Kaspersky» 2022 жылы күн сайын үштен астам күрделі оқиғаны анықтады
«Kaspersky» 2022 жылы күн сайын үштен астам күрделі оқиғаны анықтады. Мұнда талдамашының араласуын қажет ететін және аз дәрежеде автоматтандыруға болатын жағдайлар туралы сөз болып отыр. Бұл Kaspersky Managed Detection and Response деректерін талдаған жыл сайынғы талдау есебінің деректері. Бұл «Kaspersky» SOC командасының технологиялық шешімдері мен сараптамасына негізделген тәулік бойғы мониторинг және анықталған оқиғаларға ден қою қызметі.
2022 жылы Ресей мен ТМД-да өнеркәсіп (өңірдегі тапсырыс берушілердің жалпы санының 24%-ы), қаржы ұйымдары (20%), АТ компаниялары (17%), көлік (14%) және БАҚ (12%) ең көп шабуылға ұшыраған салалар болды. Жалпы БАҚ секторында ең жоғары қарқындылық байқалды, жоғары деңгейдегі сыни оқиғалар және үштен бірінен астам жағдайда нысаналы шабуылдар анықталды.
Көбінесе әлемде оқиғалар адамның тікелей қатысуымен болатын нысаналы шабуылдар болды (жоғарыдәрежедегі күрделі оқиғалардың жалпы санының 30%-ы) немесе адамның қатысуынсыз зиянды БҚ шабуылдары, сонымен қатар ауыр зардаптармен (26%) немесе әртүрлі кибер ілімдермен байланысты болды (19%). Заңды құралдар шабуылдаушылар арасында әлі де танымал, олардың көмегімен олар өздерінің белсенділігін АТ-қызметкерлерінің заңды жұмысы ретінде жасырады. Атап айтқанда, powershell.exe және rundll32.exe-ні жоғары дәрежелі күрделі оқиғалардың 6%-да, comsvcs.dll-ді 2%-да, ал reg.exe-ні 1%-да пайдалану тіркелген.
Жоғары деңгейдегі күрделі оқиғаны анықтаудың орташа уақыты — барлық салалар бойынша — 43,8 минутты құрады. Өткен жылдармен салыстырғанда бұл көрсеткіш шамамен 6% — ға өсті. Бұл анықтау үшін SOC талдаушыларының көбірек қатысуын қажет ететін оқиғалардың көбеюіне байланысты.
Көбінесе орта деңгейдегі күрделі оқиғалар тіркелді. Оқиғалардың көп бөлігі — 72%-ы, бір ғана қауіпсіздік оқиғасын (алерта) алғаннан кейін сәтті жойылды, бұл Kaspersky MDR клиенттерінің жеткілікті жоғары жедел дайындығын растайды.
«Соңғы уақытта біз зиянды БҚ шабуылдары адамның қатысуымен нысаналы түрде басталатынын байқадық: бастапқы ену және іске қосу қолмен, ал одан әрі тарату адамның қатысуынсыз жүзеге асырылады. Осындай күрделі оқиғалардың саны артып келе жатқандықтан, біз компанияларға қауіпсіздік оқиғаларының классикалық мониторингімен қатар қауіптерді белсенді іздеу үшін құралдарды пайдалануды ұсынамыз», — деп түсіндірді «Kaspersky»-дің киберқауіпсіздікті мониторингтек орталығының басшысы Сергей Солдатов.
Нысаналы шабуылдардың алдын алу үшін «Kaspersky» мамандары ұйымдарға мынадай кеңес береді:
- анықтау және ден қою функцияларын threat hunting функцияларымен біріктіретін және компанияның ішкі ресурстарын тартпай-ақ белгілі және белгісіз қауіптерді тануға мүмкіндік беретін арнайы шешімді пайдалану;
- SOC (киберқауіпсіздікті мониторингтеу орталығы) командасына киберқауіптер туралы өзекті ақпаратқа қол жеткізуге мүмкіндік беру;
- киберқауіпсіздікке қарсы мамандарға олардың құзыреттерін дамыту, сондай-ақ мамандандырылмаған бөлімшелердің қызметкерлері арасында киберқауіпсіздік туралы білімді арттыру үшін тренингтер өткізу, өйткені нысаналы шабуылдар көбінесе фишингтен немесе әлеуметтік инженерияны қолданатын басқа схемалардан басталады.