«Лаборатория Касперского» ежедневно обнаруживала в 2022 году более трёх критичных инцидентов. Речь идёт о случаях, для которых требуется вмешательство аналитика и которые в меньшей степени поддаются автоматизации. Таковы данные ежегодного аналитического отчёта, в котором анализировались данные Kaspersky Managed Detection and Response. Это сервис круглосуточного мониторинга и реагирования на выявленные инциденты, основанный на технологических решениях и экспертизе команды SOC «Лаборатории Касперского».
В 2022 году в России и СНГ наиболее атакуемыми отраслями были промышленность (24% от общего количества заказчиков в регионе), финансовые организации (20%), ИТ-компании (17%), транспорт (14%) и СМИ (12%). В секторе СМИ в целом наблюдалась наибольшая интенсивность, были выявлены инциденты высокого уровня критичности и более чем в трети — целевые атаки.
Чаще всего в мире инциденты представляли собой либо целевые атаки с непосредственным участием человека (30% от общего количества инцидентов высокой критичности), либо атаки вредоносного ПО без участия человека, но также с серьёзными последствиями (26%), либо были связаны с разного рода киберучениями (19%). Легальные инструменты по-прежнему популярны среди атакующих, с их помощью они маскируют свою активность под легитимную работу ИТ-сотрудников, в частности, использование powershell.exe и rundll32.exe фиксировалось в 6% инцидентах высокой критичности, comsvcs.dll — в 2%, а reg.exe — в 1% инцидентов.
Среднее время обнаружения инцидента высокого уровня критичности — по всем отраслям — составляло 43,8 минуты. По сравнению с прошлыми годами этот показатель увеличился примерно на 6%. Это связано с ростом числа инцидентов, расследование которых требует большего вовлечения аналитиков SOC.
Чаще всего фиксировались инциденты среднего уровня критичности. Большая часть инцидентов, 72%, были успешно устранены после получения только одного события безопасности (алёрта), что подтверждает достаточно высокую оперативную готовность клиентов Kaspersky MDR.
В последнее время мы наблюдаем тенденцию, что атаки вредоносного ПО с большим ущербом начинаются как целевые с участием человека: первоначальное проникновение и запуск выполняются вручную, а дальнейшее распространение — без участия человека. Поскольку число таких сложных инцидентов растёт, мы рекомендуем компаниям наряду с классическим мониторингом событий безопасности использовать инструменты для активного поиска угроз.
Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского»
Узнать больше о решениях «Лаборатории Касперского» для защиты от целевых атак и скачать полный текст отчёта можно на странице.
Для предотвращения целевых атак эксперты «Лаборатории Касперского» рекомендуют организациям:
- использовать специализированное решение, которое сочетает функции детектирования и реагирования с функциями threat hunting и позволяет распознавать известные и неизвестные угрозы без привлечения внутренних ресурсов компании;
- предоставлять команде SOC (центра мониторинга кибербезопасности) доступ к актуальной информации о киберугрозах;
- проводить тренинги для специалистов по реагированию на киберинциденты, чтобы развивать их компетенции, а также повышать знания о кибербезопасности среди сотрудников неспециализированных подразделений, поскольку целевые атаки часто начинаются с фишинга или других схем с использованием социальной инженерии.