Oko 56% zahteva za odgovor na incident koje su tokom 2018. godine obradili bezbednosni stručnjaci kompanije Kaspersky nastalo je nakon što je pogođena organizacija već pretrpela vidljive posledice napada, kao što su neovlašćeni novčani transferi, šifrovanje radnih stanica ransomverom i nedostupnost usluge. 44% zahteva obrađeno je nakon otkrivanja napada u ranoj fazi, čime je korisnik spašen od potencijalno teških posledica. Ovo su neki od glavnih nalaza najnovijeg izveštaja „Analitika odgovora na incidente” kompanije Kaspersky.
Često se pretpostavlja da je odgovor na incident potreban samo u slučajevima kada je sajber napad već načinio štetu i kada postoji potreba za daljom istragom. Međutim, analiza više slučajeva odgovora na incidente u kojima su učestvovali stručnjaci kompanije Kaspersky tokom 2018. godine pokazuje da ova ponuda ne mora biti samo istražna, već može poslužiti kao alat za hvatanje napada u ranijoj fazi radi sprečavanja štete.
U 2018. godini, 22% slučajeva odgovora na incidente pokrenuto je nakon otkrivanja potencijalne zlonamerne aktivnosti u mreži, a dodatnih 22% pokrenuto je nakon što je u mreži pronađena zlonamerna datoteka. Bez bilo kakvih drugih znakova upada, oba slučaja mogu ukazivati na to da napad u toku. Međutim, ne može svaki korporativni bezbednosni tim znati da li su automatizovani bezbednosni alati već otkrili i zaustavili zlonamerne aktivnosti ili je ovo samo početak većeg, nevidljivog, zlonamernog rada u mreži pa su neophodni spoljni stručnjaci. Kao rezultat pogrešne procene, zlonamerna aktivnost prelazi u ozbiljan sajber napad sa stvarnim posledicama. U 2018. godini, 26% istraženih „zakasnelih” slučajeva prouzrokovano je infekcijom šifriranog malvera, dok je 11% napada rezultiralo krađom novca.19% „zakasnelih” slučajeva je prouzrokovano detekcijom spama na korporativnom i-mejl nalogu, detekcijom nedostupnosti usluge ili detekcijom uspešnog upada.
„Ova situacija ukazuje na to da se u mnogim kompanijama sigurno mogu poboljšati metode otkrivanja i procedure reagovanja na incidente. Što pre organizacija uhvati napad, to će posledice biti manje. Ali na osnovu našeg iskustva, kompanije često ne obraćaju pažnju na znakove ozbiljnih napada, a naš tim za reagovanje na incidente je često pozvan kada je već prekasno sprečiti štetu. S druge strane, vidimo da su mnoge kompanije naučile kako da procene znake ozbiljnog sajber napada u svojoj mreži i uspeli smo da sprečimo potencijalno velike incidente. Pozivamo druge organizacije da na ovo gledaju kao na uspešnu studiju slučaja“, rekao je Ajman Šaban (Ayman Shaaban), stručnjak za bezbednost u kompaniji Kaspersky.
Dodatni nalazi izveštaja uključuju:
· U internoj mreži 81% organizacija koje su dale podatke za analizu otkriveni su pokazatelji zlonamernih aktivnosti.
· 34% organizacija imalo je tragove već uznapredovanog ciljanog napada.
· Otkriveno je da je 54,2% finansijskih organizacija napadnuto od strane grupa koje koriste napredne uporne pretnje (APT).
Kako bi efikasno reagovali na incidente, kompanija Kaspersky preporučuje:
· Postarajte se da kompanija ima posvećen tim (najmanje jednog zaposlenog) koji je odgovoran za pitanja IT bezbednosti u kompaniji.
· Uvedite rezervne sisteme za kritične podatke.
· Kako biste blagovremeno reagovali na sajber napad, kombinujte interni tim za odgovor na incidente kao prvu liniju odbrane i eksterne stručnjake kako biste reagovali na složenije incidente.
· Razvijte plan sa detaljnim uputstvima i procedurama za različite vrste sajber napada.
· Uvedite trening za podizanje nivoa svesti zaposlenih kako biste ih edukovali o digitalnoj higijeni i naučili da prepoznaju i izbegnu potencijalno zlonamerne i-mejlove ili linkove.
· Uvedite procedure za upravljanje zakrpama kako biste redovno ažurirali softver.
· Redovno vršite procenu bezbednosti vaše IT infrastrukture.