В 2025 году свыше половины инцидентов высокой критичности в организациях оставались незамеченными более 90 дней

изображение: grok
Регулярные превентивные оценки компрометации снижают такие риски
Многие организации пропускают инциденты в сфере кибербезопасности из-за реактивного подхода, недостаточного мониторинга и операционных недостатков. Такие выводы сделала «Лаборатория Касперского» по итогам работы сервиса для выявления признаков компрометации в сетях организаций Kaspersky Compromise Assessment в 2025 году.
Эксперты компании проанализировали инциденты, которые оставались незамеченными на протяжении долгого времени. В 31% из них вредоносная деятельность в организациях продолжалась более трёх месяцев. Свыше половины (52%) инцидентов высокой степени критичности были обнаружены только через 90 дней. Также был зафиксирован инцидент, который оставался незамеченным в течение целых четырёх лет.
Инструментов мониторинга и контроля недостаточно. Каждый пятый инцидент был обнаружен вручную. 60% было пропущено предприятиями из-за отсутствия надёжных оповещений от существующих средств защиты. Это свидетельствует о крайней зависимости от автоматизированных инструментов, которые не всегда настроены или контролируются должным образом. Инструменты мониторинга необходимо регулярно адаптировать, при этом человеческий фактор по-прежнему играет ключевую роль: аналитики должны активно проверять оповещения с низким уровнем достоверности, которые зачастую остаются без внимания.
Вредоносные файлы сохраняются в резервных копиях. Для многих организаций системы резервного копирования остаются слепым пятном. 40% всех обнаруженных веб-шеллов незаметно находились в резервных копиях. Это может приводить к повторной компрометации спустя длительное время после первоначального заражения. Необходимо тщательно проверять целостность и содержание резервных копий.
Проблемы в коммуникациях могут привести к упущенным инцидентам. В 32% случаев на процесс реагирования существенно влияли коммуникационные проблемы внутри организаций, например, неоднозначное подтверждение действий или утрата знаний в связи с текучкой кадров. Это подчёркивает необходимость проводить регулярные тренинги для отработки не только технической части сценариев реагирования, но и взаимодействия между участниками процесса, а также для проверки соблюдения соглашений об уровне операционной поддержки (OLA), регламентирующих взаимодействие между командами, и стандартных операционных процедур (SOP), используемых для корректного документирования на операционном уровне.
Практики реагирования на киберинциденты должны регулярно обновляться. Чтобы реагирование на инциденты было по-настоящему эффективным, сценарии необходимо регулярно пересматривать с учётом появления новых артефактов и данных об угрозах. Постоянно дорабатывая план реагирования на инциденты, организации снижают вероятность пропуска угроз.
«Компании сталкиваются не только с внешними рисками, но и со скрытыми угрозами внутри своей инфраструктуры, причём признаки компрометации не всегда очевидны. Проведение аудитов безопасности повышает вероятность выявления взлома. Внедрение регулярных проектов по поиску компрометации (Compromise Assessment), проводимых сторонними экспертами, может снизить риск появления неожиданных инцидентов высокой степени критичности и повысить общий уровень защищённости», — комментирует Виктор Сергеев, руководитель команды реагирования на инциденты «Лаборатории Касперского».
Полная версия отчёта находится на Securelist.ru.
«Лаборатория Касперского» рекомендует:
- провести комплексную проверку работоспособности механизма обнаружения, уделяя приоритетное внимание целостности телеметрических данных и актуальности правил;
- создать команду валидации оповещений первого уровня, которая будет регулярно проверять все события с низким уровнем достоверности по установленному графику;
- организовать тщательный круглосуточный мониторинг и усилить его активным поиском угроз, ориентированным на базовые профили активности, оповещения с низкой точностью и новые техники злоумышленников;
- пересмотреть процессы управления уязвимостями и обеспечить регулярное внедрение исправлений и полноценное ведение логов аудита на всех критически важных активах;
- обновить программы повышения осведомлённости в области информационной безопасности, уделив особое внимание вопросам утечки учётных данных с личных устройств и практике безопасного использования персональных устройств для работы (BYOD);
- регулярно проводить тренинги для отработки сценариев реагирования, повышения квалификации команд и улучшения коммуникаций;
- разработать соглашения об уровне операционной поддержки (OLA), регламентирующие взаимодействие между командами, а также стандартные операционные процедуры (SOP) для корректного документирования.



