Посты о SOC, TI и IR

Природа инцидентов информационной безопасности — отчет за 2022 год

«Лаборатория Касперского» предоставляет различные услуги организациям, пострадавшим от кибератак. В числе таких услуг — реагирование на инциденты, цифровая криминалистика, анализ вредоносных программ и другие. В ежегодном отчете по реагированию на инциденты мы предоставляем информацию об атаках, которые расследовали за прошедший год. Данные, используемые в отчете, получены из практики работы с организациями по всему миру, которые обращались к нам за помощью или проводили экспертные мероприятия для своих внутренних групп реагирования на инциденты.

Скачать полную версию отчета в формате PDF

Kaspersky Incident Response в различных регионах и отраслях

В 2022 году 45,9% организаций, обратившихся к сервису Kaspersky Incident Response, находились в России и СНГ. На втором месте — Ближний Восток (22,5%), за ним следуют Северная и Южная Америка (14,3%) и Европа (13,3%).

Если смотреть по отраслям, то чаще всего наш сервис приходил на помощь госучреждениям (19,39%), финансовым (18,37%) и промышленным организациям (17,35%).

Тренды 2022 года: векторы проникновения и последствия

В 2022 году злоумышленники чаще всего проникали в инфраструктуру организаций при помощи эксплуатации уязвимостей в публично доступных приложениях (42,9%). Однако по сравнению с 2021 годом доля этого вектора снизилась на 10,7 п. п., а доля случаев проникновения через скомпрометированные учетные записи (23,8%), напротив, возросла. Доля атак, начинающихся с вредоносных писем, продолжает сокращаться: в 2022 году она составила 11,9%.

В 39,8% случаев речь шла об атаках программ-вымогателей. Зашифрованные данные третий год подряд остаются основной проблемой, с которой сталкиваются наши клиенты. При этом относительно 2021 года доля таких инцидентов снизилась. Кроме того, вымогательство не всегда было целью атак шифровальщиков. В некоторых случаях эти зловреды использовались для того, чтобы скрыть следы атаки и затруднить ее расследование.

Рекомендации

Для эффективной защиты организации от кибератак эксперты «Лаборатории Касперского» рекомендуют:

  • внедрять надежную парольную политику и многофакторную аутентификацию;
  • закрывать порты управления от доступа извне;
  • устанавливать обновления ПО или использовать дополнительные меры защиты для сервисов на периметре сети;
  • повышать уровень осведомленности сотрудников в вопросах информационной безопасности;
  • использовать решения класса EDR и правила обнаружения легитимных инструментов, применяемых в кибератаках;
  • регулярно проводить киберучения с применением распространенных тактик и техник злоумышленников;
  • регулярно выполнять резервное копирование данных;
  • оформить подписку на сервисы реагирования на инциденты с SLA;

Больше информации о киберинцидентах, в том числе тепловая карта тактик и техник по MITRE ATT&CK, распределение причин обращения к сервису по реагированию на инциденты по регионам и отраслям и другие данные — в полной версии отчета (PDF).

Подробный анализ наиболее распространенных уязвимостей можно найти в приложении к отчету (PDF).

Природа инцидентов информационной безопасности — отчет за 2022 год

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике