Касперський повідомляє: у 25 відсотках кібератак у Європі кіберзлочинці зловживають законними інструментами для подальшої діяльності. Здебільшого вони використовують уразливості програм як шлюзи до корпоративної мережі або інструменти віддаленого доступу для викрадення даних. 11,1 відсотка відповідей на інциденти в Європі надходять з Німеччини; 25,9 відсотка зі Швейцарії.
Незалежно від того, фінансові установи чи компанії з телекомунікацій, промисловості, транспорту та логістики – європейські організації в усіх секторах мають боротися з кібератаками. Майже чверть (24 відсотки) відповідей на інциденти, проаналізованих Kaspersky у всьому світі минулого року, стосувалися Європи, яка посідає друге місце після Близького Сходу (32,6 відсотка). Найчастіше підозрілі файли (36,2 відсотка), уже зашифровані дані (21,3 відсотка) або підозріла активність на кінцевих точках (10,6 відсотка) викликали реакцію на інцидент в компаніях. Проблема в цьому: половину інцидентів виявляють лише через кілька тижнів, отже, шкоди вже завдано. Крім того, чверть інцидентів безпеки пов’язана з законними інструментами керування та віддаленого доступу, які рішення безпеки важко виявляють як атаки та популярні в епоху роботи з дому.
Кібератаки іноді стають очевидними лише на пізній стадії
З одного боку, компанії розпізнають кібератаки за помітними негативними ефектами, такими як зашифровані дані, втрата грошей або витік даних, а також за попередженнями, які вони отримують від своїх рішень безпеки. Аналізуючи реакцію на інциденти в Європі, експерти Kaspersky виявили, що в більш ніж третині (35,3 відсотка) випадків використовувані уразливості програм були шлюзом до корпоративної мережі. Були визначені наступні початкові вектори атаки:
- шкідливі листи (29,4%),
- зовнішні носії інформації (11,8%),
- Використання вразливостей через неправильну конфігурацію (11,8 відсотка),
- витік даних доступу (5,9 відсотка)
- та інсайдери (5,9 відсотка)
Постраждали компанії з усіх секторів. Відповіді на інциденти, проаналізовані Касперським, надійшли від організацій у сферах фінансів (25,4 відсотка), телекомунікацій (16,9 відсотка), промисловості (16,9 відсотка) і транспорту (13,6 відсотка). Приблизно на кожен дванадцятий інцидент відповідь надійшла від влади (8,5 відсотка).
Інструменти управління та віддаленого доступу є ризиком для бізнесу
Потрапивши в мережу, зловмисники зловживали законними інструментами, щоб завдати шкоди в 25 відсотках проаналізованих інцидентів. Вони фактично використовуються ІТ-адміністраторами та мережевими адміністраторами, серед іншого, для усунення несправностей і надання технічної підтримки співробітникам. Однак це дозволяє кіберзлочинцям запускати процеси на кінцевих точках, отримувати доступ і витягувати конфіденційну інформацію, минаючи різні засоби безпеки, які використовуються для виявлення шкідливих програм.
Аналізуючи відповіді на інциденти, експерти Kaspersky змогли ідентифікувати 18 різних легітимних інструментів, якими зловмисники використовували зловмисники. У половині випадків, проаналізованих у Європі (50 відсотків), використовувався потужний інструмент керування PowerShell, який можна використовувати для багатьох цілей, від збору інформації до запуску зловмисного програмного забезпечення, і PsExec, який використовується для запуску процесів на віддалених кінцевих точках. SoftPerfect Network Scanner, який використовується для отримання інформації про мережеве середовище, у 37,5% атак.
Легітимне програмне забезпечення приховує атаки
«Щоб уникнути виявлення та якомога довше залишатися невидимими в скомпрометованій мережі, зловмисники часто використовують програмне забезпечення, призначене для звичайних дій користувачів, завдань адміністратора та діагностики системи», — пояснює Костянтин Сапронов, керівник глобальної групи реагування на надзвичайні ситуації Kaspersky. «Ці інструменти дозволяють зловмисникам збирати та переміщувати інформацію про корпоративні мережі, змінювати налаштування програмного та апаратного забезпечення або навіть виконувати зловмисні дії — вони можуть використовувати законне програмне забезпечення для шифрування даних клієнтів. Законне програмне забезпечення може допомогти зловмисникам залишатися поза увагою аналітиків безпеки, оскільки вони часто помічають атаку лише після того, як було завдано шкоди. Виключити ці засоби неможливо з багатьох причин. Однак правильно розгорнуті системи реєстрації та моніторингу допомагають виявляти підозрілу активність у мережі та складні атаки на ранніх етапах».
Підприємствам слід розглянути можливість впровадження рішення для виявлення кінцевих точок і реагування на них із службою MDR, щоб своєчасно виявляти такі атаки та реагувати на них. MITRE ATT&CK® Round 2 Evaluation [2], який оцінював різні рішення, такі як Kaspersky EDR і Kaspersky Managed Protection Service, може допомогти організаціям вибрати продукти EDR, які відповідають їхнім потребам. Результати оцінки ATT&CK демонструють важливість комплексного рішення, яке поєднує в собі повністю автоматизований багаторівневий продукт безпеки та службу пошуку загроз вручну.
Поради захисту Касперського для бізнесу
- Обмежте доступ до інструментів віддаленого керування із зовнішніх IP-адрес і переконайтеся, що інтерфейси віддаленого керування доступні лише з обмеженої кількості кінцевих точок.
- Забезпечте сувору політику паролів для всіх ІТ-систем і використання багатофакторної автентифікації.
- Пропонуйте працівникам обмежені привілеї та надавайте облікові записи з високим рівнем привілеїв лише тим, кому вони потрібні для виконання роботи.
- Встановлення спеціального рішення безпеки, такого як Kaspersky Endpoint Security для бізнесу [3] на всіх кінцевих точках Windows, Linux і MacOS. Це забезпечує захист як від відомих, так і від невідомих кіберзагроз і пропонує низку параметрів контролю кібербезпеки для кожної операційної системи.
- Надайте командам SOC доступ до найновіших даних про загрози за допомогою аналізу загроз [4], щоб залишатися в курсі інструментів, методів і тактик учасників загроз.
- Регулярне створення резервних копій усіх відповідних бізнес-даних. Таким чином можна швидко відновити важливі дані, які були зашифровані та зроблені непридатними для використання програмами-вимагачами.
Додаткова інформація зі звіту Kaspersky Incident Response Analyst Report доступна в Інтернеті.
Дізнайтеся більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/