Mnoge organizacije kasno otkrivaju sajber incidente zbog reaktivnog pristupa i slabog nadzora.
Više od polovine ozbiljnih kompromitacija primećeno je tek nakon 90 dana, a neki incidenti ostali su skriveni i po nekoliko godina.
Mnoge organizacije ne uspevaju da otkriju sajber incidente zbog reaktivnog pristupa bezbednosti, nedovoljnog nadzora i operativnih nedostataka. Poslednji izveštaji otkrivaju da je u 31% analiziranih slučajeva zlonamerna aktivnost u organizacijama trajala duže od tri meseca pre nego što je otkrivena.
Više od polovine (52%) kompromitacija visokog stepena ozbiljnosti identifikovano je tek nakon više od 90 dana neprimećenog delovanja napadača, dok je najstariji incident otkriven tokom protekle godine ostao neprimećen čak četiri godine.
Alati za nadzor nisu dovoljni sami po sebi
Alati za nadzor i bezbednosne kontrole nisu dovoljni bez odgovarajuće ljudske analize. Od svih otkrivenih incidenata, 20% identifikovano je ručno, dok je čak 60% organizacija propustilo da otkrije incidente zbog izostanka pouzdanih upozorenja visokog nivoa pouzdanosti (high-confidence alerts) iz postojećih bezbednosnih alata. Ovi podaci koje je saopštio Kasperski, ukazuju na preveliko oslanjanje na automatizovane sisteme koji nisu uvek pravilno konfigurisani niti adekvatno nadgledani.
Alate za bezbednosni nadzor potrebno je kontinuirano prilagođavati promenljivom okruženju sajber pretnji, pri čemu ljudski faktor ostaje od presudnog značaja. Bezbednosni analitičari trebalo bi redovno da proveravaju i upozorenja nižeg nivoa pouzdanosti (low-confidence alerts), koja često ostaju bez dalje istrage.
Zlonamerni fajlovi vraćeni iz rezervnih kopija
Za mnoge organizacije sistemi za pravljenje rezervnih kopija predstavljali su „slepu tačku“ bezbednosti. Čak 40% svih otkrivenih web shell skripti (zlonamernih skripti ili programa koji napadačima omogućavaju daljinski pristup kompromitovanom serveru) nalazilo se neotkriveno u rezervnim kopijama podataka. To znači da su mogli biti vraćeni u sistem nakon završetka početnih aktivnosti odgovora na incident. Zbog toga je neophodno detaljno proveravati ne samo integritet rezervnih kopija, već i njihov sadržaj.
Problemi u komunikaciji dovode do propuštenih incidenata
Gotovo trećina (32%) sprovedenih procena kompromitacije ukazala je na probleme u internoj komunikaciji, poput nejasne potvrde izvršenih aktivnosti ili gubitka znanja usled odlaska zaposlenih iz organizacije. Ovi rezultati potvrđuju potrebu za redovnim simulacionim vežbama kojima se proveravaju ne samo tehničke procedure odgovora na incidente (playbooks), već i komunikacioni tokovi, saradnja među timovima i operativni sporazumi o nivou usluge (Operational Level Agreements – OLA).