В 2022 году ежедневно выявлялось более трёх критичных инцидентов

«Лаборатория Касперского» ежедневно обнаруживала в 2022 году более трех критичных инцидентов. Речь идет о случаях, для которых требуется вмешательство аналитика и которые в меньшей степени поддаются автоматизации. Таковы данные ежегодного аналитического отчета, в котором анализировались данные Kaspersky Managed Detection and Response. Это сервис круглосуточного мониторинга и реагирования на выявленные инциденты, основанный на технологических решениях и экспертизе команды SOC «Лаборатории Касперского».

В 2022 году в России и СНГ наиболее атакуемыми отраслями были промышленность (24% от общего количества заказчиков в регионе), финансовые организации (20%), ИТ-компании (17%), транспорт (14%) и СМИ (12%). В секторе СМИ в целом наблюдалась наибольшая интенсивность, были выявлены инциденты высокого уровня критичности и более чем в трети — целевые атаки.

Чаще всего в мире инциденты представляли собой либо целевые атаки с непосредственным участием человека (30% от общего количества инцидентов высокой критичности), либо атаки вредоносного ПО без участия человека, но также с серьезными последствиями (26%), либо были связаны с разного рода киберучениями (19%). Легальные инструменты по-прежнему популярны среди атакующих, с их помощью они маскируют свою активность под легитимную работу ИТ-сотрудников. В частности, использование powershell.exe и rundll32.exe фиксировалось в 6%, comsvcs.dll — в 2%, а reg.exe — в 1% инцидентов высокой критичности.

Среднее время обнаружения инцидента высокого уровня критичности — по всем отраслям — составляло 43,8 минуты. По сравнению с прошлыми годами этот показатель увеличился примерно на 6%. Это связано с ростом числа инцидентов, расследование которых требует большего вовлечения аналитиков SOC.

Чаще всего фиксировались инциденты среднего уровня критичности. Большая часть инцидентов, 72%, были успешно устранены после получения только одного события безопасности (алерта), что подтверждает достаточно высокую оперативную готовность клиентов Kaspersky MDR.

«В последнее время мы наблюдаем тенденцию, что атаки вредоносного ПО с большим ущербом начинаются как целевые с участием человека: первоначальное проникновение и запуск выполняются вручную, а дальнейшее распространение — без участия человека. Поскольку число таких сложных инцидентов растет, мы рекомендуем компаниям наряду с классическим мониторингом событий безопасности использовать инструменты для активного поиска угроз», — комментирует Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского».

В ответ на усложнение ландшафта киберугроз «Лаборатория Касперского» бесплатно предоставляет компаниям управляемую защиту на три месяца, узнать более подробно можно по ссылке.

Скачать полный текст отчета можно по ссылке.

Для предотвращения целевых атак эксперты «Лаборатории Касперского» рекомендуют организациям:

• использовать специализированное решение, которое сочетает функции детектирования и реагирования с функциями threat hunting и позволяет распознавать известные и неизвестные угрозы без привлечения внутренних ресурсов компании;
• предоставлять команде SOC (центра мониторинга кибербезопасности) доступ к актуальной информации о киберугрозах;
• проводить тренинги для специалистов по реагированию на киберинциденты, чтобы развивать их компетенции, а также повышать знания о кибербезопасности среди сотрудников неспециализированных подразделений, поскольку целевые атаки часто начинаются с фишинга или других схем с использованием социальной инженерии.