This is the Trace Id: 309fe0732fb35bdef21fb35dbbb5e0b0
Pređi na glavni sadržaj Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Pogledajte sve proizvode Kibernetička bezbednost koja koristi veštačku inteligenciju Bezbednost u oblaku Bezbednost i upravljanje Pristup identitetu i mreži Upravljanje privatnošću i rizicima Bezbednost za veštačku inteligenciju Mala i srednja preduzeća Objedinjeni timovi za bezbednosne operacije Nulta pouzdanost Cene Usluge Partneri Zašto koristiti Microsoft bezbednost? Svest o kibernetičkoj bezbednosti Priče klijenata Security 101 Probne verzije proizvoda Priznanje u okviru delatnosti Microsoft Security Insider Microsoft izveštaj o digitalnoj odbrani Security Response Center Blog o Microsoft bezbednosti Microsoft događaji vezani za bezbednost Microsoft Tech Community Dokumentacija Biblioteka tehničkog sadržaja Obuka i certifikacije Program za usaglašenost za Microsoft oblak Microsoft centar za pouzdanost Portal za pouzdanost usluga Microsoft Inicijativa za bezbednu budućnost Čvorište za poslovna rešenja Obratite se prodaji Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mešovita realnost Microsoft HoloLens Microsoft Viva Kvantno računarstvo Education Automobili Finansijske usluge Vlada Zdravstvo Proizvodnja Maloprodaja Pronađite partnera Postanite partner Partnerske mreže Microsoft Marketplace Softverska preduzeća Blog Microsoft Advertising Razvojni centar Documentation Events Licensing Microsoft Learn Microsoft Research Prikaži mapu lokacije
Dvoje stručnjaka stoje u hodniku kancelarije, drže tablet računare i razgovaraju o poslu.

Šta je Otkrivanje pretnji i reagovanje (Threat Detection and Response – TDR)?

Saznajte kako da zaštitite resurse organizacije proaktivnim identifikovanjem i ublažavanjem rizika u oblasti kibernetičke bezbednosti primenom otkrivanja pretnji i reagovanja na njih.

Kako se definiše Otkrivanje pretnji i reagovanje (Threat Detection and Response – TDR)

Otkrivanje pretnji i reagovanje na njih je proces u oblasti kibernetičke bezbednosti za identifikovanje kibernetičkih pretnji po digitalne resurse organizacije i preduzimanje koraka za njihovo što brže otklanjanje.

Kako funkcioniše otkrivanje pretnji i reagovanje?

Za rešavanje problema u vezi sa kibernetičkim pretnjama i drugim bezbednosnim incidentima, mnoge organizacije formiraju centar za bezbednosne operacije (SOC), koji predstavlja centralizovanu funkciju ili namenski tim odgovoran za unapređenje stanja kibernetičke bezbednosti, kao i za sprečavanje, otkrivanje i reagovanje na pretnje. Pored nadgledanja i odgovaranja na tekućekibernetičke napade, SOC takođe proaktivno radi na identifikovanju novih kibernetičkih pretnji i ranjivosti organizacije. Većina SOC timova, bilo da su interni ili eksterno angažovani, radi neprekidno, 24 časa dnevno, sedam dana u nedelji.

SOC tim koristi informacije o pretnjama i tehnologiju kako bi otkrio pokušaj proboja, uspešan proboj ili proboj koji je još u toku. Kada se identifikuje kibernetička pretnja, bezbednosni tim će koristiti alatke za otkrivanje pretnji i odgovore da bi uklonio ili ublažio problem.

Otkrivanje pretnji i reagovanje na njih obično uključuje sledeće faze:
 
  • Otkrivanje. Bezbednosne alatke koje nadgledaju krajnje tačke, identitete, mreže, aplikacije i oblake pomažu u otkrivanju rizika i potencijalnih proboja. Stručnjaci za bezbednost takođe koristetehnike potrage za kibernetičkim pretnjama da otkriju sofisticirane kibernetičke pretnje koje izbegavaju otkrivanje.
  • Ispitivanje. Kada se identifikuje rizik, SOC koristi AI i druge alatke da bi potvrdio da je kibernetička pretnja stvarna, utvrdio kako se to desilo i procenio na koje resurse preduzeća to utiče.
  • Zadržavanje. Da biste zaustavili širenje kibernetičkih grupa, timovi za kibernetičku bezbednost i automatizovane alatke izoluju zaražene uređaje, identitete i mreže od ostatka resursa organizacije.
  • Iskorenjivanje. Teams eliminiše osnovni uzrok bezbednosnog incidenta sa ciljem potpunog izbacivanja lošeg aktera iz okruženja. One takođe ublažavaju ranjivosti koje mogu da izlože organizaciju riziku od sličnog kibernetičkog napada.
  • Oporavak. Kada timovi opravdano procene da je kibernetička pretnja ili ranjivost otklonjena, vraćaju u rad sve izolovane sisteme.
  • Izveštaj. U zavisnosti od težine incidenta, bezbednosni timovi izrađuju dokumentaciju i obaveštavaju rukovodioce, direktore ili upravni odbor o detaljima događaja i načinu rešavanja.
  • Ublaživanje rizika. Kako bi sprečili ponavljanje sličnog bezbednosnog proboja i poboljšali reagovanje u budućnosti, timovi proučavaju incident i utvrđuju koje je izmene potrebno uvesti u okruženje i procese.

Šta je otkrivanje pretnji?

Otkrivanje kibernetičkih pretnji postaje sve složenije kako organizacije proširuju svoje prisustvo u oblaku, povezuju sve veći broj uređaja sa internetom i prelaze na hibridni način rada. Zlonamerni akteri koriste prednosti ove povećane površine i fragmentacije bezbednosnih alatki, i to sledećim tipovima taktika:
 
  • Phishing kampanje – Saznajte više o tome šta je phishing, šta u napadu treba da tražite i kako da se zaštitite uz alatke i savete za bezbedno korišćenje interneta.Phishing kampanje. Jedan od najčešćih načina koje zlonamerni akteri koriste za prodiranje u preduzeće je slanje e-poruka kojima navode zaposlene da preuzmu zlonamerni kôd ili otkriju svoje akreditive.
  • Malver – Saznajte kako da otkrijete, sprečite i reagujete na napade malverom uz pomoć naprednih alatki i proaktivnih bezbednosnih strategija.Malver. Veliki broj kibernetičkih napadača primenjuje softver dizajniran tako da dovede do oštećenja računara i sistema ili prikuplja osetljive informacije.
  • Ransomver – Saznajte šta je ransomver, kako funkcioniše i kako da zaštitite preduzeće od ove vrste kibernetičkog napada.Ransomver. Tip malvera, napadači ransomver-a drže kritične sisteme i podatke kao taoce, preteći da će objaviti privatne podatke ili ukrasti resurse u oblaku za rudarenje bitkoina dok se ne plati otkup. Poslednjih godina sve veći problem za bezbednosne timove predstavljaju ransomver napadi kojima aktivno upravljaju napadači, pri čemu grupa kibernetičkih napadača stiče pristup celokupnoj mreži organizacije.
  • Distribuirani napadi radi onemogućavanja usluga (DDoS). Zlonamerni akteri koriste mrežu botova kako bi ometali rad veb sajta ili usluge preplavljivanjem saobraćajem.
  • Insajderska pretnja. Ne dolaze svi kibernetički napadi izvan organizacije. Postoji i rizik da pouzdane osobe koje imaju pristup osetljivim podacima mogu nenamerno ili zlonamerno da naškode organizaciji.
  • Napadi zasnovani na identitetu. Većina proboja uključuje ugrožene identitete, što je kada kibernetički napadači kradu ili pogađaju korisničke akreditive i koriste ih za dobijanje pristupa sistemima i podacima organizacije.
  • Napadi Interneta stvari (IoT). IoT uređaji su takođe podložni kibernetičkim napadima,posebno zastareli uređaji koji nemaju ugrađene bezbednosne kontrole kao moderni uređaji.
  • Napadi na lanac snabdevanja. Ponekad loš akter cilja organizaciju neovlašćenim izmenama softvera ili hardvera koji je isporučio nezavisni proizvođač.
  • Ubacivanje koda. Iskorišćavanjem ranjivosti u načinu na koji izvorni kôd rukuje spoljnim podacima, kibernetički kriminalci ubacuju zlonamerni kôd u aplikaciju.
Otkrivanje pretnji
Da bi stekle prednost od rastućih napada kibernetičke bezbednosti, organizacije koriste modeliranje pretnji da definišu bezbednosne zahteve, identifikuju ranjivosti i rizike i daju prioritet oporavku. Koristeći hipotetičke scenarije, SOC pokušava da pristupi umu kibernetičkih kriminalca kako bi mogli da poboljšaju mogućnost organizacije da spreči ili ublaži bezbednosne incidente. MITRE ATT&CK® okvir je koristan model za razumevanje uobičajenih tehnika i taktika kibernetičkih napada.

Višeslojna odbrana zahteva alatke koje obezbeđuju neprekidno nadgledanje okruženja u realnom vremenu i potencijalne bezbednosne probleme. Rešenja takođe moraju da se preklapaju, tako da ako je jedan metod otkrivanja ugrožen, drugi će otkriti problem i obavestiti bezbednosni tim. Rešenja za otkrivanje kibernetičkih pretnji koriste različite metode za identifikovanje pretnji, uključujući:
 
  • otkrivanje zasnovano na potpisu. Mnoga bezbednosna rešenja skeniraju softver i saobraćaj kako bi identifikovala jedinstvene potpise koji su povezani sa određenim tipom malvera.
  • otkrivanje zasnovano na ponašanju. Kako bi otkrila nove i rastuće kibernetičke pretnje, bezbednosna rešenja prate aktivnosti i obrasce ponašanja koji su karakteristični za kibernetičke napade.
  • Otkrivanje zasnovano na anomalijama. Veštačka inteligencija i analitika pomažu timovima da razumeju uobičajene obrasce ponašanja korisnika, uređaja i softvera kako bi mogli da uoče neuobičajene aktivnosti koje mogu ukazivati na kibernetičku pretnju.
Iako je softver od ključnog značaja, ljudi imaju podjednako važnu ulogu u otkrivanju kibernetičkih pretnji. Pored određivanja i istraživanja sistemski generisanih upozorenja, analitičari koriste tehnike potraga za kibernetičkim pretnjama da bi proaktivno pretraživaliindikacije ugrožavanjaili traže taktike, tehnike i procedure koje predlažu potencijalnu pretnju. Ovakvi pristupi pomažu SOC timu u brzom otkrivanju i zaustavljanju sofisticiranih napada koje je teško otkriti

Šta je reagovanje na pretnje?

Nakon što se potvrdi postojanje kibernetičke pretnje, reagovanje na pretnju obuhvata sve mere koje SOC preduzima kako bi je obuzdao i otklonio, obnovio normalno funkcionisanje sistema i smanjio verovatnoću ponavljanja sličnog napada. Mnoge kompanije razvijaju plan odgovora na incidente koji će im pomoći da ih vode tokom potencijalnog proboja kada je kritično biti organizovan i brzo se kretati. Dobar plan reagovanja na incidente uključuje operativne procedure sa detaljnim smernicama za određene vrste pretnji, jasno definisane uloge i odgovornosti, kao i plan komunikacije.

Komponente, prednosti i najbolje prakse za TDR

Organizacije koriste različite alatke i procese za otkrivanje i reagovanje na pretnje. Efikasno otkrivanje pretnji i reagovanje poboljšava otpornost sistema, smanjuje broj bezbednosnih proboja i podstiče prakse koje pomažu timovima da sarađuju i smanje učestalost i troškove kibernetičkih napada.

Prošireno otkrivanje i reagovanje

Proizvodi za prošireno otkrivanje i reagovanje (XDR) pomažu SOC timovima da pojednostave kompletnu zaštitu, otkrivanje i životni ciklus reagovanja na kibernetičke pretnje. Ova rešenja nadgledaju krajnje tačke, aplikacije u oblaku, e-poštu i identitete. Ako XDR rešenje otkrije kibernetičku pretnju, upozorava bezbednosne timove i automatski reaguje na određene incidente na osnovu kriterijuma koje definiše SOC.

Otkrivanje pretnji po identitet i reagovanje

Pošto zlonamerni akteri često ciljaju zaposlene, važno je uspostaviti alatke i procese za otkrivanje pretnji po identitete u organizaciji i reagovanje na njih. Ova rešenja obično koriste analitiku ponašanja korisnika i entiteta (UEBA) kako bi utvrdila uobičajene obrasce ponašanja korisnika i otkrila odstupanja koja mogu ukazivati na potencijalnu pretnju.

Upravljanje bezbednosnim informacijama i događajima

Sticanje celovitog uvida u digitalno okruženje prvi je korak ka razumevanju okruženja pretnji. Većina SOC timova koristirešenja za bezbednosne informacije i upravljanje događajima (SIEM) koja prikupljaju i povezuju podatke širom krajnjih tačaka, oblaka, e-pošte, aplikacija i identiteta. Ova rešenja koriste pravila za otkrivanje i pravilnike za otkrivanje potencijalnih kibernetičkih pretnji povezujući evidencije i upozorenja. Savremeni SIEM sistemi koriste i veštačku inteligenciju za efikasnije otkrivanje kibernetičkih pretnji i integrišu spoljne izvore obaveštajnih podataka o pretnjama, kako bi mogli da identifikuju nove i nastajuće kibernetičke pretnje.

Informacije o pretnjama

Kako bi stekli sveobuhvatan uvid u okruženje kibernetičkih pretnji, SOC timovi koriste alatke koje objedinjuju i analiziraju podatke iz različitih izvora, uključujući krajnje tačke, elektronsku poštu, aplikacije u oblaku i spoljne izvore obaveštajnih podataka o pretnjama. Uvidi iz ovih podataka omogućavaju bezbednosnim timovima da se pripreme za kibernetički napad, otkriju kibernetičke pretnje, istraže bezbednosne incidente koji su u toku i da efikasno reaguju.

Otkrivanje i odgovor na krajnjim tačkama

Rešenja za otkrivanje i odgovor na krajnjim tačkama (EDR) predstavljaju stariju verziju rešenja za XDR, s tim što se fokusiraju samo na krajnje tačke, kao što su računari, serveri, mobilni uređaji, IoT. Kao i kod rešenja za XDR, kada se otkrije potencijalni napad, ova rešenja generišu upozorenje i, za određene dobro proučene napade, reaguju automatski. Budući da se EDR rešenja fokusiraju samo na krajnje tačke, većina organizacija prelazi na XDR rešenja.

Upravljanje pretnjama i ranjivim mestima

Upravljanje pretnjama i ranjivim mestima predstavlja pristup otkrivanju ranjivosti i pogrešnih konfiguracija, određivanju njihovog prioriteta i saniranju, zasnovan na rizicima.Upravljanje ranjivostima je neprekidan, proaktivan i često automatizovan proces koji nadgleda računarske sisteme, mreže i poslovne aplikacije u potrazi za bezbednosnim nedostacima. Rešenja za upravljanje pretnjama i ranjivim mestima procenjuju ranjivosti prema ozbiljnosti i nivou rizika i dostavljaju izveštaje koje SOC koristi za rešavanje problema.

Automatizovani odgovor bezbednosne orkestracije

Rešenja za automatizovani odgovor bezbednosne orkestracije (SOAR) pojednostavljuju otkrivanje kibernetičkih pretnji i reagovanje na njih objedinjavanjem unutrašnjih i spoljnih podataka i alatki na jedno centralizovano mesto. Rešenja omogućavaju i automatizovanje reagovanja na osnovu unapred definisanih pravila.

Kontrolisano otkrivanje i reagovanje

Nemaju sve organizacije resurse za efikasno otkrivanje i reagovanje na kibernetičke pretnje. Usluge za kontrolisano otkrivanje i reagovanje pomažu tim organizacijama da unaprede bezbednosne timove tako što im obezbeđuju alatke i osoblje neophodne za potragu za pretnjama i odgovarajuće reagovanje.
Nazad na kartice

Rešenja za otkrivanje pretnji i reagovanje

Otkrivanje pretnji i reagovanje ključna je funkcija koju sve organizacije mogu koristiti kao pomoć za otkrivanje i rešavanje kibernetičkih pretnji pre nego što dođe do posledica. Microsoft bezbednost nudi nekoliko rešenja za zaštitu od pretnji koja pomažu bezbednosnim timovima da nadgledaju, otkrivaju i odgovaraju na kibernetičke pretnje. Organizacijama sa ograničenim resursima stručnjaci za Microsoft Defender obezbeđuju kontrolisane usluge za unapređenje postojećeg osoblja i alatki.
Najčešća pitanja

Najčešća pitanja

  • Napredno otkrivanje pretnji obuhvata tehnike i alatke koje koriste stručnjaci za bezbednost kako bi otkrili napredne trajne pretnje, odnosno sofisticirane pretnje koje su dizajnirane tako da ostanu neprimećene duži vremenski period. Ove pretnje su često ozbiljnije i mogu da uključuju špijunažu ili krađu podataka.
  • Osnovni metodi otkrivanja pretnji su bezbednosna rešenja, kao na primer SIEM ili XDR, koja analiziraju aktivnosti u celom okruženju sa ciljem otkrivanja pokazatelja ugrožavanja ili neočekivanih obrazaca ponašanja. Ljudi rade sa ovim alatkama na trijaži i odgovaranju na potencijalne pretnje. Oni koriste XDR i SIEM u potrazi za sofisticiranim napadačima koji bi mogli ostati neotkriveni.
  • Otkrivanje pretnji je proces otkrivanja potencijalnih bezbednosnih rizika, uključujući aktivnosti koje mogu ukazivati na ugroženost uređaja, softvera, mreže ili identiteta. Reagovanje na incident uključuje korake koje preduzimaju bezbednosni tim i automatizovane alatke radi sprečavanja i otklanjanja kibernetičke pretnje.
  • Proces otkrivanja pretnji i reagovanja obuhvata sledeće:
     
    • Otkrivanje. Bezbednosne alatke koje nadgledaju krajnje tačke, identitete, mreže, aplikacije i oblake pomažu u otkrivanju rizika i potencijalnih proboja. Stručnjaci za bezbednost takođe koriste tehnike potrage na kibernetičke pretnje da bi pokušali da otkriju nove kibernetičke pretnje.
    • Ispitivanje. Kada se rizik identifikuje, koriste se veštačka inteligencija i druge alatke kako bi se potvrdilo da je kibernetička pretnja stvarna, utvrdilo kako je do nje došlo i procenilo koji resursi preduzeća su ugroženi.
    • Obuzdavanje. Da bi zaustavili širenje kibernetičkog napada, timovi za kibernetičku bezbednost izoluju zaražene uređaje, identitete i mreže od ostalih resursa organizacije.
    • Iskorenjivanje. Timovi otklanjaju osnovni uzrok bezbednosnog incidenta sa ciljem potpunog uklanjanja napadača iz okruženja i ublažavanja ranjivosti koje bi mogle dovesti organizaciju u rizik od sličnog kibernetičkog napada.
    • Oporavak. Kada timovi opravdano procene da je kibernetička pretnja ili ranjivost otklonjena, vraćaju u rad sve izolovane sisteme.
    • Izveštaj. U zavisnosti od ozbiljnosti incidenta, bezbednosni timovi će dokumentovati i obavestiti rukovodioce, direktore i/ili odbor o tome šta se dogodilo i kako je rešen.
    • Ublaživanje rizika. Kako bi sprečili ponavljanje sličnog bezbednosnog proboja i poboljšali reagovanje u budućnosti, timovi proučavaju incident i utvrđuju koje je izmene potrebno uvesti u okruženje i procese.
  • TDR predstavlja proces identifikovanja kibernetičkih pretnji za organizaciju i preduzimanja koraka za njihovo ublažavanje pre nego što izazovu stvarnu štetu. EDR predstavlja kategoriju softverskih rešenja koja nadgledaju krajnje tačke organizacije u potrazi za potencijalnim kibernetičkim napadima, prikazuju te pretnje bezbednosnom timu i automatski reaguju na određene tipove napada.

Pratite Microsoft bezbednost