Анализ активных киберугроз 2023: Отчет по безопасности от Sophos

Статья из Sophos News под названием “Песня остается той же: Отчет об активных противниках 2023 года для практиков безопасности” представляет анализ, основанный на данных команды по реагированию на инциденты Sophos, охватывающий шесть кварталов до июня 2023 года. Это третий и последний отчет об активных противниках за год, сосредоточенный на выводах, особенно актуальных для практиков безопасности.

Основные моменты статьи:

1. Фокус на информацию, актуальную для практиков: В отличие от предыдущих отчетов, ориентированных на бизнес- и технических лидеров, этот отчет углубляется в детали и практическую разведку, критически важную для специалистов по безопасности. Он подчеркивает роли искателей угроз и реагирующих на инциденты в предвидении и управлении киберугрозами.
2. Срочность и скорость атак: В отчете обсуждается, как срочность атакующих не всегда переводится в чрезвычайную ситуацию для защитников. Отмечается, что хотя скорость атак может меняться, направления и процессы атак часто остаются постоянными. Подчеркивается важность хорошей системной гигиены, особенно в сценариях быстрых атак.
3. Анализ данных и тенденции: Отчет основан на данных из 232 случаев с 1 января 2022 года по 30 июня 2023 года. В нем наблюдается значительное сокращение времени пребывания атак, особенно в случае программ-вымогателей, и исследуются последствия этой тенденции. В отчете также сравниваются быстрые (≤5 дней) и медленные (>5 дней) атаки с точки зрения типов, используемых инструментов и техник.
4. Роль искателей угроз и реагирующих на инциденты: В статье подчеркивается проактивная роль искателей угроз в раннем выявлении угроз и реактивная роль реагирующих на инциденты в смягчении активных угроз. Обсуждается важность полной телеметрии и обмена разведданными в сообществе кибербезопасности.
5. Типы атак и первопричины: В отчете отмечается, что быстрые и медленные атаки не значительно различаются по типу. Также исследуются первопричины атак, отмечая, что скомпрометированные учетные данные являются общей причиной, особенно в быстрых атаках.
6. Инструменты, техники и LOLBins: Анализируется использование инструментов и техник атакующими, показывая, что между быстрыми и медленными атаками мало различий. В отчете подчеркивается постоянное использование определенных инструментов и техник, независимо от продолжительности атаки.
7. Логирование и телеметрия: Подчеркивается важность правильного логирования и телеметрии, поскольку почти у четверти исследованных организаций отсутствовало соответствующее логирование, что усложняло усилия по реагированию и защите.
8. Выводы для практиков: Отчет заключает, что, хотя инструменты и техники в быстрых атаках зеркально отражают те, что используются в более длительных атаках, ключ к защите лежит в бдительном мониторинге и быстром реагировании на возникающие угрозы.

Вопросы и размышления:

1. Адаптация к быстро развивающимся атакам: Как организации могут адаптировать свои стратегии кибербезопасности для эффективного противодействия тенденции сокращения времени пребывания в кибератаках, особенно программ-вымогателей?
2. Роль разведки угроз: Как можно улучшить обмен и использование разведданных об угрозах среди специалистов по безопасности для лучшего предвидения и реагирования на киберугрозы?
3. Проблемы в логировании и телеметрии: Какие шаги могут предпринять организации для улучшения своих возможностей логирования и телеметрии, чтобы быть лучше подготовленными к анализу и реагированию на инциденты безопасности?

Author: admin