Новость
Значительная часть организаций упускает признаки компрометации своих систем — сказываются реактивная модель защиты, слабый мониторинг и пробелы в операционных процессах. К такому заключению пришла «Лаборатория Касперского», подводя итоги работы сервиса Kaspersky Compromise Assessment, предназначенного для поиска следов взлома в корпоративных сетях, за 2025 год.
Специалисты компании изучили случаи, когда инциденты долгое время оставались вне поля зрения защитников. Почти треть таких случаев (31%) характеризовались тем, что вредоносная активность в инфраструктуре компании продолжалась дольше трех месяцев. При этом более половины — 52% — особо опасных инцидентов удавалось выявить лишь спустя 90 и более дней с момента начала атаки. Отдельно упоминается случай, где злоумышленники оставались незамеченными на протяжении четырех лет.
Существующих средств контроля и мониторинга явно недостаточно. Каждый пятый инцидент выявлялся исключительно ручным способом, а 60% случаев пропускались компаниями из-за того, что установленные системы защиты не формировали должных предупреждений. Эта картина указывает на чрезмерную опору бизнеса на автоматизацию, которая нередко работает без надлежащей настройки и контроля. Правила и инструменты мониторинга нуждаются в постоянной донастройке, а человеческий фактор остается решающим: специалистам необходимо самостоятельно перепроверять оповещения с низкой степенью достоверности, которые обычно игнорируются.
Резервные копии являются одним из самых уязвимых мест инфраструктуры. Зараженные файлы нередко попадают и остаются в бэкапах: 40% всех найденных веб-шеллов присутствовали именно в резервных копиях, оставаясь там незамеченными. Из-за этого системы резервного копирования превращаются в слепую зону для многих компаний, а зараженные архивы способны стать источником повторного заражения спустя долгое время после первичного взлома. Экспертами рекомендуется внимательно проверять содержимое и целостность таких копий.
Нередко реагирование тормозят коммуникационные сбои. В 32% случаев на скорость и качество реагирования напрямую влияли проблемы взаимодействия внутри команд — расплывчатые подтверждения выполненных действий, утрата экспертизы при увольнении сотрудников и тому подобное. Это говорит о необходимости регулярных учений, которые отрабатывают не только техническую сторону реагирования, но и слаженность работы между командами, а также проверяют соблюдение соглашений об уровне операционной поддержки (OLA) и стандартных операционных процедур (SOP).
Кроме того сценарии реагирования требуют постоянного обновления. Чтобы реагирование на инциденты действительно работало, плейбуки нужно регулярно пересматривать с учетом новых индикаторов и актуальных данных об угрозах. Постоянная доработка таких планов снижает вероятность того, что атака останется без внимания.
«Компании сталкиваются не только с внешними рисками, но и со скрытыми угрозами внутри своей инфраструктуры, причем признаки компрометации не всегда очевидны. Проведение аудитов безопасности повышает вероятность выявления взлома. Внедрение регулярных проектов по поиску компрометации (Compromise Assessment), проводимых сторонними экспертами, может снизить риск появления неожиданных инцидентов высокой степени критичности и повысить общий уровень защищенности», — сказал Виктор Сергеев, руководитель команды реагирования на инциденты «Лаборатории Касперского».
«Лаборатория Касперского» дает следующие рекомендации: провести полную проверку работоспособности систем обнаружения с акцентом на целостность телеметрии и актуальность правил; сформировать команду для первичной валидации оповещений, которая будет регулярно и по графику разбирать все сигналы с низкой достоверностью; выстроить круглосуточный мониторинг, дополнив его проактивным поиском угроз с фокусом на базовые профили активности, малоточные оповещения и новые тактики атакующих; пересмотреть процессы управления уязвимостями, обеспечив своевременное применение патчей и полноценное ведение аудит-логов на всех критичных активах; актуализировать программы обучения сотрудников вопросам кибербезопасности, уделив особое внимание рискам утечки учетных данных с личных устройств и правилам безопасного использования собственных гаджетов в рабочих целях (BYOD); проводить регулярные тренировки для отработки сценариев реагирования, повышения квалификации команд и улучшения взаимодействия между ними; закрепить соглашения об уровне операционной поддержки (OLA) и стандартные операционные процедуры (SOP), четко регламентирующие работу команд и документирование на операционном уровне.