Les experts en cybersécurité de Kaspersky ont observé une amélioration notable dans les délais de réponse aux incidents de haute gravité, selon l’information Kaspersky MDR Analyst, où il est indiqué que 74 % des incidents se résolvent avec une seule alerte. Cependant, les incidents médiatiques graves ont connu une augmentation des délais de réponse en raison de leur plus grande fréquence.
De plus, 24 % des incidents ont nécessité une intervention humaine, atténuant la complexité croissante des menaces.
« Les incidents de grande gravité ayant des conséquences humaines directes doivent être traités avec rapidité et décision pour contenir les dommages et éviter les pertes financières et la réputation de l’entreprise. C’est pourquoi nous essayons toujours de réduire le temps de réponse à ce type d’incidents critiques. «Avec la protection multi-niveaux offerte par notre MDR, nous pouvons continuer à lutter efficacement contre les cybercriminels dans ce panorama d’attaques en constante évolution», a affirmé Sergey Soldatov, directeur du Centre d’opérations de sécurité Kaspersky.
Réponse aux incidents de haute gravité
Chaque année, Kaspersky publie une information basée sur l’analyse des incidents MDR identifiés par son équipe SOC. Cette information classe les incidents en trois catégories de gravité : haute, moyenne et basse. Les incidents de haute gravité incluent des attaques humaines ou des attaques de logiciels malveillants ayant un impact significatif sur les systèmes clients. Les incidents graves, bien qu’ils n’impliquent pas une intervention humaine directe, peuvent affecter l’infrastructure du client sans conséquences graves. Les basses terres n’affectent pas directement les systèmes du client mais nécessitent des mesures préventives.
24 % des incidents ont nécessité une intervention humaine pour leur résolution, réduisant la complexité croissante de la menace
En 2023, l’équipe SOC de Kaspersky a signalé des incidents d’une gravité élevée dans un délai de 36,37 minutes, soit 17 % plus rapide que les années précédentes. Les incidents de médias graves, généralement causés par des logiciels malveillants, ont connu une augmentation dans le temps de réponse de 30 à 33 minutes en raison de leur augmentation de fréquence. Les incidents de moindre gravité, souvent liés à des logiciels potentiellement non souhaités, ont mis un temps d’attente de plus de 48 minutes avant d’être analysés.
En ce qui concerne l’efficacité de la réponse, 74 % des incidents ont été résolus avec une seule alerte, ce qui reflète la clarté des scénarios de réponse et l’efficacité dans la finalisation des attaques. Environ 24 % des incidents ont nécessité entre 2 et 10 alertes pour leur résolution, indiquant les cas où l’intervention automatique n’était pas suffisante et nécessitant la participation d’un spécialiste humain. Les exemples de ces incidents incluent des attaques en cours telles que des tentatives d’exploitation après une compromission du réseau ou des campagnes de phishing, qui nécessitent souvent un manuel d’enquête.
Seuls 2 % des incidents ont généré plus de 10 alertes, généralement à cause d’attaques complexes qui nécessiteraient une enquête exhaustive ou des situations dans lesquelles le client optait pour une surveillance continue, comme dans le domaine de la cybercriminalité.
Recommandations Kaspersky
En réponse aux conclusions de l’analyse MDR, Kaspersky recommande aux organisations :
- Réaliser un inventaire périodique de la perte des groupes privilégiés, pour disposer d’une procédure formelle de gestion des privilèges et des accès
- Appliquer des pratiques de chasse aux agressions en combinaison avec la supervision classique basée sur les alertes
- Créer une série de cybersécurité pour tester l’efficacité des mécanismes de sécurité utilisés dans votre entreprise
- Adopter une couverture de sécurité polyvalente pour se protéger des incidents. Cela inclut une protection solide des terminaux, la sécurité du réseau et l’intelligence des menaces travaillant avec des experts en cybersécurité
- Si une entreprise se consacre à la cybersécurité, elle peut utiliser des services de sécurité gérés tels que Kaspersky Managed Detection and Response (MDR), Kaspersky Compromise Assessment et Kaspersky Incident Response pour acquérir une expérience supplémentaire et parcourir tout le cycle de gestion des incidents, de l’identification des menaces à la protection et à la correction continues.