Acasă Online Kaspersky: Peste 50% dintre solicitările de răspuns la incidente sunt făcute după...

Kaspersky: Peste 50% dintre solicitările de răspuns la incidente sunt făcute după ce răul cauzat de atac este deja complet

13
NOTĂ: Acest blog nu conţine advertoriale (articole sponsorizate/articole plătite), dar unele articole și pagini pot conține linkuri de afiliere. Susțineți acest blog cumpărând software prin aceste linkuri. Mulțumesc!
NOTE: This blog does not contain advertorials (sponsored articles/paid articles), but some articles and pages may contain affiliate links. Support this blog by purchasing software through these links. Thank you!

Aproximativ 56% dintre cererile de răspuns la incidente (IR) procesate de experții Kaspersky în 2018 au fost făcute după ce organizația respectivă s-a confruntat cu un atac care a avut consecințe vizibile, cum ar fi transferuri de bani neautorizate, stații de lucru criptate de ransomware și indisponibilitatea serviciilor. 44% dintre solicitări au fost procesate după detectarea unui atac, într-o etapă timpurie, salvând clientul de consecințe potențial severe. Aceste concluzii fac parte din cel mai recent raport Kaspersky de analiză a răspunsului la incidente.

Kaspersky: Peste 50% dintre solicitările de răspuns la incidente sunt făcute după ce răul cauzat de atac este deja complet

Se consideră adesea că măsurile în cazul unui incident sunt necesare doar atunci când un atac cibernetic a provocat deja pagube și este nevoie de investigații suplimentare. Cu toate acestea, analiza cazurilor de răspuns la incidente, la care au participat specialiștii Kaspersky pe parcursul anului 2018, arată că acest serviciu poate fi util nu doar ca investigație, ci și ca instrument pentru oprirea unui atac într-o etapă incipientă, prevenind daunele.

În 2018, 22% dintre cazurile de IR au fost inițiate după detectarea unei activități potențial rău intenționate în rețea, iar alte 22% au fost inițiate după ce a fost găsit un fișier periculos în rețea. Chiar și fără alte semne ale unei breșe, ambele cazuri pot sugera că există un atac în desfășurare. Cu toate acestea, nu orice echipă de securitate din companii poate fi în măsură să spună dacă instrumentele de securitate automatizate au detectat și au oprit deja activitatea rău intenționată, sau dacă aceasta a fost doar începutul unei operațiuni mai mari în rețea și sunt necesari specialiști externi. Ca urmare a evaluării incorecte, activitatea rău intenționată evoluează într-un atac cibernetic grav, cu efecte reale. În 2018, 26% dintre cazurile investigate „cu întârziere” au fost cauzate de infecții cu malware de criptare, în timp ce 11% dintre atacuri au dus la furturi de bani.19% dintre cazurile investigate „cu întârziere” au fost rezultatul detectării spam-ului dintr-un cont de e-mail de companie, detectării indisponibilității serviciului sau a unei breșe reușite.

 „Această situație indică faptul că în multe companii există cu siguranță loc pentru îmbunătățirea metodelor de detectare și a procedurilor de reacție la incidente”, spune Ayman Shaaban, security expert la Kaspersky. „Cu cât o organizație descoperă mai devreme un atac, cu atât consecințele vor fi mai puțin semnificative. Însă, pe baza experienței noastre, companiile nu acordă o atenție adecvată semnelor atacurilor de amploare, iar echipa noastră de răspuns la incidente este adesea apelată atunci când este deja prea târziu pentru a mai preveni daunele. Pe de altă parte, vedem că multe companii au învățat cum să evalueze semnele unui atac cibernetic grav în rețeaua lor și am reușit să prevenim ceea ce ar fi putut fi incidente mai grave.”

Alte rezultate ale raportului:

  • S-a constatat că 81% dintre organizațiile care au furnizat date pentru analiză au indicatori de activitate periculoasă în rețeaua lor internă.
  • 34% din organizații au prezentat semne ale unui atac direcționat avansat.
  • S-a constatat că 54,2% dintre organizațiile financiare au fost atacate de un grup sau de grupuri APT (advanced persistent threat).

Pentru o reacție eficientă la incidente, Kaspersky recomandă:

  • Asigurați-vă că există în companie o echipă dedicată (cel puțin un angajat), responsabilă de problemele de securitate IT.
  • Implementați sisteme de backup pentru activele critice.
  • Pentru a reacționa în timp util la un atac cibernetic, folosiți echipa internă de IR ca o primă linie de acțiune și contractori pentru incidente mai complexe.
  • Dezvoltați un plan IR cu îndrumări și proceduri detaliate pentru diferite tipuri de atacuri cibernetice.
  • Introduceți training-uri de conștientizare privind securitatea cibernetică pentru angajați, pentru a-i educa în domeniul digital și explicați-le cum pot recunoaște și evita e-mail-urile sau link-urile potențial periculoase.
  • Implementați proceduri de management al patch-urilor pentru actualizarea software-ului.
  • Evaluați periodic securitatea infrastructurii IT.

Textul integral al raportului este disponibil pe Securelist.com.