В 2014 году среднее количество расследований ИБ-инцидентов составило 78 на компанию, притом 28% от общего числа инцидентов составили целевые атаки, выяснили эксперты Enterprise Strategy Group, по заказу Intel Security опросив 700 ИТ- и ИБ-профессионалов, работающих на предприятиях среднего и крупного бизнеса в странах Азии, Северной и Южной Америки и региона EMEA. В отчете «Как решить проблемы детектирования атак и реагирования на инциденты» фигурируют ИБ-стратегии различных организаций; технологические особенности кибератак, проблемы, связанные с поздним реагированием на инциденты и необходимые меры, которые компании обязаны предпринять с учетом этих реалий.
Согласно опросу, основными методами повышения эффективности работы ИБ-персонала являются более совершенные инструменты детектирования и анализа угроз, а также более глубокое изучение природы инцидентов для определения наиболее оптимальной стратегии отражения атаки.
Почти 80% опрошенных уверены, что низкая степень интеграции и недостаточная коммуникация между элементами системы безопасности вызывает эффект «бутылочного горлышка» и мешает средствам обеспечения безопасности своевременно распознавать угрозы и реагировать на них. Максимальная прозрачность работы ИБ-систем в реальном времени очень важна для своевременного реагирования на целевые атаки; в этой связи 37% респондентов подчеркнули, что необходимо обеспечивать более тесную интеграцию между системами анализа угроз и ИТ-системами. Кроме того, наиболее затратные с точки зрения времени задачи — определение площади атаки и принятие мер для минимизации ее последствий — можно было бы выполнять более оперативно при условии более тесной интеграции инструментов защиты. Архитектуры, состоящие из десятков различных ИБ-продуктов, провоцируют лавинообразный рост данных, генерируемых в прогрессии во время атак, что не позволяет вовремя заметить срабатывание важных индикаторов.
ИБ-эксперты утверждают, что способность видеть состояние систем защиты в реальном времени страдает от недостаточного понимания паттернов поведения пользователей, сети, приложений и хостов. Четыре самых часто встречающихся типа собираемых системами безопасности данных связаны с поведением сети, а 30% систем собирают данные об активности пользователей — очевидно, что нельзя ограничиться просто сбором данных. Пользователям требуется помощь для контекстуализации данных и дальнейшего понимания, в каком случае поведение пользователя можно признать подозрительным. Этот разрыв может объяснить, почему 47% организаций признали, что определение масштаба или потенциального вреда атаки потребовало так много времени.
58% респондентов утверждают, что им необходимы более совершенные инструменты детектирования, 53% говорят о более совершенных инструментах аналитики, 33% опрошенных нуждаются в решениях, позволяющих корректно задать «нормальный» уровень функционирования ИБ-систем, чтобы быстрее распознавать отклонения.
42% опрошенных отметили, что принятие мер по минимизации последствий атаки — это самая затратная с точки зрения времени задача. 27% хотели бы в большей степени автоматизировать аналитику угроз на базе полученных от ИБ-систем данных, чтобы сделать возможным реагирование в реальном времени. 15% хотели бы использовать средства автоматизации, чтобы высвободить больше времени ИБ-сотрудников для более важных дел.
Проведенное исследование позволило выделить рекомендации, позволяющие сократить время выявления атаки и принять своевременные меры для нивелирования возможного ущерба. Во-первых, отдельные ИБ-решения стоит интегрировать в единую ИБ-архитектуру. Такая стратегия позволяет иметь общую картину об атаке, основываясь на сведениях, полученных с различных ИБ-устройств, а также увидеть проявления угрозы на различных уровнях в рамках корпоративной инфраструктуры: на уровне поведения пользователя, оконечной точки и сети. Во-вторых, стратегии кибербезопасности нужно базировать на мощных средствах аналитики. В-третьих, необходимо максимально автоматизировать процессы детектирования инцидентов и реагирования на них. Кроме вышесказанного, нужно постоянно усваивать новую информацию об угрозах: ИБ-руководители должны организовывать регулярные тренинги для сотрудников ИБ-отделов с целью повышения уровня осведомленности о природе угроз и наработанных практиках для эффективного отражения угроз.
