Одна пропущенная угроза в неделю: уроки анализа 25 млн оповещений

Коллеги, хочу обратить внимание в сфере кибербезопасности: анализ 25 млн оповещений показывает, что низкоприоритетные сигналы скрывают реальные компромиссы.
Что важно:
- ~1% подтверждённых инцидентов исходило из low‑severity/информационных оповещений (на эндпойнтах — до ~2%).
- EDR помечает инциденты как 'mitigated', но форензик памяти находит активный malware.
- Фишинг перешёл на ссылки и доверенные платформы; отмечены обходы шлюзов (SVG Base64, PDF‑метаданные, OneDrive, скрытый HTML в DOCX).
- В облаке доминирует персистенция и эксплуатация S3 (≈70% нарушений).
Почему это важно: при ~450k оповещениях в год 1% — ≈54 угрозы, которые не расследуются.
Какие практические шаги Вы бы предложили, чтобы закрыть этот разрыв?
#кибербезопасность #SOC #EDR #фишинг


Последние комментарии
Комментариев пока нет.