În 2023 echipa Kaspersky SOC a avut nevoie în medie de 36,37 minute pentru a raporta incidentele de mare gravitate - cu 17% mai rapid decât în anii precedenţi. Incidentele de gravitate medie, care se datorează adesea programelor malware şi sunt cele mai frecvente, au înregistrat o creştere a timpului de răspuns de la 30 la aproape 33 de minute, fapt care se explică prin creşterea numărului acestui tip de incidente, conform raportului recent Kaspersky MDR Analyst.
În cele din urmă, incidentelor cu cea mai mică gravitate, în mod normal consecinţele unui software potenţial nedorit, le-a fost alocat mai mult timp de aşteptare înainte de a fi analizate de echipa SOC, rezultând un timp de aşteptare de puţin peste 48 de minute.
În ceea ce priveşte eficienţa răspunsului, aproximativ 74% dintre incidente au fost rezolvate după o singură alertă, fapt care reflectă existenţa unor scenarii clare de răspuns şi încetarea efectivă a atacurilor, după intervenţie.
Aproximativ 24% dintre incidente au fost semnalate de 2-10 alerte, indicând faptul că există cazuri în care rezolvarea automată nu a fost suficientă şi a fost nevoie de implicarea unui specialist. Exemplele includ atacuri în desfăşurare, cum ar fi încercările de exploatare în urma compromiterii reţelei sau campanii de phishing, care necesită adesea investigaţii manuale după mai multe alerte.
Un mic procent (2%) dintre incidente a implicat mai mult de 10 alerte. Motivele includ ameninţări complexe care necesită o investigaţie amănunţită înainte de intervenţie sau situaţii în care clientul a optat doar pentru monitorizare, cum ar fi exerciţiile cibernetice.
Ca răspuns la constatările analizei MDR, Kaspersky recomandă organizaţiilor următoarele:
Efectuaţi un inventar regulat al componenţei grupurilor privilegiate, pentru a avea o procedură oficială de gestionare a privilegiilor şi accesului.
Implementaţi practici de identificare activă a ameninţărilor, în combinaţie cu monitorizarea clasică, bazată pe alerte.
Efectuaţi o serie de exerciţii cibernetice pentru a testa eficienţa mecanismelor de securitate utilizate în compania dumneavoastră.
Adoptaţi o abordare de securitate pe mai multe straturi pentru a vă proteja împotriva incidentelor. Această abordare include protecţie complexă la nivel endpoint, securitatea reţelei şi threat intelligence analizat de experţi în securitate cibernetică.
În cazul în care o companie nu are personal dedicat de securitate cibernetică, utilizaţi servicii de securitate gestionate.