Исследование распространенных инцидентов

Наша глобальная команда реагирования на киберинциденты (Kaspersky Global Emergency Response Team) проанализировала инциденты, в расследовании которых эксперты участвовали в 2021 году, и подготовила подробный отчет. С полным текстом можно ознакомиться, заполнив форму на сайте Securelist, а мы бы хотели поделиться основными находками и базовыми рекомендациями от экспертов по реагированию.

Начальный вектор атаки

Чаще всего злоумышленники пытались проникнуть в инфраструктуру компаний благодаря эксплуатации уязвимостей в публично доступных приложениях (в 53,6% случаев). В 17,9% случаев они использовали ранее скомпрометированные учетные данные и в 14,3% — применяли вредоносные письма. В связи с этим наши эксперты рекомендуют:

• внедрять надежную парольную политику и многофакторную аутентификацию;
• исключить возможность прямого доступа из Интернета к механизмам управления информационными системами;
• как можно скорее устанавливать обновления для публично-доступных сервисов и систем или разработать адекватные компенсационные меры для их защиты;
• периодически повышать ИБ-осведомленность сотрудников.

Инструменты злоумышленников

Почти в 40% инцидентов атакующие применяли типовые инструменты: либо это были легитимные компоненты операционных систем, либо инструменты для тестирования на проникновение. Наши эксперты советуют заранее подготовиться к их применению:

• по возможности отказаться от использования в инфраструктуре ПО, особенно часто эксплуатируемого злоумышленниками;
• использовать решения класса EDR;
• настроить правила обнаружения инструментов, чаще всего используемых атакующими;
• регулярно проводить киберучения с применением распространенных техник и тактик злоумышленников.

Последствия инцидентов

В инцидентах 2021 года злоумышленники чаще всего пытались зашифровать данные компаний (51% случаев). Что еще неприятнее, в 16% случаев атаки приводили к утечкам данных. В 11,1% была скомпрометирована Active Directory. Для того чтобы минимизировать ущерб для бизнеса, мы рекомендуем:

• регулярно выполнять резервное копирование данных;
• с особенным вниманием относиться к защите систем, в которых хранятся персональные данные;
• заключить соглашение с надежным поставщиком услуг реагирования на инциденты;
• поддерживать готовность команды реагирования с помощью специализированных тренингов и киберучений.

Для того чтобы развивать экспертные навыки внутренних команд по реагированию на инциденты и расследованию киберпреступлений и подготовить их к отражению сложных кибератак, рекомендуем воспользоваться обучающим курсом Kaspersky Expert Training Windows Incident Response. Он разработан на базе опыта и экспертных знаний специалистов из Kaspersky Global Emergency Response Team и в числе прочего научит корректному выявлению инцидентов, получению улик, анализу логов и сетей и созданию индикаторов компрометации. Подробнее о курсе можно почитать на странице онлайновых тренингов для экспертов.