Niemal trzy czwarte podejrzanych obiektów to faktyczne cyberzagrożenia
Eksperci z firmy Kaspersky przeanalizowali zanonimizowane i zagregowane dane statystyczne dotyczące żądań wysyłanych do Kaspersky Threat Intelligence Portal, usługi oferującej dostęp do kilku petabajtów globalnych, uaktualnianych na bieżąco danych dot. cyberzagrożeń. Analiza wykazała, że gdy badacze bezpieczeństwa żądali dodatkowych szczegółów dotyczących podejrzanego obiektu, w 72%1 przypadków okazywał się on szkodliwy i gdyby nie został zbadany, mógł stanowić zagrożenie dla firm.
Średnio 44% alerty bezpieczeństwa w firmach nie pociągają za sobą wymaganych badań. Przyczyną może być to, że zespoły ds. bezpieczeństwa nie są w stanie poradzić sobie z tak ogromną ilością sygnałów ostrzegawczych. Analitycy muszą dokonywać podziału alertów na te, które wymagają zbadania, oraz te, które mogą zostać zignorowane. W takiej sytuacji bardzo przydatny jest system, który pomaga w podejmowaniu decyzji.
Zanonimizowane i zagregowane dane statystyczne pochodzące z usługi Kaspersky Threat Intelligence Portal pokazały, że w większości przypadków żądanie sprawdzenia alertu okazało się uzasadnione: 7 na 10 analizowanych żądań przesłanych za pośrednictwem usługi dotyczyło szkodliwych obiektów. Udział zagrożeń był szczególnie wysoki w przypadku obiektów związanych z siecią: dla domen wynosił 86%, dla adresów IP – 75%, natomiast dla adresów URL – 73%. Nieco niższy był w przypadku plików – 61% skrótów (tzw. hashy) zostało skategoryzowanych jako niebezpieczne. To sugeruje, że bez pomocy odpowiedniej analizy zagrożeń badaczom trudniej jest odróżnić legalne pliki od tych szkodliwych.
Zwykle badacze chcą się dowiedzieć, z jakimi zasobami komunikują się punkty końcowe w ich sieci – do tej kategorii można zaliczyć 41% wszystkich żądań. Posiadając informacje odnośnie reputacji adresu IP, a także powiązanych z nim stron internetowych oraz plików, zespoły ds. bezpieczeństwa mogą zdecydować, czy odmówić dostępu do takiego zasobu lub zablokować wszelką komunikację z nim. Ponadto jedna trzecia (31%) żądań ujawniła, że analitycy poszukują dodatkowych informacji na temat pliku (np. rozkład geograficzny, popularność oraz związki z innymi obiektami).
Jak wynika z naszych statystyk, analitycy bezpieczeństwa w organizacjach rzadko mylą się, gdy podejrzewają, że dany alert stanowi zagrożenie dla bezpieczeństwa i może wymagać dalszego zbadania. Jednak nie chodzi tu jedynie o sprawdzanie hipotez. Aby móc szybciej badać i reagować na incydenty, analitycy muszą widzieć dane zagrożenie w szerszym kontekście. To właśnie zapewnia im analiza zagrożeń, oszczędzając jednocześnie ich czas i wysiłek, co ma istotne znaczenie w przypadku cierpiących zwykle na braki kadrowe zespołów ds. bezpieczeństwa – powiedział Anatolij Simonienko, menedżer z zespołu odpowiedzialnego za rozwój technologii w firmie Kaspersky.
Kaspersky Threat Intelligence Portal to usługa oferująca klientom informacje na temat cyberzagrożeń zebrane przez firmę Kaspersky. Firma zapewnia bezpłatny dostęp do podstawowych informacji odnośnie do podejrzanych plików, skrótów, adresów IP itd. Więcej informacji na ten temat znajduje się na stronie https://r.kaspersky.pl/DNDpH.