Опасные инциденты были незамечены более 90 дней
В 2025 году свыше половины инцидентов высокой критичности в организациях оставались незамеченными более 90 дней
Регулярные превентивные оценки компрометации снижают такие риски
Многие организации пропускают инциденты в сфере кибербезопасности из-за реактивного подхода, недостаточного мониторинга и операционных недостатков. Такие выводы сделала «Лаборатория Касперского» по итогам работы сервиса для выявления признаков компрометации в сетях организаций Kaspersky Compromise Assessment в 2025 году.
Эксперты компании проанализировали инциденты, которые оставались незамеченными на протяжении долгого времени. В 31% из них вредоносная деятельность в организациях продолжалась более трёх месяцев. Свыше половины (52%) инцидентов высокой степени критичности были обнаружены только через 90 дней. Также был зафиксирован инцидент, который оставался незамеченным в течение целых четырёх лет.
Инструментов мониторинга и контроля недостаточно. Каждый пятый инцидент был обнаружен вручную. 60% было пропущено предприятиями из-за отсутствия надёжных оповещений от существующих средств защиты. Это свидетельствует о крайней зависимости от автоматизированных инструментов, которые не всегда настроены или контролируются должным образом. Инструменты мониторинга необходимо регулярно адаптировать, при этом человеческий фактор по-прежнему играет ключевую роль: аналитики должны активно проверять оповещения с низким уровнем достоверности, которые зачастую остаются без внимания.
Вредоносные файлы сохраняются в резервных копиях. Для многих организаций системы резервного копирования остаются слепым пятном. 40% всех обнаруженных веб-шеллов незаметно находились в резервных копиях. Это может приводить к повторной компрометации спустя длительное время после первоначального заражения. Необходимо тщательно проверять целостность и содержание резервных копий.
Проблемы в коммуникациях могут привести к упущенным инцидентам. В 32% случаев на процесс реагирования существенно влияли коммуникационные проблемы внутри организаций, например неоднозначное подтверждение действий или утрата знаний в связи с текучкой кадров. Это подчёркивает необходимость проводить регулярные тренинги для отработки не только технической части сценариев реагирования, но и взаимодействия между участниками процесса, а также для проверки соблюдения соглашений об уровне операционной поддержки (OLA), регламентирующих взаимодействие между командами, и стандартных операционных процедур (SOP), используемых для корректного документирования на операционном уровне.
Практики реагирования на киберинциденты должны регулярно обновляться. Чтобы реагирование на инциденты было по-настоящему эффективным, сценарии необходимо регулярно пересматривать с учётом появления новых артефактов и данных об угрозах. Постоянно дорабатывая план реагирования на инциденты, организации снижают вероятность пропуска угроз.
«Компании сталкиваются не только с внешними рисками, но и со скрытыми угрозами внутри своей инфраструктуры, причём признаки компрометации не всегда очевидны. Проведение аудитов безопасности повышает вероятность выявления взлома. Внедрение регулярных проектов по поиску компрометации (Compromise Assessment), проводимых сторонними экспертами, может снизить риск появления неожиданных инцидентов высокой степени критичности и повысить общий уровень защищённости», — комментирует Виктор Сергеев, руководитель команды реагирования на инциденты «Лаборатории Касперского».
Полная версия отчёта находится на Securelist.ru.
«Лаборатория Касперского» рекомендует:
Создание сайтов NewMark