威胁检测和响应的工作原理 为了解决网络威胁和其他安全问题,许多组织建立了安全运营中心 (SOC),这是一个集中的职能部门或团队,负责改善组织的网络安全状况,以及防范、检测和响应威胁。除了监视和响应正在进行的网络攻击外,SOC 还会主动行动来识别新出现的网络威胁和组织漏洞。大多数 SOC 团队(可以是现场团队,也可以是外包团队)每周 7 天全天候工作。 SOC 运用威胁情报和技术来发现企图、成功或正在进行的入侵。确定网络威胁后,安全团队将使用威胁检测和响应工具来消除或缓解该问题。 威胁检测和响应通常包括以下阶段: 检测。有安全工具监视终结点、标识、网络、应用和云,帮助发现风险和潜在漏洞。安全专业人员还使用网络威胁搜寻技术来发现逃避检测的复杂网络威胁。调查。确定风险后,SOC 将使用 AI 和其他工具来确认网络威胁的真实性、确定其发生情况,并评估哪些公司资产受到了影响。遏制。为了阻止网络攻击的蔓延,网络安全团队和自动化工具将受感染的设备、标识和网络与组织的其余资产隔离开来。根除。团队消除安全事件的根本原因,目标是将恶意操作者从环境中完全逐出。他们还缓解可能使组织面临类似网络攻击风险的漏洞。恢复。在团队有理由确信网络威胁或漏洞已被移除后,他们会将所有隔离的系统重新联机。报告。 根据事件的严重程度,安全团队将记录发生的事件和解决方式并向领导、高管和/或董事会汇报。风险缓解。 为了防止类似入侵再次发生并改进将来的响应,团队会研究事件并确定要对环境和流程进行的更改。
什么是威胁检测? 随着组织扩大其云使用、将更多设备连接到 Internet,并过渡到混合工作场所,识别网络威胁的难度日益提高。恶意行动者可采用以下类型的战术,利用这种扩大的攻击面和安全工具中的碎片化状态: 网络钓鱼活动。恶意行动者渗透公司的最常见方式之一是通过发送电子邮件来诱骗员工下载恶意代码或提供其凭据。恶意软件。许多网络攻击者部署了旨在破坏计算机和系统或收集敏感信息的软件。勒索软件。勒索软件是一种恶意软件,攻击者以关键系统和数据为筹码,威胁公布私人数据或窃取云资源来挖掘比特币,直到成功勒索到赎金。最近,人为操作的勒索软件是指一群网络攻击者获取对组织整个网络的访问权限,它已经成为安全团队面临的一个日益严重的问题。分布式拒绝服务 (DDoS) 攻击。恶意行动者会利用一系列机器人向网站或服务发送大量流量,导致其不堪重负。内部威胁。并非所有网络威胁都来自组织外部。还有一种风险是,受到信任、有权访问敏感数据的人员可能会无意中或恶意地损害组织。基于标识的攻击。大多数漏洞涉及标识泄露,即网络攻击者窃取或猜测用户凭证,并利用它们来获取对组织系统和数据的访问权限。物联网 (IoT) 攻击。IoT 设备也容易受到网络攻击,尤其是没有现代设备内置安全控制的传统设备。供应链攻击。有时,恶意操作者通过篡改第三方供应商提供的软件或硬件来攻击组织。代码注入。通过利用源代码处理外部数据的方式中的漏洞,网络犯罪分子将恶意代码注入到应用程序中。 检测威胁 为了应对日益增长的网络安全攻击,组织使用威胁建模来定义安全要求、识别漏洞和风险,并确定修正的优先级。通过假设的场景,SOC 试图了解网络罪犯分子的思想,这样他们就可以提高组织预防或缓解安全事件的能力。MITRE ATT&CK® 框架是了解常见网络攻击技术和战术的有用模型。 多层防御需要提供持续实时监视环境和发现潜在安全问题的工具。解决方案还必须重叠,这样如果一个检测方法被破坏,第二个检测方法将检测到问题并通知安全团队。网络威胁检测解决方案使用各种方法来识别威胁,这些方法包括: 基于签名的检测。许多安全解决方案会扫描软件和流量,以识别与特定类型的恶意软件相关联的唯一签名。基于行为的检测。为了帮助捕捉新型及新兴网络威胁,安全解决方案还会查找网络攻击中常见的操作和行为。基于异常的检测。 AI 和分析可帮助团队了解用户、设备和软件的典型行为,以便其可以识别可能指示存在网络威胁的异常情况。 尽管软件至关重要,但用户在网络威胁检测中发挥着同等重要的作用。除了会审和调查系统生成的警报外,分析师还使用网络威胁搜寻技术主动搜索泄露迹象,或者寻找暗示潜在威胁的策略、技术和流程。这些方法可帮助 SOC 快速发现和遏制复杂、难以检测的攻击
什么是威胁响应? 识别出可信的网络威胁后,威胁响应会纳入 SOC 采取的任何操作来遏制和消除威胁、从攻击中恢复,并降低再次发生类似攻击的可能性。许多公司都制定了事件响应计划,在快速组织和行动至关重要的时候帮助指导他们应对潜在的漏洞。出色的事件响应计划包括剧本,其中提供适用于特定类型的威胁、角色和责任,以及沟通计划的分步指导。
威胁检测和响应解决方案 威胁检测和响应是一项关键功能,所有组织都可以使用它来帮助他们在网络威胁造成损害之前查找和解决这些威胁。Microsoft Security 提供了多种威胁防护解决方案,可帮助安全团队监视、检测和响应网络威胁。对于资源有限的组织,Microsoft Defender 专家提供托管服务来增强现有人员和工具。
关注 Microsoft 安全