieb a reakcie na ne.

Definícia detekcie a reakcie na hrozby (TDR)

Detekcia hrozieb a reakcia na ne je proces kybernetickej bezpečnosti, ktorý slúži na identifikáciu kybernetických hrozieb pre digitálne aktíva organizácie a na čo najrýchlejšie prijatie opatrení na ich zmiernenie.

Ako funguje detekcia hrozieb a reakcia na ne?

Na riešenie kybernetických hrozieb a iných bezpečnostných problémov mnohé organizácie zriaďujú Centrum bezpečnostných operácií (SOC), čo je centralizovaná funkcia alebo tím zodpovedný za zlepšovanie kybernetickej bezpečnosti organizácie a prevenciu, odhaľovanie a reakciu na hrozby. Okrem monitorovania prebiehajúcich kybernetických útokov a reakcie na ne vykonáva SOC aj proaktívnu činnosť s cieľom identifikovať vznikajúce kybernetické hrozby a zraniteľnosti organizácie. Väčšina tímov SOC, ktoré môžu byť na pracovisku alebo externé, pracuje nepretržite sedem dní v týždni.

SOC využíva analýzu hrozieb a technológie na odhalenie pokusu o narušenie, úspešného narušenia alebo prebiehajúceho narušenia. Po identifikácii kybernetickej hrozby použije bezpečnostný tím nástroje na detekciu a reakciu na hrozby s cieľom odstrániť alebo zmierniť problém.

Detekcia hrozieb a reakcia na ne zvyčajne zahŕňa tieto fázy:
 
  • Detekcia. Nástroje zabezpečenia, ktoré monitorujú koncové body, identity, siete, aplikácie a cloudy, pomáhajú odhaliť riziká a potenciálne narušenia. Odborníci v oblasti zabezpečenia tiež používajú techniky vyhľadávania kybernetických hrozieb na odhalenie sofistikovaných kybernetických hrozieb, ktoré sa vyhýbajú detekcii.
  • Skúmanie. Po identifikácii rizika využíva SOC umelú inteligenciu a ďalšie nástroje na potvrdenie, že kybernetická hrozba je skutočná, zistí, ako k nej došlo, a posúdi, ktoré aktíva spoločnosti sú ovplyvnené.
  • Obmedzenie. Aby sa zastavilo šírenie kybernetického útoku, tímy kybernetickej bezpečnosti a automatizované nástroje izolujú infikované zariadenia, identity a siete od zvyšku aktív organizácie.
  • Odstránenie. Tímy odstraňujú hlavnú príčinu incidentu zabezpečenia s cieľom úplne odstrániť zlého aktéra z prostredia. Zmierňujú tiež zraniteľnosti, ktoré môžu organizáciu vystaviť riziku podobného kybernetického útoku.
  • Obnovenie. Keď sú tímy dostatočne presvedčené, že kybernetická hrozba alebo zraniteľnosť boli odstránené, obnovia prevádzku všetkých izolovaných systémov.
  • Nahlasovanie. V závislosti od závažnosti incidentu bezpečnostné tímy zdokumentujú a informujú vedúcich pracovníkov, manažérov a/alebo predstavenstvo o tom, čo sa stalo a ako sa to vyriešilo.
  • Zmierňovanie rizík. S cieľom zabrániť opakovaniu podobného narušenia a zlepšiť reakciu v budúcnosti tímy skúmajú incident a identifikujú zmeny, ktoré treba vykonať v prostredí a procesoch.

Čo je zisťovanie bezpečnostných hrozieb?

Identifikácia kybernetických hrozieb je čoraz zložitejšia, pretože organizácie rozšírili svoju cloudovú stopu, pripojili k internetu viac zariadení a prešli na hybridné pracovisko. Aktéri hrozieb využívajú tento rozšírený priestor a roztrieštenosť bezpečnostných nástrojov pomocou nasledujúcich typov taktík:
 
  • Kampane neoprávneného získavania údajov. Jedným z najčastejších spôsobov, ako zlí aktéri preniknú do spoločnosti, je zasielanie e-mailov, ktoré zamestnancov podvedú, aby si stiahli škodlivý kód alebo poskytli svoje prihlasovacie údaje.
  • Škodlivý softvér. Mnohí kybernetickí útočníci používajú softvér, ktorý je určený na poškodenie počítačov a systémov alebo na zhromažďovanie citlivých informácií.
  • Ransomvér. Útočníci ransomvéru držia kritické systémy a údaje ako rukojemníkov a hrozia, že uvoľnia súkromné údaje alebo ukradnú cloudové zdroje na ťažbu bitcoinov, kým sa nezaplatí výkupné. V poslednom čase sa čoraz väčším problémom pre bezpečnostné tímy stáva ransomware ovládaný ľuďmi, pri ktorom skupina kybernetických útočníkov získa prístup do celej siete organizácie.
  • Distribuované útoky zahltením servera služby (DDoS útoky). Pomocou série botov narúšajú aktéri hrozieb webové stránky alebo služby tým, že ich zaplavujú návštevnosťou.
  • Hrozba zvnútra. Nie všetky kybernetické hrozby prichádzajú zvonka. Existuje tiež riziko, že dôveryhodné osoby s prístupom k citlivým údajom môžu neúmyselne alebo so zlým úmyslom poškodiť organizáciu.
  • Útoky založené na identite. Väčšina narušení zahŕňa kompromitáciu identít, čo znamená, že kybernetickí útočníci ukradnú alebo uhádnu poverovacie údaje používateľa a použijú ich na získanie prístupu do systémov a k údajom organizácie.
  • Útoky na internet vecí (IoT). Zariadenia internetu vecí sú tiež zraniteľné voči kybernetickým útokom, najmä staršie zariadenia, ktoré nemajú zabudované bezpečnostné kontroly ako moderné zariadenia.
  • Útoky na dodávateľský reťazec. Niekedy sa aktér hrozieb zameria na organizáciu tým, že manipuluje so softvérom alebo hardvérom, ktorý dodáva dodávateľ tretej strany.
  • Injekcia kódu. Využitím zraniteľností v spôsobe, akým zdrojový kód spracúva externé údaje, môžu kybernetickí zločinci do aplikácie vložiť škodlivý kód.
Detekcia hrozieb
Aby organizácie predstihli rastúci počet kybernetických bezpečnostných útokov, používajú modelovanie hrozieb na definovanie bezpečnostných požiadaviek, identifikáciu zraniteľností a rizík a stanovenie priorít nápravy. Pomocou hypotetických scenárov sa SOC snaží preniknúť do mysle kybernetických zločincov, aby mohla zlepšiť schopnosť organizácie predchádzať incidentom zabezpečenia alebo ich zmierňovať. Architektúra MITRE ATT&CK® je užitočný model na pochopenie bežných techník a taktík kybernetických útokov.

Viacvrstvová obrana si vyžaduje nástroje, ktoré zabezpečia nepretržité monitorovanie prostredia v reálnom čase a odhalia potenciálne bezpečnostné problémy. Riešenia sa tiež musia prekrývať, aby v prípade narušenia jednej metódy detekcie druhá metóda odhalila problém a upozornila bezpečnostný tím. Riešenia na detekciu kybernetických hrozieb používajú na identifikáciu hrozieb rôzne metódy vrátane:
 
  • Detekcia založená na podpise. Mnohé bezpečnostné riešenia skenujú softvér a prevádzku s cieľom identifikovať jedinečné podpisy, ktoré sú spojené s konkrétnym typom škodlivého softvéru.
  • Detekcia založená na správaní. Bezpečnostné riešenia, ktoré pomáhajú zachytiť nové a vznikajúce kybernetické hrozby, vyhľadávajú aj činnosti a správanie, ktoré sú bežné pri kybernetických útokoch.
  • Detekcia založená na anomáliách. Umelá inteligencia a analýza pomáhajú tímom pochopiť typické správanie používateľov, zariadení a softvéru, aby mohli identifikovať niečo neobvyklé, čo môže znamenať kybernetickú hrozbu.
Hoci je softvér veľmi dôležitý, ľudia zohrávajú pri odhaľovaní kybernetických hrozieb rovnako dôležitú úlohu. Okrem triedenia a skúmania výstrah generovaných systémom analytici používajú techniky vyhľadávania kybernetických hrozieb na proaktívne vyhľadávanie náznakov zneužitia, alebo hľadajú taktiky, techniky a postupy, ktoré naznačujú potenciálnu hrozbu. Tieto prístupy pomáhajú SOC rýchlo odhaliť a zastaviť sofistikované, ťažko odhaliteľné útoky

Čo je reakcia na hrozbu?

Po identifikácii dôveryhodnej kybernetickej hrozby zahŕňa reakcia na hrozbu všetky opatrenia, ktoré SOC prijme na jej obmedzenie a elimináciu, obnovu a zníženie pravdepodobnosti, že sa podobný útok zopakuje. Mnohé spoločnosti si vypracujú plán reakcie na incident, ktorý im pomôže riadiť sa počas potenciálneho narušenia, keď je rozhodujúca organizovanosť a rýchly postup. Dobrý plán reakcie na incidenty obsahuje príručky s postupnými pokynmi pre konkrétne typy hrozieb, úlohy a zodpovednosti a komunikačný plán.

Súčasti, výhody a osvedčené postupy TDR

Organizácie používajú na detekciu hrozieb a reakciu na ne rôzne nástroje a procesy. Efektívna detekcia hrozieb a reakcia na ne zvyšuje odolnosť, minimalizuje narušenia a podporuje postupy, ktoré tímom pomáhajú spolupracovať a znižovať frekvenciu a náklady na kybernetické útoky.

Rozšírená detekcia a reakcia (XDR)

Produkty na rozšírenú detekciu a reakciu (XDR) pomáhajú tímom SOC zjednodušiť celý životný cyklus prevencie kybernetických hrozieb, ich detekcie a reakcie na ne. Tieto riešenia monitorujú koncové body, cloudové aplikácie, e-mail a identity. Ak riešenie XDR zistí kybernetickú hrozbu, upozorní bezpečnostné tímy a automaticky reaguje na určité incidenty na základe kritérií, ktoré definuje SOC.

Detekcia ohrození identít a reakcia na ne

Keďže sa aktéri hrozieb často zameriavajú na zamestnancov, je dôležité zaviesť nástroje a procesy na identifikáciu a reakciu na hrozby pre identitu organizácie. Tieto riešenia zvyčajne využívajú analýzu správania používateľov a entít (UEBA) na definovanie základného správania používateľov a odhalenie anomálií, ktoré predstavujú potenciálnu hrozbu.

Správa informácií a udalostí zabezpečenia

Získanie prehľadu o celom digitálnom prostredí je prvým krokom k pochopeniu hrozieb. Väčšina tímov SOC používa riešenia na správu bezpečnostných informácií a udalostí (SIEM), ktoré zhromažďujú a korelujú údaje z koncových bodov, cloudov, e-mailov, aplikácií a identít. Tieto riešenia využívajú pravidlá detekcie a manuály na odhalenie potenciálnych kybernetických hrozieb prostredníctvom korelácie protokolov a upozornení. Moderné systémy SIEM využívajú na efektívnejšie odhaľovanie kybernetických hrozieb aj umelú inteligenciu a zahŕňajú externé zdroje informácií o hrozbách, takže dokážu identifikovať nové a vznikajúce kybernetické hrozby.

Analýza hrozieb

Na získanie komplexného prehľadu o kybernetických hrozbách používajú SOC nástroje, ktoré syntetizujú a analyzujú údaje z rôznych zdrojov vrátane koncových bodov, e-mailov, cloudových aplikácií a externých zdrojov informácií o hrozbách. Poznatky z týchto údajov pomáhajú bezpečnostným tímom pripraviť sa na kybernetický útok, odhaliť aktívne kybernetické hrozby, vyšetriť prebiehajúce incidenty zabezpečenia a účinne reagovať.

Detekcia koncových bodov a reakcia

Riešenia na detekciu koncových bodov a reakciu (EDR) sú skoršou verziou riešení XDR a zameriavajú sa iba na koncové body, ako sú počítače, servery, mobilné zariadenia a zariadenia IoT. Podobne ako riešenia XDR, aj tieto riešenia po odhalení potenciálneho útoku generujú upozornenie a v prípade niektorých dobre pochopených útokov reagujú automaticky. Keďže riešenia EDR sú zamerané len na koncové body, väčšina organizácií prechádza na riešenia XDR.

Správa zraniteľností

Správa zraniteľností je nepretržitý, proaktívny a často automatizovaný proces, ktorý monitoruje počítačové systémy, siete a podnikové aplikácie z hľadiska bezpečnostných slabín. Riešenia na správu zraniteľností hodnotia zraniteľnosti z hľadiska závažnosti a úrovne rizika a poskytujú správy, ktoré SOC využíva na nápravu problémov.

Orchestrácia, automatizácia a odozva zabezpečenia

Riešenia na koordináciu, automatizáciu a odozvu v oblasti zabezpečenia (SOAR) pomáhajú zjednodušiť odhaľovanie a reakciu na kybernetické hrozby tým, že spájajú interné a externé údaje a nástroje na jednom centralizovanom mieste. Zároveň automatizujú reakcie na kybernetické hrozby na základe súboru vopred definovaných pravidiel.

Spravovaná detekcia a reakcia

Nie všetky organizácie majú zdroje na efektívne odhaľovanie kybernetických hrozieb a reakciu na ne. Spravované služby detekcie a reakcie pomáhajú týmto organizáciám rozšíriť ich bezpečnostné tímy o nástroje a ľudí potrebných na vyhľadávanie hrozieb a primeranú reakciu.
Späť na karty

Riešenia na detekciu hrozieb a reakcie na ne

Detekcia a reakcia na hrozby je kritická funkcia, ktorú môžu všetky organizácie využívať na pomoc pri vyhľadávaní a riešení kybernetických hrozieb skôr, ako spôsobia škodu. Microsoft Security ponúka niekoľko riešení na ochranu pred hrozbami, ktoré pomáhajú bezpečnostným tímom monitorovať, zisťovať a reagovať na kybernetické hrozby. Pre organizácie s obmedzenými zdrojmi poskytuje Microsoft Defender Experts riadené služby na doplnenie existujúcich zamestnancov a nástrojov.
Najčastejšie otázky

Najčastejšie otázky

  • Pokročilá detekcia hrozieb zahŕňa techniky a nástroje, ktoré bezpečnostní profesionáli používajú na odhalenie pokročilých pretrvávajúcich hrozieb, čo sú sofistikované hrozby, ktoré sú navrhnuté tak, aby zostali neodhalené dlhší čas. Tieto hrozby sú často závažnejšie a môžu zahŕňať špionáž alebo krádež údajov.
  • Hlavnými metódami detekcie hrozieb sú bezpečnostné riešenia, ako napríklad SIEM alebo XDR, ktoré analyzujú aktivity v celom prostredí s cieľom odhaliť náznaky ohrozenia alebo správania, ktoré sa odchyľuje od očakávaného. Ľudia pracujú s týmito nástrojmi na triedenie a reagovanie na potenciálne hrozby. Na vyhľadávanie sofistikovaných útočníkov, ktorí sa môžu vyhnúť detekcii, používajú aj technológie XDR a SIEM.
  • Detekcia hrozieb je proces odhaľovania potenciálnych bezpečnostných rizík vrátane aktivít, ktoré môžu naznačovať, že zariadenie, softvér, sieť alebo identita boli ohrozené. Reakcia na incident zahŕňa kroky, ktoré bezpečnostný tím a automatizované nástroje podniknú na obmedzenie a odstránenie kybernetickej hrozby.
  • Proces detekcie hrozieb a reakcie na ne zahŕňa:
     
    • Detekcia. Nástroje zabezpečenia, ktoré monitorujú koncové body, identity, siete, aplikácie a cloudy, pomáhajú odhaliť riziká a potenciálne narušenia. Odborníci v oblasti zabezpečenia používajú tiež techniky vyhľadávania kybernetických hrozieb, aby sa pokúsili odhaliť vznikajúce kybernetické hrozby.
    • Skúmanie. Po identifikácii rizika ľudia pomocou umelej inteligencie a ďalších nástrojov potvrdia, že kybernetická hrozba je skutočná, určia, ako k nej došlo, a posúdia, ktoré aktíva spoločnosti sú ovplyvnené.
    • Obmedzenie. Aby sa zastavilo šírenie kybernetického útoku, tímy kybernetickej bezpečnosti izolujú infikované zariadenia, identity a siete od zvyšku majetku organizácie.
    • Odstránenie. Tímy odstraňujú hlavnú príčinu incidentu zabezpečenia s cieľom úplne odstrániť protivníka z prostredia a zmierniť zraniteľnosti, ktoré by mohli organizáciu vystaviť riziku podobného kybernetického útoku.
    • Obnovenie. Keď sú tímy dostatočne presvedčené, že kybernetická hrozba alebo zraniteľnosť boli odstránené, obnovia prevádzku všetkých izolovaných systémov.
    • Zostava. V závislosti od závažnosti incidentu bezpečnostné tímy zdokumentujú a informujú vedúcich pracovníkov, manažérov a/alebo predstavenstvo o tom, čo sa stalo a ako sa to vyriešilo.
    • Zmierňovanie rizík. S cieľom zabrániť opakovaniu podobného narušenia a zlepšiť reakciu v budúcnosti tímy skúmajú incident a identifikujú zmeny, ktoré treba vykonať v prostredí a procesoch.
  • TDR je skratka pre detekciu hrozieb a reakciu na ne, čo je proces identifikácie hrozieb kybernetickej bezpečnosti pre organizáciu a prijímanie opatrení na zmiernenie týchto hrozieb skôr, ako spôsobia skutočné škody. EDR je skratka pre detekciu koncových bodov a reakciu na ne, čo je kategória softvérových produktov, ktoré monitorujú koncové body organizácie na potenciálne kybernetické útoky, upozorňujú na tieto kybernetické hrozby bezpečnostný tím a automaticky reagujú na určité typy kybernetických útokov.

Sledujte zabezpečenie od spoločnosti Microsoft

Slovenčina (Slovensko) Ochrana osobných údajov spotrebiteľa v zdravotníctve Kontaktovať Microsoft Ochrana osobných údajov Správa súborov cookie Podmienky používania Ochranné známky Informácie o reklamách EU Compliance DoCs