Une recherche fondée sur l’étude des incidents signalés aux clients de la solution Kaspersky Managed Detection and Response (MDR) a révélé que les analystes SOC ont détecté quotidiennement en 2022 plus de trois incidents de haute gravité avec une implication humaine directe.
L'efficacité reconnue des spécialistes cyber externes et les exigences grandissantes en matière de connaissances spécifiques ont été les principales raisons pour lesquelles les entreprises ont décidé de faire appel à des experts externes en 2022. Pour pallier les lacunes des professionnels de la sécurité informatique et leur fournir des informations sur le paysage actuel des menaces, Kaspersky a analysé les incidents clients anonymes détectés par son service MDR.
Le rapport annuel Managed Detection and Response Analyst Report de Kaspersky montre que les incidents de haute gravité ont requis en moyenne 43,8 minutes pour être détectés par Kaspersky MDR . Ces incidents ayant de plus en plus fréquemment une origine humaine, ils mettent aussi plus longtemps à être détectés, à raison de 6 % de temps en plus par rapport à l'année précédente. En effet, les cyber-incidents causés par l’humain nécessitent plus de travail de la part des analystes SOC.
Concernant la nature de ces incidents, 30 % d'entre eux sont associés à des APT , 26 % à des malwares et un peu plus de 19 % résultent de « hacking éthique » (pentests, red teaming ou tout autre type d'exercice cyber mené dans les infrastructures des clients, soit pour évaluer la sécurité des systèmes informatiques, soit pour tester l'état de préparation opérationnelle du service MDR). La proportion d'incidents impliquant des vulnérabilités critiques accessibles au public et la détection de traces d'attaques antérieures impliquant une action humaine était d'environ 9 %. Les autres incidents résultent de techniques d'ingénierie sociale menées à bien, ou sont liés à des menaces internes.
« Le rapport MDR montre que les attaques sophistiquées conduites par des personnes continuent de se développer. Elles nécessitent plus de ressources pour être étudiées et prennent plus de temps aux analystes SOC, car elles se prêtent moins bien à l'automatisation. Pour détecter efficacement ces attaques, nous recommandons aux entreprises de mettre en œuvre des mesures exhaustives de chasse aux menaces combinées à une surveillance des alertes plus classique », commente Sergey Soldatov, Head of Security Operations Center, Kaspersky.
Pour une meilleure protection contre les attaques avancées, les experts de Kaspersky recommandent ce qui suit :
● Déployez une solution qui combine des capacités de détection et de réponse et qui aide à identifier les menaces sans impliquer de ressources internes supplémentaires.
● Donnez à votre équipe SOC l'accès aux dernières informations sur les menaces et garantissez une visibilité approfondie sur les cybermenaces ciblant votre organisation.
● Donnez à votre personnel les connaissances essentielles en matière de cybersécurité afin de réduire la probabilité d'attaques ciblées.
● Mettez en œuvre une formation d'expert en réponse aux incidents afin d'améliorer l'expertise de votre équipe interne d’analyse et de réponse aux incidents.