Experții Kaspersky au analizat statisticile anonimizate din cererile trimise către Kaspersky Threat Intelligence Portal, un serviciu web ce funcționează permanent, cu acces la mai mulți petabytes de date de informații globale de securitate și care este actualizat aproape în timp real. Analiza a arătat că, atunci când cercetătorii de securitate au solicitat detalii suplimentare despre un element suspect, 72% dintre cazuri s-au dovedit periculoase și puteau pune securitatea companiei în pericol dacă nu erau investigate.
În medie, 44% dintre alertele de securitate cu care se confruntă organizațiile nu sunt cercetate. Motivul poate fi volumul uriaș de semnale de avertizare primite, la care echipele de securitate se străduiesc să facă față. Așadar, analiștii trebuie să aleagă cu atenție ce alerte trebuie să investigheze și care nu merită atenția lor. În acest context, este util să aibă un cadru care să îi ajute să ia decizia corectă.
Statisticile anonimizate și agregate din Kaspersky Threat Intelligence Portal au arătat că, în cele mai multe cazuri, apelul inițial de a verifica alerta este întemeiat: în majoritatea (7 din 10) solicitărilor analizate, transmise prin intermediul serviciului, se dovedește a fi vorba de elemente periculoase. Ponderea acestor obiecte este deosebit de mare pentru articolele web: domenii – 86%, IP-uri – 75%, adrese URL – 73%. Cifra scade ușor pentru fișiere – 61% dintre hash-uri au fost clasificate drept periculoase. Acest lucru înseamnă că este mai greu pentru cercetători să distingă fișierele legitime de cele rău intenționate fără a consulta informații corespunzătoare despre amenințări.
În general, cercetătorii sunt interesați să afle despre resursele cu care comunică dispozitivele utilizatorilor din rețeaua lor – 41% dintre cererile totale se încadrează în această categorie. Având informații despre reputația IP-urilor și site-urile și fișierele asociate, echipele de securitate pot lua decizia dacă ar trebui sau nu să refuze accesul la resursa respectivă sau să blocheze orice comunicare cu aceasta. În plus, aproape o treime (31%) dintre solicitări au vizat o categorie de hash-uri de fișiere – ceea ce înseamnă că analiștii caută informații suplimentare despre fișier (de exemplu, distribuția geografică, popularitatea și conexiunile cu alte obiecte) în investigațiile lor.
„După cum arată statisticile noastre, analiștii de securitate din organizații rareori se înșală atunci când suspectează că o alertă prezintă un risc de securitate și ar putea avea nevoie de investigații suplimentare. Cu toate acestea, nu este vorba doar de verificarea ipotezelor. Pentru a putea accelera reacția la incident și capacitatea de investigare, analiștii trebuie să poată privi rapid în ansamblu amenințarea respectivă. Accesul la informații despre amenințări oferă exact acest lucru, economisind timp și efort pentru echipele de securitate, care sunt, de obicei, subdimensionate”, explică Anatoly Simonenko, Group Manager, Technology Solutions Product Management la Kaspersky.
Kaspersky Threat Intelligence Portal este un serviciu web care le pune clienților la dispoziție cunoștințe despre amenințările cibernetice, adunate de Kaspersky. Compania oferă acces gratuit la informații de bază despre fișiere suspecte, hash-uri, IP-uri și altele, la adresa: https://opentip.kaspersky.com/.
