Managed Detection and Response — отчет за 2023 год

Отчет Kaspersky Managed Detection and Response за 2023 год (PDF)

Среди прочих решений по безопасности мы предоставляем организациям по всему миру Kaspersky Managed Detection and Response (MDR), в рамках которого наши эксперты и технологии обеспечивают круглосуточный мониторинг и реагирование на инциденты. В состав работ входит сбор телеметрии и ее анализ как при помощи технологий машинного обучения, так и силами команды экспертов нашего центра мониторинга (SOC). При обнаружении инцидента безопасности специалисты SOC рекомендуют план реагирования, который, если клиент его одобрит, будет отработан продуктами для защиты конечных точек. Помимо этого, наши эксперты предоставляют пользователям решения рекомендации по организации расследования и реагированию на инцидент.

В ежегодном отчете сервиса MDR мы публикуем результаты анализа инцидентов, выявленных центром мониторинга, которые могут помочь найти ответы на следующие вопросы:

• Кто ваши потенциальные атакующие?
• Как они действуют сегодня?
• Как можно обнаружить их действия?

В отчете представлена информация о наиболее часто встречающихся тактиках, техниках и инструментах атакующих, характере выявленных инцидентов и их распределении среди клиентов MDR по географии и секторам экономики.

Статистика по инцидентам безопасности за 2023 год

События безопасности

В 2023 году в рамках Kaspersky Managed Detection and Response было обработано более 431 тысячи событий безопасности. Из них более 117 тысяч проанализировали технологии машинного обучения, а еще свыше 314 тысяч — аналитики SOC. Из событий безопасности, обработанных вручную, чуть менее 90% оказались ложными срабатываниями. При этом около 32 тысяч событий безопасности оказались связаны примерно с 14 тысячами инцидентов.

Географическое распределение пользователей решения

В 2023 году больше всего клиентов Kaspersky MDR находилось в Европейском регионе (38%). На втором месте — Россия и СНГ (28%), на третьем — Азиатско-Тихоокеанский регион (16%).

Распределение клиентов Kaspersky MDR по регионам, 2023 г.

Распределение инцидентов по отраслям экономики

Поскольку количество инцидентов во многом зависит от объема мониторинга, наиболее объективную картину дает распределение отношения количества инцидентов к количеству объектов мониторинга (в случае MDR — это конечная точка). На приведенной ниже диаграмме отражено ожидаемое количество инцидентов заданной критичности на 10 000 конечных точек, распределенное по отраслям экономики.

Ожидаемое количество инцидентов разной степени критичности на 10 000 конечных точек в разных отраслях экономики, 2023 г.

В 2023 году больше всего инцидентов на 10 000 устройств было обнаружено в СМИ, строительных компаниях и государственных учреждениях.

Если говорить об абсолютном количестве выявленных инцидентов, то наибольшее количество инцидентов в мире в 2023 году фиксировалось в финансовом секторе (18,3%), на промышленных предприятиях (16,9%) и госучреждениях (12,5%).

Распределение числа клиентов Kaspersky MDR, всех выявленных инцидентов и критических инцидентов по отраслям экономики, 2023 г.

В России и СНГ отраслями с наибольшим количеством зафиксированных инцидентов стали промышленность (20%), финансы (17%) и СМИ (14%).

Общие наблюдения и рекомендации

Опираясь на анализ инцидентов, обнаруженных в 2023 году, а также на наш многолетний опыт, можем выделить следующие тенденции в области инцидентов безопасности и защиты от них:

• Каждый год мы выявляем целевые атаки, реализуемые при непосредственном участии человека. Для эффективного обнаружения таких атак необходимо помимо классического мониторинга безопасности внедрить активный поиск угроз (threat hunting).
• Эффективность используемых на предприятии защитных механизмов лучше всего отражает проведение различного рода киберучений. Из в года в год мы фиксируем увеличение интереса к такого рода проектам.
• В 2023 году мы выявили меньшее число инцидентов высокого уровня, связанных с использованием вредоносного ПО, чем в прошлые годы, однако количество аналогичных инцидентов средней и низкой критичности, напротив, выросло. Наиболее эффективным подходом к защите от таких инцидентов является обеспечение многоуровневой защиты.
• Использование базы знаний MITRE ATT&CK^® дает дополнительную контекстную информацию для команд обнаружения и расследования атак. Самые сложные атаки состоят из простых шагов и техник, причем обнаружение одного шага зачастую позволяет выявить всю атаку.

Подробную информацию о тактиках, техниках и инструментах злоумышленников, статистику по обнаружению и реагированию на инциденты и рекомендации по защите можно найти в полной версии отчета.