面临严重网络安全事件的组织比例在一年内增加了一半
基于对卡巴斯基管理检测和响应(MDR)报告给客户的事件的分析显示,遭遇严重事件的组织的比例从2020年的十分之一(9%)增长到2021年的七分之一(14%)。
日益复杂的基础设施、熟练专业人员的短缺以及攻击的日益复杂化都会影响网络安全团队的效率以及在事件发生前他们识别敌对活动的能力。为了提供对当前威胁形势的见解,卡巴斯基分析了2021年通过其MDR服务发现的匿名客户事件。
根据结果报告,在此期间,各个行业的组织都遇到高严重性的事件,大多数垂直行业面临多种类型的事件。最常见的严重事件的原因与前一年一致,其中比例最大的原因为针对性攻击(40.7%)。14%的事件是由于恶意软件的重大影响造成的,还有不到13%的严重事件的原因是公开的严重漏洞被利用。社交工程也仍然是一个相关性很强的威胁,其造成的事件约占5.5%。
2021年,在研究中代表各个垂直领域的行业中,除了教育行业和大众媒体行业,全都检测到针对性攻击,尽管有报告称媒体组织内部存在与针对性攻击有关的事件。在政府、工业、IT 和金融垂直领域检测到的人为驱动的攻击数量最多。
高严重性事件的特点是广泛使用非恶意性质的(LotL) 二进制文件,这些文件已经存在于目标系统中。这些工具允许网络犯罪分子隐藏其活动,并最大限度地减少在攻击的第一阶段被检测到的机率。除了广泛使用的rundll32.exe、powershell.exe 和cmd.exe文件之外,te.exe和certutil.exe等工具也经常在重大事件中被使用。
为了更好地应对针对性攻击,组织可以采用正义的黑客攻击练习活动。这种类型的活动模拟了复杂的敌对性攻击,以检查公司的网络抗压能力。根据卡巴斯基的MDR分析,只有16%的组织采用了这种应对方式。
“MDR报告再次表明,复杂的攻击将继续存在,而且越来越多的组织正面临严重事件。目前最紧迫的问题之一是,高严重性事件需要更多时间来调查,以便提供建议来采用修补措施。去年,卡巴斯基分析人员设法将该指标从2020年的52.6分钟答复减少到41.4分钟。这是通过增加更多的事件卡模板,以及引入新的遥测内容,加快分流速度来实现的,”卡巴斯基安全运营中心负责人Sergey Soldatov评论说。
为了保护您的组织免受高级攻击,卡巴斯基建议:
部署一款将检测和响应功能与管理威胁追踪服务相结合的解决方案,以帮助识别已知和未知威胁,同时无需额外的内部资源。以警报为驱动的方法对于应对现代威胁已不再有效。
为您的SOC团队提供对最新威胁情报的访问,以确保深入了解针对您组织的网络威胁。
实施专家事件响应培训,以提高内部数字取证和事件响应团队的专业知识。这有助于更快地验证和处理威胁,并将事件造成的影响降到最低。
为了降低遭到针对性攻击的机率,为您的员工提供基础的网络安全知识培训。社会工程仍然非常流行,甚至被用在高严重性的事件中。