Хакеры атакуют вручную: 74% критичных инцидентов – дело рук людей

Исследователи из «Лаборатории Касперского» представили ежегодный аналитический отчёт Kaspersky Managed Detection and Response (MDR) за 2024 год. В нём подробно разобраны тактики, техники и инструменты атакующих, а также основные тенденции кибер инцидентов , выявленных командой SOC.

Анализ данных показал, что основные цели атак — промышленные предприятия (25,7%), финансовые организации (14,1%) и государственные структуры (11,7%). Однако в категории инцидентов высокой критичности лидируют IT-компании (22,8%), государственные учреждения (18,3%) и промышленность (17,8%). Каждый день фиксировалось более двух инцидентов высокой критичности.

За прошедший год число инцидентов высокой критичности сократилось на 34%, но среднее время их расследования увеличилось на 48%. Это указывает на рост сложности атак. В большинстве случаев детектирование происходило с использованием специализированных XDR-инструментов, тогда как раньше важную роль играли стандартные журналы ОС.

Число целенаправленных атак, проводимых человеком, продолжает расти. В 2024 году их доля среди инцидентов высокой критичности увеличилась на 74% по сравнению с 2023 годом. Хотя автоматизированные инструменты защиты совершенствуются, злоумышленники находят способы обхода механизмов детектирования. Для борьбы с такими угрозами необходимы расширенные методы обнаружения и опытные аналитики SOC.

Одной из ключевых угроз остаётся повторное проникновение атакующих после успешного взлома. В правительственном секторе злоумышленники стремятся закрепиться в системе для длительного наблюдения и сбора информации.

Методы Living off the Land (LotL) продолжают активно применяться. Часто атакующие используют штатные инструменты операционных систем для скрытного продвижения по сети. Значительное число инцидентов связано с несанкционированными изменениями в конфигурации, например, добавлением пользователей в привилегированные группы. Контроль изменений и управление доступом играют важную роль в снижении риска таких атак.

Фишинг и атаки с вовлечением пользователей (User Execution) остаются одними из главных угроз. В 2024 году около 5% инцидентов высокой критичности были связаны с успешными методами социальной инженерии. Человеческий фактор продолжает оставаться слабым звеном кибербезопасности, что подчёркивает важность программ повышения осведомлённости среди сотрудников.