Посты о SOC, TI и IR

Реагирование на инциденты: аналитический отчет 2020

 Скачать полный отчет (PDF)

Аналитический отчет содержит информацию об атаках, расследованных «Лабораторий Касперского» в 2020 году. Мы предоставляем широкий спектр сервисов (реагирование на инциденты, цифровая криминалистика, анализ вредоносных программ) для оказания помощи организациям, пострадавшим от инцидентов информационной безопасности. Данные, использованные в отчете, получены из практики работы с организациями, которые обращались за помощью в реагировании на инциденты или проводили экспертные мероприятия для своих внутренних групп реагирования на инциденты.

В 2020 году пандемия вынудила компании приспособиться к подходу «работа из дома» (Work from home, WFH), что оказало сильное влияние на работу отделов ИБ. Хотя основные тенденции с точки зрения угроз остались прежними, 97% наших сервисов стали предоставляться в удаленном формате.

География реагирования на инциденты по регионам, 2020

Большая часть обработанных нами инцидентов произошла в СНГ (27,8%), Европейском союзе (24,7%) и Ближнем Востоке (22,7%). В 2020 году организации, обратившиеся к нам за помощью, относились к самым разным секторам, в том числе к индустриальному, финансовому, правительственному, телекоммуникационному, транспортному и сектору здравоохранения.

Доля реагирований на инциденты по отраслям и вертикалям, 2020

Чаще других сталкивались с кибератаками промышленные предприятия (22%), следом шел государственный сектор (19%). В 2020 году к нам чаще всего обращались в связи с программами-вымогателями: 32,7% подтвержденных инцидентов были связаны с шифрованием файлов.

В целом, наш аналитический отчет, посвященный реагированию на инциденты в 2020 году, состоит из четырех глав:

  • Причины обращения к сервису реагирования на инциденты
    Большинство инцидентов, в которых причина обращения была связана с подозрительными событиями, мы с уверенностью можем классифицировать как инциденты с программами-вымогателями. Количество инцидентов с их участием превысило количество инцидентов, связанных с хищением денежных средств или любыми другими последствиями, так как атаки с шифрованием данных имеют простую схему монетизации и распространены во всех отраслях (не только финансовой).
  • Начальный вектор атаки, или как атакующие проникают внутрь организаций
    Подавляющее большинство первоначальных векторов атаки – это проблемы с паролями, уязвимости программного обеспечения и социальная инженерия.
  • Инструменты атакующих и эксплойты
    Почти в половине инцидентов было обнаружено использование инструментов, уже присутствующих в системах пользователей (подобно LOLbins), хорошо известных инструментов с GitHub (например, Mimikatz, AdFind, Masscan), а также коммерческих фреймворков (Cobalt Strike).
  • Продолжительность атак
    Мы разделили все инциденты на три категории с различным временем пребывания злоумышленника в сети, продолжительностью реагирования на инцидент, начальным вектором и последствиями атаки.

Больше информации о кибератаках и реагировании на них в 2020 году читайте в полной версии нашего отчета (русский, PDF).

Реагирование на инциденты: аналитический отчет 2020

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике