This is the Trace Id: 096e150cd34e66f8c3d6cdb21e81a53d
Перейти до основного Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Переглянути всі продукти Кібербезпека на основі ШІ Безпека в хмарі Безпеки й система керування даними Доступ до ідентичностей і мережі Захист конфіденційності та керування ризиками Захист для ШІ Для малого та середнього бізнесу Уніфіковані операції системи безпеки Нульова довіра Ціни Послуги Партнери Переваги Захисного комплексу Microsoft Поінформованість про кібербезпеку Історії клієнтів Основи безпеки Ознайомлювальні версії продуктів Визнання в галузі Microsoft Security Insider Звіт про цифровий захист (Digital Defense Report) від корпорації Майкрософт Центр реагування на кіберзагрози Блоґ про Захисний комплекс Microsoft Заходи, присвячена Захисному комплексу Microsoft Спільнота технічних спеціалістів Microsoft Документація Бібліотека технічного вмісту Навчання та сертифікація Програма забезпечення відповідності вимогам для Microsoft Cloud Центр безпеки та конфіденційності Microsoft Портал надійності Microsoft Ініціатива щодо безпечного майбутнього Центр рішень для бізнесу Зв’язатися з відділом збуту Почати безкоштовне ознайомлення Захисний комплекс Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Гібридна реальність Microsoft HoloLens Microsoft Viva Квантові обчислення Освіта Автомобілі Фінансові послуги Державні установи Охорона здоров’я Виробництво Торгівля Знайти партнера Стати партнером Мережа партнерів Microsoft Marketplace Компанії з розробки ПЗ Блоґ Microsoft Advertising Центр розробників Документація Заходи Ліцензування Microsoft Learn Дослідження Microsoft Переглянути карту сайту
Двоє фахівців стоять в офісному коридорі, тримаючи планшет і обговорюючи роботу.

Що таке виявлення загроз і реагування на них?

Дізнайтеся, як захистити ресурси своєї організації, заздалегідь визначаючи та усуваючи ризики для кібербезпеки шляхом виявлення загроз і реагування на них.

Визначення виявлення загроз і реагування на них

Виявлення загроз і реагування на них – це процес кібербезпеки, який полягає в ідентифікуванні кіберзагроз для цифрових ресурсів організації та у вжитті заходів для їх якнайшвидшого усунення.

Як працює виявлення й усунення загроз?

Для боротьби з кіберзагрозами та іншими проблемами безпеки багато організацій створюють центр безпеки (security operations center, SOC) – централізовану функцію або команду, яка відповідає за покращення стану кібербезпеки в організації та запобігання, виявлення та реагування на загрози. На додачу до моніторингу та реагування на поточні кібератаки, SOC також виконує проактивну роботу з виявлення нових кіберзагроз і вразливостей організації. Більшість команд SOC, які можуть входити до складу організації або складатися із залучених зі сторони виконавців, працюють цілодобово та без вихідних.

Для виявлення спроб порушень, успішних або поточних порушень SOC використовує аналіз кіберзагроз та інші технології. Після виявлення кіберзагрози команда з безпеки використовує інструменти виявлення загроз і реагування, щоб усунути проблему або зменшити її.

Виявлення загроз і реагування на них зазвичай включають такі етапи:
 
  • Виявлення. Інструменти захисту, які контролюють кінцеві точки, ідентичності, мережі, програми та хмари, допомагають виявити ризики та потенційні порушення. Фахівці з безпеки також використовують методи відстеження кіберзагроз, намагаючись помітити складні кіберзагрози, що уникають виявлення.
  • Розслідування. Коли ризик виявлено, SOC за допомогою штучного інтелекту та інших інструментів з’ясовує, чи кіберзагроза реальна, визначає, як вона виникла, і оцінює, на які ресурси компанії вона вплинула.
  • Локалізація. Щоб зупинити поширення кібератаки, команди кібербезпеки та автоматизовані інструменти ізолюють інфіковані пристрої, ідентичності та мережі від решти ресурсів організації.
  • Ліквідація. Команди усувають першопричину інциденту з безпекою, маючи на меті повністю вигнати зловмисника з середовища. Вони також зменшують уразливості, які можуть піддати організацію ризику подібної кібератаки.
  • Відновлення. Після того як команди переконаються, що кіберзагрозу або вразливість видалено, вони повертають усі ізольовані системи до мережі.
  • Звіт Залежно від серйозності інциденту команди безпеки документують і сповіщають керівництво про те, що сталося та яких заходів вжито.
  • Зниження ризиків. Щоб запобігти виникненню подібних порушень і поліпшити майбутнє реагування, команди вивчають інцидент і визначають, які зміни потрібно внести до середовища та процесів.

Що таке виявлення загроз?

Виявляти кіберзагрози стає дедалі важче, оскільки організації розширюють свої хмарні ресурси, підключають дедалі більше пристроїв до Інтернету та переходять на гібридні робочі місця. Зловмисники користуються цією розширеною поверхнею атаки та розрізненістю інструментів захисту, застосовуючи такі типи тактики:
 
  • Фішингові кампанії. Один із найпоширеніших способів проникнення зловмисників у компанію, – це розсилання електронних листів, у яких співробітників обманним чином примушують завантажувати шкідливий код або надавати свої облікові дані.
  • Зловмисні програми. У багатьох кібератаках розгортається програмне забезпечення, призначене для пошкодження комп’ютерів і систем або збирання конфіденційної інформації.
  • Зловмисні програми з вимогою викупу. Зловмисні програми з вимогою викупу, різновид шкідливого програмного забезпечення, беруть у заручники критично важливі системи та дані, погрожуючи розкрити приватні дані, або крадуть хмарні ресурси для видобування біткойнів, доки не буде сплачено викуп. Останнім часом дедалі більшу проблему для команд із безпеки становлять зловмисні програми з вимогою викупу, керовані людиною, коли група кіберзловмисників отримує доступ до всієї мережі організації.
  • Розподілені атаки типу "відмова в обслуговуванні" (DDoS). За допомогою низки ботів зловмисники порушують роботу веб-сайту або служби, переповнюючи їх трафіком.
  • Внутрішня загроза. Не всі кіберзагрози походять із-поза меж організації. Існує також ризик того, що довірені особи з доступом до делікатних даних можуть ненавмисно чи зловмисно завдати шкоди організації.
  • Атаки на основі ідентичності. У більшості порушень задіяні зламані ідентичності, тобто зловмисники викрадають або вгадують облікові дані користувачів і використовують їх, щоб отримати доступ до систем і даних організації.
  • Атаки на Інтернет речей (IoT). Пристрої IoT також вразливі до кібератак, особливо застарілі пристрої, які не мають вбудованих засобів керування безпекою, як сучасні пристрої.
  • Атаки на ланцюжки постачання. Іноді зловмисники атакують організацію, втручаючись у програмне забезпечення або устаткування, яке надає сторонній постачальник.
  • Впровадження коду. Використовуючи вразливості в обробці зовнішніх даних вихідним кодом, кіберзлочинці впроваджують у програму зловмисний код.
Виявлення загроз
Щоб випередити зростання атак на кібербезпеку, організації використовують моделювання загроз для визначення вимог до безпеки, виявлення вразливостей і ризиків, а також визначення пріоритетів у виправленні. Використовуючи гіпотетичні сценарії, SOC намагається вирахувати імовірні дії кіберзлочинців, щоб покращити здатність організації відвертати інциденти з безпекою або пом’якшувати їх. Платформа MITRE ATT&CK® – це корисна модель для розуміння поширених методів і тактики кібератак.

Багатошаровий захист потребує інструментів, які забезпечують безперервний моніторинг середовища в реальному часі та виявляють потенційні проблеми безпеки. Рішення також мають дублювати одне одного, щоб у разі невдачі одного методу виявлення інший виявив проблему та повідомив команду з безпеки. Рішення з виявлення кіберзагроз використовують різноманітні методи ідентифікування загроз, зокрема:
 
  • Виявлення на основі сигнатури. Багато рішень для захисту сканують програмне забезпечення та трафік для виявлення унікальних сигнатур, пов’язаних із певними типами зловмисних програм.
  • Виявлення на основі поведінки. Для зручнішого виявлення нових кіберзагроз рішення для захисту також шукають дії та закономірності поведінки, які часто трапляються під час кібератак.
  • Виявлення на основі аномалій. ШІ та аналітика допомагають командам зрозуміти типову поведінку користувачів, пристроїв і програмного забезпечення, щоб бути спроможними виявити щось незвичайне, що може вказувати на кіберзагрозу.
Хоча програмне забезпечення критично важливе, люди відіграють не менш важливу роль у виявленні кіберзагроз. На додачу до сортування й вивчення створюваних системою оповіщень аналітики використовують методи відстеження кіберзагроз, щоб заздалегідь знаходити ознаки зламу, або шукають тактику, методи та процедури, які вказують на потенційну загрозу. Ці підходи допомагають SOC швидко викривати та зупиняти складні атаки, які важко виявити

Що таке реагування на загрози?

Після виявлення реальної кіберзагрози реагування на загрозу включає будь-які дії, до яких SOC вдається, щоб локалізувати та усунути її, ліквідувати наслідки та зменшити ймовірність того, що подібна атака станеться знову. Багато компаній розробляють плани реагування на інциденти, які допомагають орієнтуватися під час потенційного порушення, коли організованість і швидкі дії дуже важливі. Добре складений план реагування на інциденти містить плани дій із покроковими інструкціями щодо конкретних типів загроз, ролі та обов’язки, а також план комунікації.

Компоненти, переваги та найкращі практики TDR

Організації використовують різноманітні інструменти та процеси, щоб виявляти загрози та реагувати на них. Ефективне виявлення загроз та реагування на них підвищує стійкість до зловживань, мінімізує кількість порушень безпеки та сприяє впровадженню практик, які допомагають командам співпрацювати й зменшувати частоту та вартість кібератак.

Розширене виявлення і реагування

Продукти розширеного виявлення та реагування (extended detection and response, XDR) допомагають центрам безпеки спрощувати весь життєвий цикл запобігання, виявлення та реагування на кіберзагрози. Ці рішення відстежують кінцеві точки, хмарні програми, електронну пошту та ідентичності. Якщо рішення XDR виявляє кіберзагрозу, воно оповіщає команди з безпеки та автоматично реагує на певні інциденти на основі критеріїв, які визначає SOC.

Виявлення загроз для ідентичностей і реагування на них

Оскільки зловмисники часто націлюються на працівників,’важливо запровадити інструменти та процеси для виявлення загроз ідентичностям в організації та реагування на них. Ці рішення зазвичай використовують аналітику поведінки користувачів і сутностей (user and entity behavior analytics, UEBA), щоб визначати нормальну поведінку користувачів і виявляти аномалії, які становлять потенційну загрозу.

Керування захистом інформації

Досягнення видимості всього цифрового середовища – це перший крок до розуміння ситуації з загрозами. Більшість команд SOC використовують рішення з керування захистом інформації (security information and event management, SIEM), які об’єднують і зіставляють дані на кінцевих точках, у хмарах, електронних листах, програмах та ідентичностях. Ці рішення за допомогою правил виявлення та планів виявляють потенційні кіберзагрози шляхом кореляції журналів і оповіщень. Сучасні рішення SIEM також використовують штучний інтелект, щоб ефективніше виявляти кіберзагрози, і підключають зовнішні канали аналізу кіберзагроз, щоб ідентифікувати нові кіберзагрози.

Аналіз загроз

Щоб отримати комплексне уявлення про кіберзагрози, центри безпеки використовують інструменти, які синтезують і аналізують дані з різних джерел, зокрема кінцевих точок, електронної пошти, хмарних програм і зовнішніх джерел аналізу кіберзагроз. Аналітичні висновки з цих даних допомагають командам безпеки готуватися до кібератак, виявляти активні кіберзагрози, досліджувати поточні інциденти з безпекою та ефективно реагувати.

Протидія загрозам у кінцевих точках

Рішення з протидії загрозам у кінцевих точках (endpoint detection and response, EDR) – це раніша версія рішень XDR, орієнтована лише на кінцеві точки, як-от комп’ютери, сервери, мобільні пристрої, IoT. Подібно до рішень XDR, ці рішення, коли виявлено потенційну атаку, ці рішення створюють оповіщення та автоматично відповідають на певні добре зрозумілі атаки. Оскільки рішення EDR орієнтовані лише на кінцеві точки, більшість організацій переходять на рішення XDR.

Керування вразливостями

Керування вразливостями – це безперервний, проактивний і часто автоматизований процес, який відстежує комп’ютерні системи, мережі та корпоративні програми на наявність прогалин у безпеці. Рішення з керування вразливостями оцінюють серйозність і рівень ризику вразливості та надають звіти, які, у свою чергу, SOC використовує для вирішення проблем.

Координація, автоматизація та реагування системи безпеки

Координація, автоматизація та реагування системи безпеки (SOAR) – Виявляйте та зупиняйте атаки в системі безпеки на рівні підприємства за допомогою сучасного рішення SecOps – Microsoft Sentinel.Рішення з координації, автоматизації та реагування системи безпеки (security orchestration, automation, and response, SOAR) спрощують виявлення кіберзагроз і реагування на них, об’єднуючи внутрішні та зовнішні дані та інструменти в єдиному централізованому розташуванні. Вони також автоматизують реагування на кіберзагрози на основі набору попередньо визначених правил.

Кероване виявлення і реагування

Не всі організації мають ресурси для ефективного виявлення кіберзагроз і реагування на них. Кероване виявлення і реагування – дізнайтеся про кероване виявлення і реагування (MDR) і про те, як це рішення може допомогти захистити вашу організацію від кіберзагроз.Служби керованого виявлення й реагування допомагають цим організаціям доповнити свої команди з безпеки інструментами й людьми, які потрібні їм, щоб належним чином відстежувати загрози й відповідати на них.
Повернутися до вкладок

Рішення з виявлення загроз і реагування на них

Виявлення загроз і реагування на них – це критично важлива функція, яку можуть використовувати всі організації, щоб краще знаходити кіберзагрози та усувати їх, перш ніж вони завдадуть шкоди. Захисний комплекс Microsoft пропонує кілька рішень для захисту від загроз, які допомагають командам безпеки відстежувати, виявляти кіберзагрози та реагувати на них. Для організацій з обмеженими ресурсами Microsoft Defender Experts пропонує керовані служби, які доповнюють наявний персонал та інструменти.
Запитання й відповіді

Запитання й відповіді

  • Виявлення вдосконалених загроз охоплює методи та засоби, за допомогою яких фахівці з безпеки виявляють удосконалені постійні загрози, тобто складні загрози, розроблені так, щоб залишатися непоміченими протягом тривалого часу. Ці загрози часто більш серйозні та можуть включати шпіонаж або крадіжку даних.
  • Основними методами виявлення загроз є рішення для захисту, як-от SIEM або XDR, які аналізують діяльність у середовищі та виявляють ознаки порушень або поведінку, що відхиляється від очікуваної. За допомогою цих інструментів працівники сортують потенційні загрози та реагують на них. Крім того, за допомогою XDR і SIEM вони відстежують складні атаки, які можуть уникати виявлення.
  • Виявлення загроз – це процес розкриття потенційних ризиків для безпеки, включно з діями, які можуть вказувати на порушення безпеки пристрою, програмного забезпечення, мережі або ідентичності. Реагування на інциденти включає заходи, яких вживають команда з безпеки та автоматизовані інструменти, щоб локалізувати та усунути кіберзагрозу.
  • Процес виявлення загроз і реагування на них включає:
     
    • Виявлення. Інструменти захисту, які контролюють кінцеві точки, ідентичності, мережі, програми та хмари, допомагають виявити ризики та потенційні порушення. Фахівці з безпеки також використовують методи відстеження кіберзагроз, намагаючись виявити кіберзагрози, що виникають.
    • Розслідування. Коли ризик виявлено, працівники за допомогою штучного інтелекту та інших інструментів з’ясовують, чи кіберзагроза реальна, визначають, як вона виникла, і оцінюють, на які ресурси компанії вона вплинула.
    • Локалізація. Щоб зупинити поширення кібератаки, команди кібербезпеки ізолюють інфіковані пристрої, ідентичності та мережі від решти ресурсів організації.
    • Ліквідація. Команди усувають першопричину інциденту з безпекою, намагаючись повністю вигнати зловмисника з середовища та зменшити вразливості, які можуть піддати організацію ризику подібної кібератаки.
    • Відновлення. Після того як команди переконаються, що кіберзагрозу або вразливість видалено, вони повертають усі ізольовані системи до мережі.
    • Звіт. Залежно від серйозності інциденту команди безпеки документують і сповіщають керівництво про те, що сталося та яких заходів вжито.
    • Зниження ризиків. Щоб запобігти виникненню подібних порушень і поліпшити майбутнє реагування, команди вивчають інцидент і визначають, які зміни потрібно внести до середовища та процесів.
  • TDR означає "threat detection and response" (виявлення загроз і реагування на них). Це процес ідентифікування загроз для кібербезпеки організації та вжиття заходів для зменшення цих загроз, перш ніж вони завдадуть реальної шкоди. EDR означає "endpoint detection and response" (протидія загрозам у кінцевих точках). Це категорія програмних продуктів, які відстежують кінцеві точки організації на наявність потенційних кібератак, сповіщають про ці кіберзагрози команді з безпеки та автоматично реагують на кібератаки певних типів.

Підпишіться на новини про Захисний комплекс Microsoft

Українська (Україна) Конфіденційність інформації про здоров’я споживачів Звернутися до корпорації Microsoft Конфіденційність Керування файлами cookie Умови використання Товарні знаки Відомості про рекламу