Stručnjaci kompanije Kaspersky analizirali su anonimnu i prikupljenu statistiku zahteva dobijenu iz usluge Kaspersky Threat Intelligence Portal, uvek aktivne veb usluge koja pruža pristup nekoliko petabajta podataka globalnih bezbednosnih informacija koja se ažurira gotovo u realnom vremenu. Analiza je pokazala da kada istraživači bezbednosti zahtevaju dodatne detalje o sumnjivom objektu, u 72% 1 slučajeva ispostavi se da su ti objekti maliciozni i da mogu ugroziti korporativnu bezbednost ako se ne istraže.
U proseku, 44% bezbednosnih uzbuna sa kojima se suočavaju organizacije se ne istražuju. Razlog može biti u velikom obimu dolazećih upozoravajućih signala sa kojima bezbednosni timovi ne mogu u potpunosti da se nose. Stoga, analitičari moraju dobro da izaberu koja upozorenja treba da istraže, a koja nisu vredna njihove pažnje. U ovoj situaciji od velike je pomoći imati okvir koji pomaže u donošenju odluke.
Anonimna i prikupljena statistika koju sadrži rešenje Kaspersky Threat Intelligence Portal pokazala je da je u većini slučajeva inicijalni poziv na proveru upozorenja ispravan: većina (7 od 10) analiziranih zahteva podnetih kroz uslugu su maliciozni. Udeo ovakvih objekata je naročito veliki kada su u pitanju stavke koje su u vezi sa internetom; domeni – 86%, IP adrese – 75% i URL adrese – 73%. Ove brojke polako opadaju za fajlove, gde se samo 61% kategorizuje kao opasni. To znači da je za istraživače teže da razlikuju legitimne fajlove od malicioznih bez razmatranja odgovarajućih informacija o pretnjama.
Sve u svemu, istraživači su uglavnom najviše zainteresovani da saznaju sa kojim resursima komuniciraju krajnje tačke u njihovim mrežama – 41% ukupnih zahteva spada u ovu kategoriju. Sa informacijom o reputaciji IP adrese i povezanih veb-sajtova i fajlova, bezbednosni timovi mogu da donesu odluku da li da odbiju pristup za ovaj resurs ili u potpunosti blokiraju svaku komunikaciju sa njim. Dodatno, trećina (31%) zahteva je bila vezana za fajl heš kategoriju – što znači da analitičari traže dodatne informacije o fajlu (npr. geografska distribucija, popularnost, povezanost sa drugim objektima) u svojim istragama.
„Kako pokazuju naše statistike, bezbednosni analitičari u organizacijama retko prave greške kada sumnjaju da upozorenje predstavlja bezbednosni rizik i da je potrebna dalja istraga. Međutim, nije sve u proveravanju hipoteza. Kako bi bili u mogućnosti da ubrzaju svoje reakcije na incidente i forenzičke sposobnosti, analitičari moraju sagledati širu sliku pretnje i to brzo. Pristup informacijama o pretnjama obezbeđuje upravo to, štedeći vreme i napore za bezbednosne timove sa nedovoljno osoblja“, izjavio je Anatolij Simonenko (Anatoly Simonenko), menadžer grupe u proizvodnom menadžmentu tehnoloških rešenja u kompaniji Kaspersky.
Kaspersky Threat Intelligence Portal je veb usluga koja obezbeđuje korisnicima informacije o sajber pretnjama prikupljene od strane kompanije Kaspersky. Kompanija obezbeđuje besplatan pristup osnovnim informacijama o sumnjivim fajlovima, heševima, IP adresama i ostalom na https://opentip.kaspersky.com/.