Исследование распространенных инцидентов

Основное из отчета «Природа инцидентов информационной безопасности» от команды GERT.

Основные находки и советы из отчета GERT

Наша глобальная команда реагирования на киберинциденты (Kaspersky Global Emergency Response Team) проанализировала инциденты, в расследовании которых эксперты участвовали в 2021 году, и подготовила подробный отчет. С полным текстом можно ознакомиться, заполнив форму на сайте Securelist, а мы бы хотели поделиться основными находками и базовыми рекомендациями от экспертов по реагированию.

Начальный вектор атаки

Чаще всего злоумышленники пытались проникнуть в инфраструктуру компаний благодаря эксплуатации уязвимостей в публично доступных приложениях (в 53,6% случаев). В 17,9% случаев они использовали ранее скомпрометированные учетные данные и в 14,3% — применяли вредоносные письма. В связи с этим наши эксперты рекомендуют:

  • внедрять надежную парольную политику и многофакторную аутентификацию;
  • исключить возможность прямого доступа из Интернета к механизмам управления информационными системами;
  • как можно скорее устанавливать обновления для публично-доступных сервисов и систем или разработать адекватные компенсационные меры для их защиты;
  • периодически повышать ИБ-осведомленность сотрудников.

Инструменты злоумышленников

Почти в 40% инцидентов атакующие применяли типовые инструменты: либо это были легитимные компоненты операционных систем, либо инструменты для тестирования на проникновение. Наши эксперты советуют заранее подготовиться к их применению:

  • по возможности отказаться от использования в инфраструктуре ПО, особенно часто эксплуатируемого злоумышленниками;
  • использовать решения класса EDR;
  • настроить правила обнаружения инструментов, чаще всего используемых атакующими;
  • регулярно проводить киберучения с применением распространенных техник и тактик злоумышленников.

Последствия инцидентов

В инцидентах 2021 года злоумышленники чаще всего пытались зашифровать данные компаний (51% случаев). Что еще неприятнее, в 16% случаев атаки приводили к утечкам данных. В 11,1% была скомпрометирована Active Directory. Для того чтобы минимизировать ущерб для бизнеса, мы рекомендуем:

  • регулярно выполнять резервное копирование данных;
  • с особенным вниманием относиться к защите систем, в которых хранятся персональные данные;
  • заключить соглашение с надежным поставщиком услуг реагирования на инциденты;
  • поддерживать готовность команды реагирования с помощью специализированных тренингов и киберучений.

Для того чтобы развивать экспертные навыки внутренних команд по реагированию на инциденты и расследованию киберпреступлений и подготовить их к отражению сложных кибератак, рекомендуем воспользоваться обучающим курсом Kaspersky Expert Training Windows Incident Response. Он разработан на базе опыта и экспертных знаний специалистов из Kaspersky Global Emergency Response Team и в числе прочего научит корректному выявлению инцидентов, получению улик, анализу логов и сетей и созданию индикаторов компрометации. Подробнее о курсе можно почитать на странице онлайновых тренингов для экспертов.

Советы

Школа и киберугрозы

Почему в сфере образования следует внимательно относиться к кибербезопасности и как правильно защитить школу от возможных атак.

Как путешествовать безопасно

Собираетесь в отпуск? Мы разработали руководство для путешественников, которое поможет провести время с удовольствием, безопасно и полностью отвлечься от рутины.