Рамблер
Все новости
Личные финансы
Женский
Кино
Спорт
Aвто
АвтоновостиЗа рулёмПро машиныТест-драйвыЛайфхакиТрендыАвтовыгодаПДДАвтопомощникМаршруты мечты
Развлечения и отдых
Здоровье
Путешествия
Помощь
Полная версия

В 2025 году 52% высококритичных инцидентов были обнаружены через 90 дней

Многие организации пропускают инциденты в сфере кибербезопасности из-за реактивного подхода, недостаточного мониторинга и операционных недостатков. Такие выводы сделала «Лаборатория Касперского» по итогам работы сервиса для выявления признаков компрометации в сетях организаций Kaspersky Compromise Assessment в 2025 году.

Эксперты компании проанализировали инциденты, которые оставались незамеченными на протяжении долгого времени. В 31% из них вредоносная деятельность в организациях продолжалась более трех месяцев. Свыше половины (52%) инцидентов высокой степени критичности были обнаружены только через 90 дней. Также был зафиксирован инцидент, который оставался незамеченным в течение целых четырех лет.

Инструментов мониторинга и контроля недостаточно. Каждый пятый инцидент был обнаружен вручную. 60% было пропущено предприятиями из-за отсутствия надежных оповещений от существующих средств защиты. Это свидетельствует о крайней зависимости от автоматизированных инструментов, которые не всегда настроены или контролируются должным образом. Инструменты мониторинга необходимо регулярно адаптировать, при этом человеческий фактор по-прежнему играет ключевую роль: аналитики должны активно проверять оповещения с низким уровнем достоверности, которые зачастую остаются без внимания.

Вредоносные файлы сохраняются в резервных копиях. Для многих организаций системы резервного копирования остаются слепым пятном. 40% всех обнаруженных веб-шеллов незаметно находились в резервных копиях. Это может приводить к повторной компрометации спустя длительное время после первоначального заражения. Необходимо тщательно проверять целостность и содержание резервных копий.

Проблемы в коммуникациях могут привести к упущенным инцидентам. В 32% случаев на процесс реагирования существенно влияли коммуникационные проблемы внутри организаций, например неоднозначное подтверждение действий или утрата знаний в связи с текучкой кадров. Это подчеркивает необходимость проводить регулярные тренинги для отработки не только технической части сценариев реагирования, но и взаимодействия между участниками процесса, а также для проверки соблюдения соглашений об уровне операционной поддержки (OLA), регламентирующих взаимодействие между командами, и стандартных операционных процедур (SOP), используемых для корректного документирования на операционном уровне.

Практики реагирования на киберинциденты должны регулярно обновляться. Чтобы реагирование на инциденты было по-настоящему эффективным, сценарии необходимо регулярно пересматривать с учетом появления новых артефактов и данных об угрозах. Постоянно дорабатывая план реагирования на инциденты, организации снижают вероятность пропуска угроз.

«Компании сталкиваются не только с внешними рисками, но и со скрытыми угрозами внутри своей инфраструктуры, причем признаки компрометации не всегда очевидны. Проведение аудитов безопасности повышает вероятность выявления взлома. Внедрение регулярных проектов по поиску компрометации (Compromise Assessment), проводимых сторонними экспертами, может снизить риск появления неожиданных инцидентов высокой степени критичности и повысить общий уровень защищенности», — комментирует Виктор Сергеев, руководитель команды реагирования на инциденты «Лаборатории Касперского».

«Лаборатория Касперского» рекомендует:

провести комплексную проверку работоспособности механизма обнаружения, уделяя приоритетное внимание целостности телеметрических данных и актуальности правил;создать команду валидации оповещений первого уровня, которая будет регулярно проверять все события с низким уровнем достоверности по установленному графику;организовать тщательный круглосуточный мониторинг и усилить его активным поиском поиска угроз, ориентированным на базовые профили активности, оповещения с низкой точностью и новые техники злоумышленников;пересмотреть процессы управления уязвимостями и обеспечить регулярное внедрение исправлений и полноценное ведение логов аудита на всех критически важных активах;обновить программы повышения осведомленности в области информационной безопасности, уделив особое внимание вопросам утечки учетных данных с личных устройств и практике безопасного использования персональных устройств для работы (BYOD);регулярно проводить тренинги для отработки сценариев реагирования, повышения квалификации команд и улучшения коммуникаций;разработать соглашения об уровне операционной поддержки (OLA), регламентирующие взаимодействие между командами, а также стандартные операционные процедуры (SOP) для корректного документирования.