TDIR (Threat Detection, Investigation, and Response) is een aanpak voor het omgaan met cyberdreigingen, die bestaat uit drie belangrijke fasen: detectie, onderzoek en reactie.
Threat Detection omvat het opsporen van verdachte activiteiten binnen het ICT landschap. Organisaties hebben vaak moeite om dreigingen vroegtijdig te detecteren omdat cybercriminelen veel verschillende en soms ook geavanceerde tactieken gebruiken. Het samenbrengen van gegevens uit verschillende bronnen helpt bij het herkennen van patronen en anomalieën die kunnen duiden op kwaadaardige activiteiten.
Investigation gaat dieper in op het begrijpen van gedetecteerde dreigingen. Deze fase maakt gebruik van forensische analyse en threat intelligence om erachter te komen hoe een aanval plaatsvond, de omvang ervan en de potentiële impact ervan. Het omvat het onderscheiden van echte bedreigingen van valse alarmen (false positives), het verzamelen van bewijs om de aanvalsmethoden te begrijpen en het prioriteren van problemen die beveiligingsteams moeten aanpakken. Automatisering is hierbij essentieel om onderzoeken te versnellen en reactietijden te verkorten.
Response richt zich op het stoppen van de dreiging, het verwijderen ervan en het herstellen van systemen. Dit begint met het isoleren van getroffen systemen om verdere schade te voorkomen, vervolgens het elimineren van de dreiging en het oplossen van de kwetsbaarheden die werden uitgebuit. Tot slot omvat de herstelfase het herstellen van systemen en het patchen van beveiligingslekken, vaak geholpen door automatiseringstools om het proces sneller en efficiënter te maken.