Исследование, проведенное по заказу DomainTools, показало, что, хотя большинство крупных компаний за год хотя бы раз подвергались взлому, 23% из них не имеют понятия, как хакеры смогли проникнуть сквозь периметр.

«Такой результат — весьма холодный душ для организаций: если вы не можете найти точку входа, то вы также не сможете защитить свою инфраструктуру от будущих атак», — признался директор по управлению продуктом в DomainTools Тим Хельминг (Tim Helming).

Из тех, кто смог найти слабое место в своей информационной безопасности, 67% определили точкой входа email, 63% полагают, что зловред оказался в сети в результате безответственного веб-серфинга, 12% видят корень зла в соцсетях и мобильных приложениях, а 4% винят во всем мессенджеры.

По словам Хельминга, компании могут проанализировать обнаруженный зловред и таким образом выйти на виновников: в коде могут быть прописаны доменные имена и другие данные, необходимые для поиска злоумышленников. Но большинство компаний не смогут воспользоваться этой возможностью, так как не имеют доступа к аналитике угроз, поэтому статистика настолько печальна. Но в ходе опросов большинство компаний объяснили свою неспособность определить прорыв периметра «несерьезностью» обнаруженных угроз — об этом говорится в отчете Osterman Research. 36% опрошенных пожаловались на дороговизну необходимых решений.

Но глава DomainTools Тим Чен (Tim Chen) с этим не согласен: по его словам, ассортимент подобных решений очень велик — есть инструменты, доступные компании любого масштаба, от открытых веб-платформ до отдельных решений и компонентов, встраиваемых в системы SIEM, а те, кто жалуется на их дороговизну, обычно имеют в виду как раз последние, самые «навороченные» и дорогие из всех. Но даже недорогие инструменты могут помочь разобраться в причинах взлома: например, Хельминг утверждает, что «опознание» зловреда иногда может привести экспертов к исполнителям киберпреступления. Стоит начать с малого — например, с доменного имени, прописанного в коде. Поиск домена поможет определить, был ли сайт взломан или умышленно создан для преступной деятельности. Такой исполняемый практически «на коленке» анализ может занять недели, но время и усилия стоят того, чтобы закрыть дыру, через которую в компанию могут проникнуть новые хакеры. Тем не менее обычно компании, подвергшиеся взлому, не считают, что это стоит трудозатрат, особенно если угроза некритична.

На самом деле беспечность может привести к большим проблемам. «Мы уже сталкивались со случаями, когда крупная утечка происходила после того, как путь ей проложила менее серьезная угроза», — предупреждает Чен.

Эксперты сошлись во мнении, что компаниям не следует недооценивать возможности даже самых простых платформ аналитики угроз, как и серьезность любых, даже незначительных на первый взгляд, атак. С ними согласны и респонденты опроса: 82% опрошенных воспользовались бы такими системами, если бы у них была возможность.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры