Половина критических кибератак в компаниях выявляется только через три месяца после взлома

Share to Telegram Share to VK
clock 1 час назад
Половина критических кибератак в компаниях выявляется только через три месяца после взлома © Сгенерировано ИИ

Многие организации несвоевременно обнаруживают следы компрометации в своих сетях из-за пассивного подхода к защите, недостатков систем мониторинга и внутренних операционных сбоев. К таким выводам пришли специалисты «Лаборатории Касперского» по итогам работы сервиса Kaspersky Compromise Assessment в 2025 году.

Сроки пребывания злоумышленников в сети

Согласно собранной статистике, в 31% изученных случаев вредоносная деятельность в ИТ-контурах предприятий продолжалась более трех месяцев. При этом 52% инцидентов с высоким уровнем критичности были выявлены только спустя 90 дней с момента проникновения хакеров. В практике экспертов зафиксирован и экстремальный пример, когда присутствие атакующих оставалось скрытым на протяжении четырех лет.

Проблемы автоматического мониторинга

Существующие защитные инструменты часто не обеспечивают должного уровня контроля. Около 60% угроз были пропущены из-за отсутствия корректных оповещений от используемых средств безопасности, что указывает на избыточное доверие к автоматике без ее правильной настройки и адаптации.

В результате каждый пятый инцидент специалистам приходилось выявлять вручную. Эксперты подчеркивают важность человеческого фактора: аналитикам ИБ необходимо регулярно разбирать даже низкодостоверные алерты, которые обычно игнорируются и остаются без внимания.

Вредоносный софт в резервных копиях

Системы резервного копирования остаются зоной повышенного риска для корпоративной безопасности. Исследование показало, что 40% обнаруженных веб-шеллов незаметно находились внутри бэкапов. Такое скрытое присутствие вредоносного кода приводит к повторному заражению ИТ-ландшафта спустя длительное время после успешной ликвидации последствий первичной атаки, что требует обязательной проверки целостности архивных данных.

Ошибки внутренних коммуникаций

Сбои при обмене информацией внутри компаний негативно влияют на скорость и качество реагирования в 32% случаев. Основными причинами становятся размытые подтверждения действий между командами и потеря внутренней экспертизы из-за текучести кадров.

Для исправления ситуации бизнесу необходимо внедрять жесткие регламенты взаимодействия (OLA), использовать стандартные операционные процедуры (SOP) для документирования процессов, а также проводить регулярные командные тренинги. Сам план ликвидации угроз должен постоянно обновляться на основе актуальных данных о методах киберпреступников.

Экспертная оценка

«Организации сталкиваются не только с внешним давлением, но и со скрытыми внутренними рисками, признаки которых далеко не всегда очевидны, — отметил Виктор Сергеев, руководитель команды реагирования на инциденты „Лаборатории Касперского“. — Регулярный независимый поиск следов компрометации (Compromise Assessment) силами внешних экспертов позволяет своевременно обнаружить взлом, минимизировать риски внезапных тяжелых последствий и повысить общую защищенность бизнеса».

Для повышения устойчивости инфраструктуры «Лаборатория Касперского» рекомендует принять комплекс превентивных мер:

- Проверить качество сбора телеметрии и актуальность действующих правил обнаружения угроз.

- Выделить отдельную группу сотрудников для первичной валидации и разбора всех подозрительных событий с низкой точностью.

- Перейти на круглосуточный проактивный поиск угроз (Threat Hunting) с упором на базовые профили активности и новые хакерские техники.

- Навести порядок в управлении уязвимостями, обеспечить своевременное обновление ПО и ведение логов аудита на важных активах.

- Пересмотреть программы обучения сотрудников, уделив особое внимание рискам использования личных устройств в рабочих целях (BYOD) и утечкам учетных данных.

- Формализовать регламенты OLA и документировать процедуры SOP для исключения коммуникационных провалов между ИТ- и ИБ-командами.

Читайте также: Скрытые ИТ-риски, о которых СЕО узнает слишком поздно


Был ли вам полезен данный материал?


Журнал RUБЕЖ собрал в новом номере мнения участников рынка о ключевых изменениях в сфере пожарной безопасности: как работать проектировщикам после обновления Сводов правил 3, 6, 484, 485, нормативные новации, анализ госзакупок и применение нацрежима.

Подписывайся на наши каналы в Telegram:

Подпишись на еженедельный дайджест самых интересных новостей по e-mail    
Yandex.Дзен

Подписывайтесь на канал ru-bezh.ru
в Яндекс.Дзен

RUБЕЖ в telegram+ RUБЕЖ-RSS RUБЕЖ в vk RUБЕЖ на youtube RUБЕЖ на dzen RUБЕЖ на max

Контакты

Адрес: 119270, г. Москва, Фрунзенская набережная, д. 50, пом. IIIа, комн.1

Тел./ф.: +7 (495) 539-30-20

Время работы: 9:00-18:00, понедельник - пятница

E-mail: info@ru-bezh.ru


Для рекламодателей

E-mail: reklama@ru-bezh.ru

тел.: +7 (495) 539-30-20 (доб. 103)

Первый отраслевой маркетплейс систем безопасности SecumarketПартнёр первого маркетплейса систем безопасности secumarket.ru
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение.