In fiecare an, Kaspersky pregateste un raport bazat pe rezultatele analizei incidentelor MDR identificate de echipa Kaspersky SOC. In acest raport, expertii evidentiaza incidentele care necesita actiune din partea clientilor, impartindu-le in tipuri de severitate - mare, medie si scazuta. Incidentele de mare severitate sunt atacurile initiate de persoane sau amenintarile malware care au un impact semnificativ asupra sistemelor IT ale clientului. Incidentele de gravitate medie nu au dovezi ale implicarii umane directe in atac, dar pot afecta infrastructura clientului fara consecinte grave, in timp ce incidentele de gravitate scazuta nu afecteaza sistemele IT ale clientului, dar necesita luarea unui numar de masuri de precautie.
 
Potrivit raportului recent Kaspersky MDR Analyst, in 2023 echipa Kaspersky SOC a avut nevoie in medie de 36,37 minute pentru a raporta incidentele de mare gravitate – cu 17% mai rapid decat in anii precedenti. Incidentele de gravitate medie, care se datoreaza adesea programelor malware si sunt cele mai frecvente, au inregistrat o crestere a timpului de raspuns de la 30 la aproape 33 de minute, fapt care se explica prin cresterea numarului acestui tip de incidente.
 
In cele din urma, incidentelor cu cea mai mica gravitate, in mod normal consecintele unui software potential nedorit, le-a fost alocat mai mult timp de asteptare inainte de a fi analizate de echipa SOC, rezultand un timp de asteptare de putin peste 48 de minute.
 
In ceea ce priveste eficienta raspunsului, aproximativ 74% dintre incidente au fost rezolvate dupa o singura alerta, fapt care reflecta existenta unor scenarii clare de raspuns si incetarea efectiva a atacurilor, dupa interventie.

Aproximativ 24% dintre incidente au fost semnalate de 2-10 alerte, indicand faptul ca exista cazuri in care rezolvarea automata nu a fost suficienta si a fost nevoie de implicarea unui specialist. Exemplele includ atacuri in desfasurare, cum ar fi incercarile de exploatare in urma compromiterii retelei sau campanii de phishing, care necesita adesea investigatii manuale dupa mai multe alerte.
 
Un mic procent (2%) dintre incidente a implicat mai mult de 10 alerte. Motivele includ amenintari complexe care necesita o investigatie amanuntita inainte de interventie sau situatii in care clientul a optat doar pentru monitorizare, cum ar fi exercitiile cibernetice.
 
Ca raspuns la constatarile analizei MDR, Kaspersky recomanda organizatiilor urmatoarele: 

1. Efectuati un inventar regulat al componentei grupurilor privilegiate, pentru a avea o procedura oficiala de gestionare a privilegiilor si accesului. 

2. Implementati practici de identificare activa a amenintarilor, in combinatie cu monitorizarea clasica, bazata pe alerte. 

3. Efectuati o serie de exercitii cibernetice pentru a testa eficienta mecanismelor de securitate utilizate in compania dumneavoastra. 

4. Adoptati o abordare de securitate pe mai multe straturi pentru a va proteja impotriva incidentelor. Aceasta abordare include protectie complexa la nivel endpoint, securitatea retelei si threat intelligence analizat de experti in securitate cibernetica.  
 
5. In cazul in care o companie nu are personal dedicat de securitate cibernetica, utilizati servicii de securitate gestionate, cum ar fi Kaspersky Managed Detection and Response (MDR), Kaspersky Compromise Assessment si Kaspersky Incident Response, pentru a obtine experienta suplimentara si pentru a acoperi intregul ciclu de gestionare a incidentelor, de la identificarea amenintarilor la protectia continua si remediere.