Báo cáo Phát hiện và Phản hồi được quản lý của Kaspersky đã được xuất bản. Cơ sở hạ tầng ngày càng phức tạp, thiếu công nhân lành nghề và sự gia tăng các cuộc tấn công tinh vi đang ảnh hưởng đến hiệu quả của các nhóm an ninh mạng cũng như khả năng phát hiện sự cố trước khi chúng xảy ra. Kaspersky đã phân tích các sự kiện ẩn danh của khách hàng được xác định thông qua dịch vụ MDR vào năm 2021 để tìm hiểu thêm về bối cảnh mối đe dọa hiện tại.
Kaspersky phát hành báo cáo Phát hiện và phản hồi được quản lý
Theo báo cáo, các tổ chức thuộc tất cả các ngành đã trải qua nhiều loại trường hợp có mức độ nghiêm trọng cao trong giai đoạn này. Trong khi các nguyên nhân phổ biến nhất gây ra sự cố nghiêm trọng vẫn giữ nguyên như năm ngoái, thì tỷ lệ lớn nhất (40%,7) thuộc về các cuộc tấn công có chủ đích. Phần mềm độc hại nghiêm trọng được phát hiện trong 14% trường hợp và gần 13% các sự cố có mức độ nghiêm trọng cao được phân loại là khai thác các lỗ hổng nghiêm trọng công khai. Kỹ thuật xã hội cũng vẫn là một mối đe dọa lớn trong giai đoạn này, với 5,5tạo ra của mình.
Vào năm 2021, các cuộc tấn công có chủ đích đã được phát hiện ở tất cả các ngành dọc được trình bày trong nghiên cứu, ngoại trừ giáo dục và truyền thông đại chúng. Số lượng các cuộc tấn công lớn nhất xảy ra trong các lĩnh vực chính phủ, ngành công nghiệp, CNTT và tài chính. Các cuộc tấn công có chủ đích chiếm 2/3 (66%) tổng số sự cố nghiêm trọng trong khu vực công, hơn một nửa (55%) trong lĩnh vực chăm sóc sức khỏe và 40% trong lĩnh vực xây dựng.
Các sự kiện có mức độ nghiêm trọng cao được phân biệt bằng việc sử dụng rộng rãi các tệp nhị phân không độc hại được phát hiện trên hệ thống mục tiêu. Những công cụ này cho phép tội phạm mạng che giấu các hoạt động của chúng và giảm thiểu nguy cơ bị phát hiện cuộc tấn công ở giai đoạn đầu. Ngoài rundll32.exe, powershell.exe và cmd.exe thường được sử dụng, các công cụ như reg.exe, te.exe và certutil.exe cũng thường xuyên được sử dụng trong các sự kiện quan trọng.
Để tự bảo vệ mình tốt hơn trước các cuộc tấn công có chủ đích, các tổ chức có thể tranh thủ sự trợ giúp của các dịch vụ tiến hành diễn tập tấn công. Các dịch vụ như vậy mô phỏng các cuộc tấn công tinh vi để nghiên cứu khả năng phục hồi của công ty trước các cuộc tấn công mạng. Theo các nhà phân tích MDR của Kaspersky, dịch vụ này chỉ được ưa chuộng ở 16% tổ chức.
Sergey Soldatov, Giám đốc Trung tâm Điều hành Bảo mật Kaspersky, cho biết: “Báo cáo MDR cho thấy các cuộc tấn công tinh vi diễn ra dai dẳng và ngày càng nhiều tổ chức đang phải đối mặt với các sự cố nghiêm trọng. Một trong những vấn đề cấp bách nhất ở đây là những sự cố có tầm quan trọng cao cần thêm thời gian để điều tra và đề xuất các bước khắc phục. Năm ngoái, các nhà phân tích của Kaspersky đã đưa chỉ số này lên mức 52 vào năm 2020.6 41 phút,4 đã cố gắng giảm nó xuống còn vài phút. Điều này đạt được bằng cách bổ sung thêm nhiều mẫu mẫu sự kiện và triển khai các kỹ thuật đo từ xa mới giúp tăng tốc độ ưu tiên.”
Để bảo vệ các tổ chức khỏi các cuộc tấn công nâng cao, Kaspersky khuyến nghị:
- Nên sử dụng giải pháp kết hợp khả năng phát hiện, ứng phó và săn lùng mối đe dọa có quản lý để giúp xác định các mối đe dọa đã biết và chưa biết mà không yêu cầu thêm nguồn lực nội bộ. Các phương pháp tiếp cận chỉ cảnh báo không còn đủ để ứng phó với các mối đe dọa hiện đại.
- Để cung cấp khả năng hiển thị chuyên sâu về các mối đe dọa mạng nhắm mục tiêu vào tổ chức, nhóm SOC phải có quyền truy cập vào thông tin tình báo mới nhất về mối đe dọa.
- Cần triển khai đào tạo ứng phó sự cố để phát triển chuyên môn của nhóm nghiên cứu kỹ thuật số và ứng phó sự cố nội bộ. Điều này sẽ giúp xác định và giải quyết các mối đe dọa nhanh hơn và giảm thiểu tác động của sự cố.
- Nhận thức cơ bản về an ninh mạng cần được phổ biến cho nhân viên để giảm khả năng xảy ra các cuộc tấn công có chủ đích. Kỹ thuật lừa đảo vẫn là một phương pháp rất phổ biến và nó cũng áp dụng cho các sự cố có mức độ nghiêm trọng cao.
Báo cáo đầy đủ về Phát hiện và Phản hồi được quản lý của Kaspersky có sẵn tại liên kết này.
