Kaspersky realizza annualmente un report basato sui risultati dell’analisi degli incidenti MDR identificati dal team SOC di Kaspersky. In questo report, gli esperti evidenziano gli incidenti che richiedono un intervento da parte dei clienti, suddividendoli in tre diversi livelli: alta, media e bassa severità. Per incidenti ad alta severità si intendono attacchi causati dall’uomo o da minacce malware che hanno un impatto significativo sui sistemi IT del cliente. Gli incidenti di livello intermedio sono caratterizzati dall’assenza di prove di un coinvolgimento diretto dell’uomo, ma possono colpire l’infrastruttura del cliente senza gravi conseguenze, mentre gli incidenti a bassa severità non colpiscono i sistemi informatici del cliente, ma richiedono l’adozione di una serie di misure precauzionali.
Nuovo report “Kaspersky MDR Analyst
Secondo il nuovo report “Kaspersky MDR Analyst”, nel 2023 il team SOC di Kaspersky ha impiegato in media 36,37 minuti per segnalare gli incidenti ad alta severità, il che significa una riduzione del 17% rispetto agli anni precedenti. Gli incidenti di livello intermedio, che spesso sono dovuti a malware e sono i più frequenti, hanno visto un aumento dei tempi di risposta da 30 a quasi 33 minuti, che si spiega con l’aumento generale di questo tipo di eventi.
Infine, le occorrenze con la minore severità, solitamente riconducibili a software potenzialmente indesiderati, sono state tenute più a lungo in attesa prima di essere analizzate dal team SOC, con un tempo di risposta di poco superiore ai 48 minuti.
Per quanto riguarda l’efficacia della reazione
- Circa il 74% degli incidenti è stato risolto dopo un solo alert, indicando scenari di risposta chiari e l’effettiva risoluzione degli attacchi.
- Circa il 24% degli incidenti ha richiesto da 2 a 10 avvisi, indicando i casi in cui la risoluzione automatica non era sufficiente e richiedeva il coinvolgimento di un esperto. Ne sono un esempio gli attacchi in corso, come i tentativi di exploit a seguito di una compromissione della rete o le campagne di phishing, che spesso richiedono un’indagine manuale dopo molteplici avvisi.
- Una piccola percentuale (2%) di incidenti ha richiesto più di 10 alert. Tra i motivi vi sono minacce complesse che necessitano di un’indagine approfondita prima di intervenire o situazioni in cui il cliente ha optato per il solo monitoraggio, come nel caso di esercitazioni informatiche.
“Gli incidenti ad alta severità che coinvolgono direttamente le persone devono essere affrontati con rapidità e decisione per limitare i danni e prevenire le perdite finanziarie e di reputazione dell’azienda. Per questo motivo puntiamo sempre a ridurre i tempi di risposta. Con la protezione multilivello offerta dal nostro MDR, possiamo continuare a combattere efficacemente i criminali informatici in questo panorama di minacce in continuo cambiamento”, ha dichiarato Sergey Soldatov, Head of Security Operations Center di Kaspersky.
Kaspersky consiglia misure di sicurezza alle aziende
In base ai risultati dell’analisi MDR, Kaspersky consiglia alle aziende di adottare le seguenti misure:
- Effettuare un monitoraggio regolare dell’appartenenza a gruppi privati per disporre di una procedura formale per la gestione di diritti e accessi.
- Implementare pratiche di threat hunting in combinazione con il classico monitoraggio guidato dagli alert.
- Condurre una serie di esercitazioni informatiche per testare l’efficienza dei meccanismi di sicurezza utilizzati in azienda.
- Adottare un approccio alla sicurezza a più livelli per difendersi dagli incidenti. Questo include una solida protezione degli endpoint, la sicurezza della rete e la threat intelligence in collaborazione con gli esperti di cybersecurity.
- Se l’azienda non dispone di personale dedicato alla sicurezza IT, utilizzare servizi di sicurezza gestiti come Kaspersky Managed Detection and Response (MDR), Kaspersky Compromise Assessment e Kaspersky Incident Response per ottenere competenze aggiuntive e coprire l’intero ciclo di gestione degli incidenti, dall’identificazione delle minacce alla protezione continua fino al ripristino.