Kaspersky: il 72% degli oggetti sospetti si rivela dannoso

I ricercatori di Kaspersky hanno analizzato le statistiche, aggregate ed estrapolate in modo anonimo, provenienti da richieste rivolte al Kaspersky Threat Intelligence Portal, un servizio web con accesso a diversi petabyte di dati globali di security intelligence, aggiornati quasi in tempo reale.

L’analisi ha dimostrato che, nel 72% dei casi in cui i ricercatori di sicurezza hanno richiesto dettagli rispetto ad un oggetto sospetto, questo si è rivelato dannoso al punto di mettere a rischio la sicurezza aziendale.

In media, il 44% dei security alert affrontati dalle aziende non sono oggetto di indagine. La ragione è da attribuire al gran numero di avvisi in entrata che mettono in difficoltà i security team e che costringono gli analisti a scegliere accuratamente tra gli alert che vale la pena esaminare e quelli che possono essere tralasciati. In questa situazione, potrebbe essere utile avere un framework che possa aiutare i team di sicurezza a prendere una decisione.

Le statistiche anonime e aggregate del Kaspersky Threat Intelligence Portal hanno dimostrato come, nella maggior parte dei casi, la richiesta iniziale di controllo degli alert fosse corretta: la maggior parte (7 su 10) delle richieste esaminate inviate tramite il servizio, risultano essere dannose. La percentuale è particolarmente elevata per gli oggetti correlati al web: domini (86%), indirizzi IP (75%) e URL (73%). La percentuale diminuisce leggermente quando si tratta di file, con il 61% degli hash contrassegnati come dannosi. Questo implica che, senza il supporto di una threat intelligente efficace, è difficile per i ricercatori distinguere i file legittimi da quelli dannosi.

In generale, i ricercatori prestano maggiore attenzione alle risorse con cui, gli endpoint della loro rete, comunicano: il 41% delle richieste totali è compresa in questa categoria. Avendo a disposizione le informazioni sulla reputazione degli indirizzi IP e sui siti web e file associati, i team di sicurezza possono decidere se negare l’accesso ad una risorsa o bloccare qualsiasi comunicazione con essa. Inoltre, un terzo (31%) delle richieste faceva riferimento ad una categoria di file hash, il che significa che gli analisti erano alla ricerca di informazioni aggiuntive sul file (come la distribuzione geografica, la popolarità e le connessioni con altri oggetti).

oggetto sospetto