De acordo com o relatório da Kaspersky sobre os resultados da análise de incidentes MDR, identificados pela equipa do SOC da Kaspersky, os especialistas destacam os incidentes que requerem acção por parte dos clientes, dividindo-os em tipos de alta, média e baixa gravidade. Uma das conclusões deste relatório é que a equipa do SOC da Kaspersky demorou menos 17% do tempo habitual de resposta a um incidente de alta gravidade.
Todos os anos, a Kaspersky elabora um relatório sobre os incidentes que a sua equipa do SOC se depara. Este relatório divide os incidentes em três categorias – gravidade alta, média e baixa:
- Incidentes de alta gravidade: ataques de origem humana ou ameaças de malware que têm um impacto significativo nos sistemas de TI do cliente.
- Incidentes de média gravidade: não têm provas de envolvimento humano direto no ataque, mas podem afetar a infraestrutura do cliente sem consequências graves.
- Incidentes de baixa gravidade não afetam os sistemas informáticos do cliente, mas exigem a adoção de uma série de medidas de precaução.
O relatório conclui que, em 2023, a equipa do SOC da Kaspersky precisou de uma média de 36,37 minutos para comunicar incidentes de alta gravidade – 17% menos tempo que nos anos anteriores.
Enquanto os incidentes de gravida alta sofreram uma diminuição de tempo de resposta, os de média gravidade registaram um aumento nos tempos de resposta de 30 para quase 33 minutos. Estes incidentes dizem respeito a ataques de malware e são os mais comuns, pelo que o aumento de ataques de malware em geral provocou um aumento do tempo de resposta destes incidentes.
Por último, os incidentes de gravidade baixa, normalmente consequências de um software potencialmente indesejado, passaram mais tempo na fila de espera antes de serem analisadas pela equipa do SOC, resultando num tempo de espera superior a 48 minutos.
Quanto à eficiência da resposta, cerca de 74% dos incidentes foram resolvidos após apenas um alerta [1], indicando cenários de resposta claros e cessação efetiva dos ataques, enquanto 24% exigiram 2-10 alertas. Isto demonstra que houve casos em que a resolução automática não foi suficiente e exigiu o envolvimento de um especialista humano. Os exemplos incluem ataques em curso, como as tentativas de exploração na sequência de um comprometimento da rede ou campanhas de phishing, que muitas vezes exigem uma investigação manual após vários alertas.
Através dos resultados do relatório, podemos concluir que apenas 2% dos incidentes envolveram mais de 10 alertas. Por norma, estes incidentes envolvem ameaças complexas que exigem uma investigação exaustiva antes de serem tomadas medidas ou situações em que o cliente optou apenas pela monitorização, como em exercícios cibernéticos.
“Os incidentes de alta gravidade, com envolvimento humano direto, devem ser tratados de forma rápida e decisiva para conter os danos e evitar perdas financeiras e de reputação para a empresa. É por isso que o nosso objetivo é sempre reduzir o tempo de resposta a estes incidentes críticos. Com a proteção em vários níveis oferecida pelo nosso MDR, podemos continuar a combater eficazmente os cibercriminosos neste cenário de ameaças em constante mudança”, disse Sergey Soldatov, Responsável pelo Centro de Operações de Segurança (SOC) da Kaspersky.
Em resposta aos resultados deste relatório, a Kaspersky recomenda às organizações que tomem as seguintes medidas preventivas:
- Efetuar um inventário regular da participação de grupos privilegiados para garantir uma gestão de privilégios e acesso eficaz
- Implementar práticas de caça às ameaças em combinação com a monitorização clássica baseada em alertas.
- Realizar exercícios cibernéticos para testar a eficiência dos mecanismos de segurança utilizados na sua empresa.
- Adotar uma abordagem de segurança, em vários níveis, para se proteger contra incidentes. Isto inclui uma proteção robusta dos endpoints, segurança da rede e informações sobre ameaças em colaboração com peritos em cibersegurança.
- Optar por serviços de segurança geridos, como o Kaspersky Managed Detection and Response(MDR), Kaspersky Compromise Assessment e Kaspersky Incident Response, se a sua empresa não tiver pessoal dedicado à cibersegurança. Utilize estas soluções para obter conhecimentos especializados adicionais e cobrir todo o ciclo de gestão de incidentes, desde a identificação de ameaças até à proteção e correção contínuas.
Para obter mais informações sobre o relatório, aceda a este link.
[1] Um alerta é um evento na infraestrutura de TI da organização que é marcado como invulgar ou suspeito e que pode representar uma ameaça à segurança da infraestrutura de TI da organização.