U prvoj polovini 2019. godine samo nekolicina (1,26%) upozorenja indikatora napada (Indicators of Attack – IoA) na krajnjim tačkama uređaja su identifikovana kao sajberbezbednosni incidenti, navodi se u izveštaju Managed Detection and Response Analytics kompanije Kaspersky. Od 40.806 upozorenja koja su generisana preko indikatora napada, samo 515 je rezultovalo detektovanim incidentima. Ipak, većina ovih incidenata je bila povezana sa sofisticiranim ciljanim napadima koji koriste tzv. tehniku “living off the land” postavljenu od strane aktera pretnje kako bi sakrili maliciozne aktivnosti unutar legitimnog korisničkog i administratorskog ponašanja.
Za razliku od metoda detekcije zasnovanih na indikatorima kompromitovanja (Indicators of Compromise – IoC), indikatori napada dozvoljavaju identifikaciju napada zasnovanu ne na poznatim malicioznim fajlovima ili drugim artefaktima, već na takozvanim taktikama, tehnikama i procedurama aktera pretnje. Ovde je reč o načinima na koje određeni akteri pretnje teže da napadnu svoje žrtve. Kako napadi koriste tehniku “living off the land” koja postaje sve popularnija, metode detekcije zasnovane na indikatorima napada su se pokazale kao najefektivnije.
Ovo je potvrđeno drugim nalazima izveštaja, koji je zasnovan na višestrukim nivoima analize rezultata dobijenih putem rešenja Kaspersky Managed Protection Service, obezbeđenih od strane brojnih organizacija iz raznih sektora, uključujući finansijske, vladine, industrijske i transportne kao i IT i telekomunikacije.
I dok su sajberbezbednosni incidenti identifikovani u gotovo svim taktikama „sajber-kill lanca”, najveći broj napada je otkriven u fazama koje se smatraju „najbučnijim” (gde je verovatnoća lažnih uzbuna relativno veća): izvršavanje (37%), izbegavanje odbrane (31%), bočno kretanje (16%) i udar (16%). U borbi sa ovim taktikama, istraživanje je pokazalo da su proizvodi sa zaštitom krajnjih tačaka (endpoint protection products – EPP) efektivan odgovor na pretnje za 97% identifikovanih incidenata – sa 47% klasifikovanih kao srednje opasne, uključujući trojance i kriptore, i 50% kao slabo opasne – uključujući neželjene programe poput advera i riskvera.
Međutim, kada je reč o naprednim i nepoznatim pretnjama, ili onim klasifikovanim kao visoke pretnje (3%), tradicionalna EPP rešenja sama su manje efektivna, Ove vrste pretnji – uključujući ciljane napade ili kompleksne mlavere, često pokrenute taktikom “living off the land” – zahtevaju dodatne nivoe detekcije bazirane na TPP-u, manualni lov na pretnje i analizu.
„Jedan od ključnih nalaza našeg izveštaja Managed Detection and Response Analysis na kojem smo radili proteklih 6 meseci je da, ako ne vidite veliki broj lažnih uzbuna na vašoj mreži, to verovatno znači da vam promiče mnogo važnih bezbednosnih incidenata. Stoga, trebalo bi da pređete na širi raspon korišćenja metoda indikatora napada, između ostalog. Sa tehnikama poput “living off the land” i drugim prikrivenim napadačkim tehnikama koje ne uključuju malver, potpuno je neefektivno oslanjati se na klasične metode detekcije zasnovane na indikatorima kompromisa (IoC). Dok je mnogo teže istražiti uzbune indikatora napada zbog potrebe da se sprovede mnogo istraživanja kako bi se stvorio efikasni indikator napada, a onda i mnogo manuelne analize (kada su indikatori napada uključeni), naše statistike pokazuju da su oni najskloniji lažnim uzbunama, najefektivniji i omogučavaju vam da zaista pronađete kritilčne incidente”, izjavio je Sergej Soldatov (Sergey Soldatov) direktor centra za bezbednosne operacije u kompaniji Kaspersky.
Za više informacija o izveštaju Managed Detection and Response Analytics i tome kako rešenje Kaspersky Managed Protection može da pomogne vašem preduzeću, posetite Securelist.com