Компания RSA, подразделение информационной безопасности корпорации EMC, обнародовала результаты нового исследования Threat Detection Effectiveness Survey, в котором приняло участие более 160 респондентов из разных стран. Участники самостоятельно оценили, насколько эффективно их компании обнаруживают и расследуют киберугрозы.
Основной вывод, сделанный по результатам опроса, обнаружил глубокую неудовлетворенность респондентов существующими возможностями по обнаружению и расследованию угроз. Только 24% компаний, принимавших участие в опросе, отметили, что они удовлетворены своими способностями обнаруживать и расследовать угрозы. При этом только 8% уверены, что они могут обнаруживать угрозы быстро, и лишь 11% могут их быстро расследовать. И это при том, что скорость обнаружения и расследования является критически важным фактором, сужающим окно действий атакующего, минимизируя тем самым урон и потери от кибератак.
Сегодня наблюдается дисбаланс между организациями, которые собирают свои данные на периметре (88%), и которые используют для этого современные ИТ-инфраструктуры (облачные — 27%, сетевые пакеты — 49%, управление учетными записями — 55% и сбор на конечных устройствах — 59%). Компании же, которые уже встроили эти источники данных в свою стратегию обнаружения, считают их очень ценными: они извлекают на 66% больше пользы из информации, собранной из пакетов сетевого трафика, для обнаружения и расследования угроз, чем те компании, которые этого не делают. Тем временем, собирающие данные с конечных устройств, получают от них на 57% больше пользы, чем те, кто не делают этого.
Проблемой является и интеграция данных. Четверть респондентов вообще не интегрировали какие-либо данные, и только 21% сделали все свои данные доступными из одного источника. При этом только 10% считают свою способность отслеживать активность атакующего из разных источников данных, как «очень хорошую».
Кроме того, участники опроса не сочли какие-либо из используемых технологий обнаружения и расследования действительно эффективными, отметив их как «частично эффективные». И хотя системы SIEM внедряют более чем две трети респондентов, такие эффективные инструменты, как перехват сетевых пакетов, мониторинг конечных точек и поведенческая аналитика, среди пользователей недостаточно распространены.
Однако компании признают рост важности учетных данных для стимуляции обнаружения и расследования угроз. И та половина организаций, которая собирает данные из систем идентификации и контроля доступа, извлекает из нее на 77% больше пользы для обнаружения угроз, чем та, которая не делает этого. Более того, 33% респондентов планируют внедрить технологию поведенческой аналитики в течение ближайших 12 месяцев.
«Этот опрос подтвердил наши самые серьезные опасения о том, что в настоящее время организации не предпринимают, и в значительном количестве случаев — не планируют предпринимать необходимых действий для защиты себя от продвинутых угроз, — заметил Амит Йоран, президент RSA. — Они не собирают нужные данные, не интегрируют их, а также фокусируются на старых технологиях предотвращения угроз. Однако сегодня реальность требует от них закрыть бреши в прозрачности систем, применять более целостный подход при внедрении наиболее важных технологий, а также ускорить процесс перехода от превентивных стратегий».
