Ponad 50% żądań reagowania na incydenty ma miejsce już po wystąpieniu szkody


Ponad 50% żądań reagowania na incydenty ma miejsce już po wystąpieniu szkody
2019-08-30
Około 56% żądań reakcji na incydent obsłużonych przez ekspertów bezpieczeństwa z firmy Kaspersky w 2018 r. zostało przesłanych już po tym, jak organizacja doświadczyła ataku z widocznymi skutkami, takimi jak nieautoryzowane przelewy pieniężne czy zaszyfrowanie stacji roboczych.

44% żądań zostało obsłużonych po wykryciu ataku na wczesnym etapie, co uchroniło klienta przed potencjalnie poważnymi konsekwencjami. To jedne z głównych ustaleń zaprezentowanych w najnowszym raporcie firmy Kaspersky dotyczącym analizy reakcji na incydenty.

Często zakłada się, że reakcja na incydent potrzebna jest jedynie w przypadkach, gdy szkoda na skutek cyberataku już wystąpiła i trzeba przeprowadzić dalsze dochodzenie. Jednak analiza wielu przypadków reagowania na incydenty, w których uczestniczyli specjaliści z firmy Kaspersky w 2018 r., pokazuje, że usługa ta może służyć nie tylko pracom dochodzeniowym, ale również być narzędziem umożliwiającym wykrycie ataku na wczesnym etapie w celu zapobiegnięcia szkodom.

W 2018 roku 22% reakcji na incydent zostało podjętych po wykryciu potencjalnie szkodliwej aktywności w sieci, podczas gdy kolejne 22% – po znalezieniu szkodliwego pliku w sieci. Bez dodatkowych oznak włamania, oba przypadki mogą wskazywać, że ma miejsce atak. Jednak nie każdy zespół ds. bezpieczeństwa w firmie jest w stanie stwierdzić, czy zautomatyzowane narzędzia bezpieczeństwa wykryły już i powstrzymały szkodliwą aktywność, czy może firma ma do czynienia z początkiem większej, niewidocznej, szkodliwej operacji w sieci i niezbędni są zewnętrzni specjaliści. W wyniku błędnej oceny szkodliwa aktywność przeradza się w poważny cyberatak z realnymi konsekwencjami. W 2018 roku 26% badanych „późnych” przypadków było spowodowanych infekcją szkodliwym oprogramowaniem szyfrującym, podczas gdy 11% ataków prowadziło do kradzieży pieniędzy. 19% „późnych” przypadków było wynikiem wykrycia spamu w firmowym koncie e-mail, braku dostępu do usług lub wykrycia udanego włamania.

Ta sytuacja sugeruje, że w wielu firmach istnieją obszary wymagające poprawy w zakresie metod wykrywania i procedur reagowania na incydenty. Im wcześniej organizacja zidentyfikuje atak, tym mniejsze będą jego konsekwencje. Jednak z naszego doświadczenia wynika, że firmy często nie zwracają uwagi na wczesne symptomy poważnych ataków, a nasz zespół reagowania na incydenty często jest wzywany, gdy jest już za późno, aby zapobiec szkodom. Z drugiej strony obserwujemy, że wiele firm nauczyło się, jak oceniać sygnały poważnego cyberataku w swojej sieci, i dzięki temu mogliśmy zapobiec poważniejszym incydentom – powiedział Ayman Shaaban, ekspert ds. cyberbezpieczeństwa w firmie Kaspersky.

Pozostałe ustalenia przedstawione w raporcie

·         W przypadku 81% organizacji, które dostarczyły dane do analizy, wykryto oznaki szkodliwej aktywności w ich sieci wewnętrznej.

·         34% organizacji ujawniło oznaki zaawansowanego ataku ukierunkowanego.

·         54,2% organizacji finansowych zostało zaatakowanych przez zaawansowane ugrupowanie lub ugrupowania APT.

Porady bezpieczeństwa

W celu skutecznej reakcji na incydenty firma Kaspersky zaleca następujące działania:

·         Dopilnuj, aby firma posiadała wyspecjalizowany zespół (lub przynajmniej pracownika) odpowiedzialny za kwestie bezpieczeństwa IT.

·         Wdróż systemy zapasowe dla krytycznych zasobów.

·         W celu zapewnienia niezwłocznej reakcji na cyberatak połącz wewnętrzny zespół reagowania na incydenty (jako pierwszą linię reakcji) ze specjalistami zewnętrznymi (w celu przekazywania bardziej złożonych incydentów).

·         Opracuj plan reagowania na incydenty ze szczegółowymi wskazówkami oraz procedurami dla różnych rodzajów cyberataków.

·         Wprowadź szkolenia zwiększające świadomość pracowników w celu zapoznania ich z higieną cyfrową oraz wyjaśnienia, w jaki sposób można rozpoznać i uniknąć potencjalnie szkodliwych e-maili lub odsyłaczy.

·         Wdróż procedury zarządzania łatami w celu zapewnienia aktualizacji oprogramowania.

·         Regularnie przeprowadzaj ocenę bezpieczeństwa swojej infrastruktury IT.

Pełny raport firmy Kaspersky poświęcony reagowaniu na cyberincydenty w 2018 r. jest dostępny na stronie https://r.kaspersky.pl/Q8iIh.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl