Сигурност

Kaspersky: В над 50% от случаите компаниите предприемат действия, след като последствията от кибератаките са видими

Мария Динкова

През 2018 в около 56% от случаите организациите предприемат действия за справяне с инциденти (Incident Response, IR), след като вече са станали жертва на кибератака и последиците от нея са били видими – като неодобрени парични преводи, криптиране на информация от рансъмуер и спиране на услуги, пише IT Brief.

В 44% от случаите, когато е била потърсена помощта на експерти, атаките са били в ранните си етапи, което е спестило на клиентите потенциални по-сериозни проблеми. Това показват данните в последния доклад на Kaspersky – Incident Response Analytics Report.

Често се предполага, че реакцията при инцидент е необходима само в случаите, когато щетите от кибератаката вече са се появили и е необходимо последващо разследване. Анализирането на множество IR случаи обаче показва, че това не е просто начин за разследване, но също така е инструмент за откриване на злонамерените действия в ранните етапи, което помага за предотвратяването на по-сериозни последствия.

През 2018 22% от действията за справяне с инциденти са били предприети след откриване на потенциална злонамерена активност в мрежата и допълнителни 22% са били стартирани след намирането на зловреден файл в мрежата.

Все пак не всеки фирмен екип по сигурността може да определени дали автоматичните инструменти за сигурност вече са открили и спрели злонамерените действия или те са били само началото на нещо по-голямо, невидимо като зловредна операция в мрежата и са нужни външни специалисти.

Вследствие на неправилна преценка злонамерените действия се превръщат в сериозни кибератаки с реални последствия. През 2018 26% от разследваните случаи са били причинени от инфекция с криптиран малуер, докато 11% от атаките са били резултат от парична кражба. 19% от предприетите действия са свързани със спам от корпоративен имейл профил, установяване на недостъпна услуга или откриване на успешен пробив.

"Тази ситуация показва, че в много компании определено има място за подобрения на методите за откриване на инциденти и на процедурите за реакция. Колкото по-рано една организация установи атаката, толкова по-малко ще са последствията. Но на база на нашия опит, фирмите често не отделят необходимото внимание върху признаците за сериозни атаки и нашият екип за реакция при инциденти често е викан, когато вече е твърде късно да се предотвратят щетите. От друга страна виждаме, че много компании се научиха да определят белезите на сериозната кибератака в своите мрежи и ние успяхме да предотвратим много по-големи инциденти", коментират от Kaspersky.

Данните от доклада разкриват още, че при 81% от организациите, участвали в анализа, са открити признаци за злонамерени действия в техните вътрешни мрежи. Освен това се оказва, че 54.2% от финансовите организации са били атакувани от APT (advanced persistent threat) група или групи.

За да се реагира ефективно при инциденти от Kaspersky препоръчват следното:
  • Уверете се, че компанията има специален екип (или поне един служител), отговорен за ИТ сигурността.
  • Създайте бекъп системи за важните активи.
  • За да отговорите навреме на кибератаката, комбинирайте вътрешен екип за реагиране при инциденти с външни специалисти, които да се справят с по-сложните атаки.
  • Разработете план за реакция при инциденти с подробни насоки и процедури за различните типове кибератаки.
  • Въведете обучения за служителите, за да ги запознаете с проблема и за да им обясните как да разпознават и избягват потенциални злонамерени имейли или линкове.
  • Приложете процедури за управление на пачове, за да имате софтуерни ъпдейти.
  • Редовно оценявайте сигурността на своята ИТ инфраструктура.


X