По данным «Лаборатории Касперского», в 2018 году в 44% случаев запросы в службу реагирования на киберинциденты поступили после обнаружения кибератаки на ранней стадии, что помогло компаниям избежать серьёзных последствий.
Пострадавшие организации предоставили данные, необходимые для подробного анализа, благодаря чему для них удалось восстановить подробную хронологию действий атакующих и выявить векторы первичной компрометации. Чем раньше организация обнаружит кибератаку, тем больших последствий она может избежать, поэтому обращаться к сервису реагирования на киберинциденты имеет смысл не только в тех случаях, когда факт кибератаки становится очевидным и компания страдает от нанесённого ей ущерба, но и для того, чтобы обнаружить атаку на ранней стадии и предотвратить ущерб.
Большая же часть обращений в службу реагирования на киберинциденты (то есть около 56%) в 2018 году были сделаны после того, как организация уже серьёзно пострадала от кибератаки. Причиной четверти этих обращений (26%) стала атака программы-шифровальщика. Примерно каждого десятого (11%) — кража денег. Почти каждого пятого (19%) — распространение спама с корпоративной почты, невозможность доступа к корпоративным сервисам или уязвимость, обнаруженная в системе.
«Сегодня компаниям нужно подходить к вопросам безопасности комплексно: недостаточно просто установить антивирусное ПО, файрволы и другие традиционные средства защиты. Для своевременной реакции на киберинциденты необходимо внедрять средства мониторинга и защиты, а также привлекать собственных или сторонних специалистов, которые способны анализировать данные и выявлять атаки на ранних этапах. Важно, чтобы команды по мониторингу, реагированию и расследованию имели большой опыт и постоянно поддерживали соответствующую квалификацию. К сожалению, наш опыт показывает, что пока компании часто не видят или не придают значения сигналам серьёзных атак и вызывают экспертов, только когда ущерб уже нанесён», — говорит руководитель отдела оперативного решения компьютерных инцидентов «Лаборатории Касперского», Константин Сапронов.
Чтобы иметь возможность эффективно реагировать на киберинциденты, «Лаборатория Касперского» рекомендует:
- внедрить системы резервного копирования для критических активов;
- при первых признаках кибератаки начинать активную борьбу с ней, привлекая к этому как внутренних сотрудников, так и приглашённых экспертов, которые помогут предотвратить более сложные инциденты;
- внедрить план с детально прописанными инструкциями и процедурами на случаи разных типов атак;
- провести тренинг по кибербезопасности для сотрудников, чтобы помочь им освоить базовые навыки цифровой гигиены и научить их распознавать и избегать потенциально вредоносных писем и ссылок;
- регулярно и своевременно обновлять используемое в организации ПО;
- регулярно проводить оценку уровня защищённости ИТ-инфраструктуры компании.