Кибератаки могут оставаться незамеченными по два года

15 июля 2019 г., понедельник

Техническая отсталость ИБ-систем и низкая квалификация сотрудников мешают компаниям бороться с возникающими угрозами.

Малый и средний бизнес (МСБ) плохо справляется с защитой своего периметра безопасности, позволяя злоумышленникам оставаться в инфраструктуре по два года и более, считают аналитики Infocyte. По их данным, только 28% таких организаций справились бы с присутствующей угрозой за менее чем три месяца, у остальных бы на это ушло намного больше времени.

Таковые результаты исследования, в котором приняли участие компании с численностью сотрудников от 100 до 5000 человек и годовой выручкой до $1 млрд. Аналитики собрали информацию с 339 тыс. аккаунтов и логов вредоносной активности.

Быстрее всего МСБ обнаруживает атаки вымогателей — на это у компаний уходит в среднем 43 дня. Остальные зловреды попадают под прицел ИБ-экспертов через 798 дней (2 года и 2 месяца). В случае веб-трекеров, рекламных приложений и прочих программ с неявной угрозой средний период обнаружения и вовсе составил 869 дней (2 года и 4 месяца).

Корни этой ситуации эксперты видят в общей низкой защищенности МСБ. Чем сложнее зловред, чем лучше он скрывает свою активность, тем меньше у компании шансов заблокировать его. Поэтому быстро проявляющий себя шифровальщик удается обнаружить через полтора месяца, а если вредоносные функции ПО не предполагают явных действий, оно может оставаться в сети сколько угодно.

С другой стороны, специалистам таких компаний зачастую не под силу и зачистить инфраструктуру от обнаруженного зловреда — будь то из-за технической отсталости ИБ-систем или неграмотности самих сотрудников.

«Защитные решения и базы сигнатур не обновляют, тревожные оповещения игнорируют, а некоторые компании и вовсе работают без адекватного интернет-подключения, — поясняет Аарон Шеррилл, старший аналитик 451 Research. — Проверки ИБ проводятся для галочки, их результаты забываются. В то же время угрозы эволюционируют и специально создаются таким образом, чтобы оставаться вне радаров».

Исследователи рассказали о кибератаке, которая продолжалась на протяжении более чем 10 лет. С того времени, когда операторы ботнета вторглись в инфраструктуру, правоохранительные органы уже успели арестовать преступников. Вредоносное ПО продолжало функционировать само по себе, хотя отследить его можно было с помощью простейших защитных средств.

Специалисты рекомендуют компаниям развернуть системы ИБ-мониторинга, которые смогут в реальном времени отслеживать нежелательную активность. Если такое решение организации не по карману, следует хотя бы раз в год приглашать сторонних специалистов для проверки защищенности. Оценка существующих уязвимостей и тесты на проникновение также составляют обязательную часть ИБ-профилактики.

Ранее аналитики сообщили, что менее половины компаний считают устранение лазеек серьезной задачей. Основные проблемы, которые мешают бизнесу бороться с обнаруженными угрозами, — нехватка времени и отсутствие компетенций.

Threatpost