Nieco ponad 1% „szumu informacyjnego” sieci firmowych to zamaskowane ataki ukierunkowane

W pierwszej połowie 2019 r. 1,26% alertów opartych na tzw. wskaźnikach ataków (IoA) na firmowych punktach końcowych zostało zidentyfikowanych jako incydenty naruszenia cyberbezpieczeństwa – tak wynika z nowego raportu firmy Kaspersky. Mimo relatywnie niewielkiego odsetka większość z tych incydentów dotyczyła zaawansowanych ataków ukierunkowanych wykorzystujących techniki stworzone przez cyberprzestępców w celu ukrycia szkodliwej aktywności poprzez upozorowanie legalnego zachowania użytkownika oraz administratora.

W przeciwieństwie do metod wykrywania opartych na tzw. wskaźnikach infekcji (IoC), w przypadku wskaźników ataków IoA identyfikowanie szkodliwej aktywności odbywa się nie na podstawie znanych szkodliwych plików czy innych śladów, ale na podstawie taktyk, technik i procedur cyberprzestępców. Innymi słowy, wykrywane są same sposoby atakowania ofiar przez konkretne cyberugrupowania. To właśnie metody wykrywania oparte na IoA okazują się najskuteczniejsze w przypadku coraz popularniejszych ataków wykorzystujących najbardziej zaawansowane techniki.

Potwierdzają to również inne wyniki raportu, w którym przedstawiono wielopoziomową analizę rezultatów działania usług firmy Kaspersky, dostarczonych przez liczne organizacje z sektora finansowego, rządowego, przemysłowego, transportowego, IT oraz telekomunikacyjnego.

Incydenty naruszenia cyberbezpieczeństwa zostały zidentyfikowane w niemal wszystkich taktykach łańcucha ataku, jednak najwięcej działań wykryto na etapach uważanych za „najbardziej hałaśliwe” (gdzie prawdopodobieństwo fałszywych trafień jest stosunkowo wysokie): wykonanie (37%), unikanie wykrycia (31%), dalsze rozprzestrzenianie się w sieci (16%) oraz uderzenie (16%). Jeśli chodzi o zwalczanie opisywanych taktyk, w badaniu wykazano, że produkty ochrony punktów końcowych (EPP) stanowią skuteczne narzędzie reagowania na zagrożenia w przypadku 97% zidentyfikowanych incydentów — z czego 47% zostało sklasyfikowanych jako zagrożenie średniego poziomu, łącznie ze szkodliwym oprogramowaniem, takim jak trojany i narzędzia szyfrujące, a 50% — jako niewielkie zagrożenie, w tym niechciane programy, takie jak adware czy riskware.

Jednak w przypadku zaawansowanych lub nieznanych zagrożeń, czy też incydentów klasyfikowanych jako duże zagrożenie (3%), tradycyjne rozwiązania EPP okazują się mniej skuteczne. Tego rodzaju działania – w tym zaawansowane szkodliwe oprogramowanie i ataki ukierunkowane — wymagają dodatkowego poziomu wykrywania, ręcznego wyszukiwania zagrożeń oraz analizy.

Jeden z kluczowych wniosków naszego raportu, nad którym pracowaliśmy przez ostatnie sześć miesięcy, jest taki, że jeśli nie wykryłeś w swojej sieci dużej liczby zdarzeń błędnie sklasyfikowanych jako zagrożenia, prawdopodobnie oznacza to, że umknęło ci wiele istotnych incydentów naruszenia bezpieczeństwa. W takiej sytuacji powinieneś zacząć stosować na większą skalę m.in. wskaźniki IoA. Poleganie wyłącznie na klasycznych, opartych na wskaźnikach infekcji lub innych znanych metodach wykrywania, zupełnie nie sprawdzi się w przypadku stosowania przez cyberprzestępców najbardziej zaawansowanych technik. Wprawdzie alerty oparte na wskaźnikach IoA są o wiele bardziej pracochłonne, wymagają bowiem wielu badań oraz stworzenia skutecznych reguł, a następnie ręcznej analizy, są jednak najskuteczniejsze i pozwalają wykryć naprawdę krytyczne incydenty – powiedział Siergiej Sołdatow, szef centrum operacji bezpieczeństwa w firmie Kaspersky.

Pełny raport wykorzystany w tej informacji prasowej jest dostępny na stronie https://r.kaspersky.pl/yu3mx.


opublikowano: 2019-10-10
Komentarze
Polityka Prywatności