În fiecare an, Kaspersky pregătește un raport bazat pe rezultatele analizei incidentelor MDR identificate de echipa Kaspersky SOC. În acest raport, experții evidențiază incidentele care necesită acțiune din partea clienților, împărțindu-le în tipuri de severitate – mare, medie și scăzută. Incidentele de mare severitate sunt atacurile initiate de persoane sau amenințările malware care au un impact semnificativ asupra sistemelor IT ale clientului. Incidentele de gravitate medie nu au dovezi ale implicării umane directe în atac, dar pot afecta infrastructura clientului fără consecințe grave, în timp ce incidentele de gravitate scăzută nu afectează sistemele IT ale clientului, dar necesită luarea unui număr de măsuri de precauție.
Potrivit raportului recent Kaspersky MDR Analyst, în 2023 echipa Kaspersky SOC a avut nevoie în medie de 36,37 minute pentru a raporta incidentele de mare gravitate – cu 17% mai rapid decât în anii precedenți. Incidentele de gravitate medie, care se datorează adesea programelor malware și sunt cele mai frecvente, au înregistrat o creștere a timpului de răspuns de la 30 la aproape 33 de minute, fapt care se explică prin creșterea numărului acestui tip de incidente.
În cele din urmă, incidentelor cu cea mai mică gravitate, în mod normal consecințele unui software potențial nedorit, le-a fost alocat mai mult timp de așteptare înainte de a fi analizate de echipa SOC, rezultând un timp de așteptare de puțin peste 48 de minute.
În ceea ce privește eficiența răspunsului, aproximativ 74% dintre incidente au fost rezolvate după o singură alertă, fapt care reflectă existența unor scenarii clare de răspuns și încetarea efectivă a atacurilor, după intervenție.
Aproximativ 24% dintre incidente au fost semnalate de 2-10 alerte, indicând faptul că există cazuri în care rezolvarea automată nu a fost suficientă și a fost nevoie de implicarea unui specialist. Exemplele includ atacuri în desfășurare, cum ar fi încercările de exploatare în urma compromiterii rețelei sau campanii de phishing, care necesită adesea investigații manuale după mai multe alerte.
Un mic procent (2%) dintre incidente a implicat mai mult de 10 alerte. Motivele includ amenințări complexe care necesită o investigație amănunțită înainte de intervenție sau situații în care clientul a optat doar pentru monitorizare, cum ar fi exercițiile cibernetice.
Ca răspuns la constatările analizei MDR, Kaspersky recomandă organizațiilor următoarele:
- Efectuați un inventar regulat al componenței grupurilor privilegiate, pentru a avea o procedură oficială de gestionare a privilegiilor și accesului.
- Implementați practici de identificare activă a amenințărilor, în combinație cu monitorizarea clasică, bazată pe alerte.
- Efectuați o serie de exerciții cibernetice pentru a testa eficiența mecanismelor de securitate utilizate în compania dumneavoastră.
- Adoptați o abordare de securitate pe mai multe straturi pentru a vă proteja împotriva incidentelor. Această abordare include protecție complexă la nivel endpoint, securitatea rețelei și threat intelligence analizat de experți în securitate cibernetică.
- În cazul în care o companie nu are personal dedicat de securitate cibernetică, utilizați servicii de securitate gestionate, cum ar fi Kaspersky Managed Detection and Response (MDR), Kaspersky Compromise Assessment și Kaspersky Incident Response, pentru a obține experiență suplimentară și pentru a acoperi întregul ciclu de gestionare a incidentelor, de la identificarea amenințărilor la protecția continuă și remediere.
Mai multe informații din raportul Kaspersky MDR Analyst 2023 sunt disponibile aici.