
Novi izveštaj odeljenja Kaspersky Compromise Assessment pokazuje da mnoge organizacije ne uspevaju da otkriju sajber incidente zbog reaktivnog pristupa bezbednosti, nedovoljnog nadzora i operativnih nedostataka. Izveštaj otkriva da je u 31% analiziranih slučajeva zlonamerna aktivnost u organizacijama trajala duže od tri meseca pre nego što je otkrivena. Više od polovine (52%) kompromitacija visokog stepena ozbiljnosti identifikovano je tek nakon više od 90 dana neprimećenog delovanja napadača, dok je najstariji incident otkriven tokom protekle godine ostao neprimećen čak četiri godine. Kompletan izveštaj dostupan je na platformi Securelist.
Alati za nadzor nisu dovoljni sami po sebi
Alati za nadzor i bezbednosne kontrole nisu dovoljni bez odgovarajuće ljudske analize. Od svih otkrivenih incidenata, 20% identifikovano je ručno, dok je čak 60% organizacija propustilo da otkrije incidente zbog izostanka pouzdanih upozorenja visokog nivoa pouzdanosti (high-confidence alerts) iz postojećih bezbednosnih alata. Ovi podaci ukazuju na preveliko oslanjanje na automatizovane sisteme koji nisu uvek pravilno konfigurisani niti adekvatno nadgledani. Alate za bezbednosni nadzor potrebno je kontinuirano prilagođavati promenljivom okruženju sajber pretnji, pri čemu ljudski faktor ostaje od presudnog značaja. Bezbednosni analitičari trebalo bi redovno da proveravaju i upozorenja nižeg nivoa pouzdanosti (low-confidence alerts), koja često ostaju bez dalje istrage.
Zlonamerni fajlovi vraćeni iz rezervnih kopija
Za mnoge organizacije sistemi za pravljenje rezervnih kopija predstavljali su „slepu tačku“ bezbednosti. Čak 40% svih otkrivenih web shell skripti (zlonamernih skripti ili programa koji napadačima omogućavaju daljinski pristup kompromitovanom serveru) nalazilo se neotkriveno u rezervnim kopijama podataka. To znači da su mogli biti vraćeni u sistem nakon završetka početnih aktivnosti odgovora na incident. Zbog toga je neophodno detaljno proveravati ne samo integritet rezervnih kopija, već i njihov sadržaj.
Problemi u komunikaciji dovode do propuštenih incidenata
Gotovo trećina (32%) sprovedenih procena kompromitacije ukazala je na probleme u internoj komunikaciji, poput nejasne potvrde izvršenih aktivnosti ili gubitka znanja usled odlaska zaposlenih iz organizacije. Ovi rezultati potvrđuju potrebu za redovnim simulacionim vežbama kojima se proveravaju ne samo tehničke procedure odgovora na incidente (playbooks), već i komunikacioni tokovi, saradnja među timovima i operativni sporazumi o nivou usluge (Operational Level Agreements – OLA).
Procedure odgovora na incidente moraju se redovno ažurirati
Da bi odgovor na bezbednosne incidente bio zaista efikasan, procedure i operativni priručnici moraju se posmatrati kao „živi dokumenti“ koji se kontinuirano ažuriraju u skladu sa novim indikatorima kompromitacije, digitalnim tragovima (artifacts) i aktuelnim obaveštajnim podacima o sajber pretnjama (threat intelligence). Neprilagođavanje planova odgovora na incidente promenama u okruženju sajber pretnji značajno povećava rizik da kritične pretnje ostanu neotkrivene i da kompromitacija sistema potraje.
„Organizacije se danas suočavaju ne samo sa spoljnim rizicima, već i sa skrivenim pretnjama unutar sopstvene infrastrukture, pri čemu znaci kompromitacije nisu uvek očigledni. Proaktivne bezbednosne provere značajno povećavaju verovatnoću blagovremenog otkrivanja kompromitacije sistema. Uključivanje redovnih nezavisnih procena kompromitacije u bezbednosne procese organizacije može smanjiti verovatnoću neočekivanih incidenata visokog stepena ozbiljnosti i unaprediti ukupni nivo upravljanja rizicima“, izjavio je Amged Wageh, stručnjak iz odeljenja Kaspersky Compromise Assessment.
Kompletan izveštaj dostupan je na platformi Securelist.
Kaspersky preporučuje organizacijama da:
- sprovedu sveobuhvatnu proveru ispravnosti sistema za detekciju pretnji u roku od 30 dana, sa posebnim fokusom na integritet telemetrijskih podataka i relevantnost pravila detekcije;
- formiraju tim za validaciju upozorenja prvog nivoa (Tier 1) koji će po unapred definisanom rasporedu analizirati sva upozorenja nižeg nivoa pouzdanosti;
- obezbede neprekidan bezbednosni nadzor (24/7) uz primenu threat hunting aktivnosti usmerenih na uspostavljanje referentnog ponašanja sistema (baselining), analizu upozorenja niže pouzdanosti i identifikaciju novih tehnika koje koriste napadači;
- ponovo procene proces upravljanja ranjivostima kako bi obezbedile kontinuiranu primenu bezbednosnih zakrpa i aktiviranje revizionih dnevnika (audit logs) na svim kritičnim sistemima;
- ažuriraju programe podizanja svesti o sajber bezbednosti kako bi obuhvatili rizike od kompromitacije akreditiva putem privatnih uređaja zaposlenih i dodatno ojačali bezbednu primenu modela BYOD (Bring Your Own Device);
- redovno organizuju simulacione („tabletop“) vežbe radi testiranja procedura odgovora na incidente, unapređenja stručnih veština timova i poboljšanja komunikacionih procesa;
- uspostave operativne sporazume o nivou usluge (Operational Level Agreements – OLA) koji će jasno definisati komunikaciju između različitih timova, kao i standardne operativne procedure za pravilno dokumentovanje aktivnosti.





