În șase din zece dintre atacurile cibernetice (63%) investigate de echipa Kaspersky Global Emergency Response, adversarii au folosit atacuri brute force asupra parolelor și exploatarea vulnerabilității ca vectori inițiali pentru a compromite mediul organizației. Rezultatele noului raport Incident Response Analytics Report realizat de Kaspersky demonstrează că doar implementarea unei politici adecvate de gestionare a patch-urilor reduce riscul de incidente cu 30%, iar o politică complexă în ceea ce privește parolele reduce probabilitatea de a fi atacat cu 60%.
În timp ce importanța patch-urilor și actualizărilor regulate, precum și utilizarea parolelor puternice, este bine cunoscută pentru cei care au doar cât de cât idee de securitatea cibernetică, aceste aspecte rămân puncte slabe într-un număr mare de organizații și oferă o cale de acces pentru adversari de a pătrunde în sistemul unei companii. Ca urmare, problemele de securitate legate de parolele și software-ul neactualizat se regăsesc într-o majoritate covârșitoare a atacurilor ca vectori de acces inițial.
Analiza datelor anonimizate din situațiile1 de răspuns la incidente (IR) arată că atacurile brute force reprezintă cel mai utilizat vector inițial pentru a pătrunde în rețeaua unei companii. Comparativ cu anul precedent, ponderea atacurilor brute force a crescut de la 13% la 31,6%, probabil din cauza pandemiei și a extinderii lucrului de la distanță. Al doilea atac cel mai frecvent văzut este legat de exploatarea vulnerabilității, cu o cotă de 31,5%. Cercetarea a arătat că în doar câteva incidente s-au folosit vulnerabilități din 2020. În alte cazuri, adversarii au folosit vulnerabilități mai vechi, fără patch-uri, cum ar fi CVE-2019-11510, CVE-2018-8453 și CVE-2017-0144.
Mai mult de jumătate din toate atacurile care au început cu e-mailuri rău intenționate, brute force și exploatarea externă a aplicațiilor au fost detectate în ore (18%) sau zile (55%). Deși, unele dintre aceste atacuri au durat mult mai mult, cu o durată medie de până la 90,4 zile. Raportul arată că atacurile care implică un vector inițial brute force sunt ușor de detectat în teorie, dar în practică, doar o mica parte dintre acestea a fost identificată înainte de a provoca un impact.
Deși prevenirea atacului brute force și controlul actualizărilor în timp util nu par a fi problematice pentru o echipă profesionistă de securitate cibernetică, în practică, eliminarea 100% a acestor probleme este practic imposibilă:
„Chiar dacă departamentul de securitate IT face tot posibilul pentru a gestiona siguranța infrastructurii companiei, factori precum utilizarea sistemelor de operare vechi, echipamentele perimate moral, problemele de compatibilitate și factorii umani duc adesea la încălcări ale securității care pot pune în pericol o organizație. Simplele măsuri de protecție nu pot oferi o apărare cibernetică holistică. Prin urmare, acestea ar trebui întotdeauna combinate cu instrumente de detectare și răspuns care sunt capabile să recunoască și să elimine un atac într-un stadiu incipient, precum și să abordeze cauza incidentului”, – spune Konstantin Sapronov, Head of Global Emergency Response Team.
Pentru a minimiza șansele de atac asupra infrastructurii companiei dumneavoastră, Kaspersky recomandă următoarele măsuri:
- Implementați o politică complexă privind parolele, inclusiv autentificarea prin mai mulți factori (MFA) și instrumentele de gestionare a identității și accesului;
- Asigurați-vă că gestionarea patch-urilor sau măsurile de compensare pentru aplicațiile orientate către public au toleranță zero. Actualizările periodice ale detaliilor legate de nivelul de vulnerabilitate de la furnizorii de software, scanarea rețelei pentru identificarea vulnerabilităților și instalarea patch-urilor sunt cruciale pentru securitatea infrastructurii unei companii;
- Mențineți un nivel ridicat de conștientizare a securității în rândul angajaților. Parcurgerea de programe de formare complete și eficiente pentru angajați este o modalitate bună de a eficientiza timpul departamentului IT și de a obține rezultate bune;
- Implementați o soluție de detectare și răspuns la nivel endpoint cu un serviciu MDR, pentru a detecta și a reacționa la atacuri cu promptitudine, printre alte măsuri. Utilizarea serviciilor avansate de securitate permite companiilor să reducă costurile implicate de atacuri și să prevină consecințele nedorite.
Incident Response Analytics Report este disponibil aici.
Kaspersky Incident Response este o soluție care ajută la reducerea impactului unei breșe de securitate sau a unui atac asupra mediului IT al unei companii. Serviciul acoperă întregul ciclu de investigare a incidentelor, de la colectarea de probe la fața locului până la identificarea unor indicații suplimentare de compromis, pregătirea unui plan de remediere și eliminarea amenințării. Raportul Incident Response Analyst oferă informații despre serviciile de investigare a incidentelor efectuate de Kaspersky din ianuarie până în decembrie 2020 în America de Sud și de Nord, Europa, Africa, Orientul Mijlociu, Asia, precum și Rusia și CSI.
