Профилактика по-прежнему является основным компонентом корпоративной кибербезопасности, говорится в докладе «Новые угрозы, новое мышление: быть готовым к риску в мире сложных атак» от «Лаборатории Касперского». Однако немедленное обнаружение снижает среднюю стоимость восстановления бизнеса более чем в два раза — с 1,2 млн до 456 тыс долларов. В свете недавних атак и заражений, таких как WannaCry и ExPetr, организации теперь должны спрашивать себя: «Что произойдет, когда атака попадет в цель?». Но если компаниям трудно определить, когда произошло нарушение безопасности, этот вопрос становится чрезвычайно сложным.
Киберпреступники, их навыки и оружие резко варьируются — от неискушенных мошенников, которые запугивают наименее защищенные компании, нанося удары по массам, до передовых групп хакеров, которые нацелены на «большие призы» с многоуровневыми операциями, которые могут даже не включать вредоносные программы. И хотя относительно легко избежать нападений первых, при столкновении с опытным злоумышленником компания должна быть готова принять сильный удар.
Исследование «Лаборатории Касперского» показывает, что целенаправленные атаки стали одной из наиболее быстро растущих угроз в 2017 году, причем атаки на крупные предприятия участились на 11%. И речь идет не только о количестве атак: две трети респондентов (66%) согласились с тем, что угрозы становятся все более сложными.
Это серьезная проблема для бизнеса: компании начинают понимать, что в какой-то момент их коснется проблема нарушения безопасности (57% против 51% в прошлом году), но они по-прежнему не уверены в наиболее эффективной стратегии реагирования на эти угрозы (42%). Что еще более тревожно — исследование показало, что неопределенность значительно выше (63%) среди респондентов, которые являются экспертами в области ИТ-безопасности и поэтому более знакомы с этой проблемой.
Удивительно, но, несмотря на высокий уровень неопределенности в отношении их стратегий, большинство компаний (77%) считают, что они тратят достаточно или даже перерасходуют средства на защиту от целенаправленных атак.
Вероятно, это связано с тем, как воспринимаются угрозы: иногда они рассматриваются как технические проблемы, которые необходимо решить путем покупки и внедрения более совершенных решений для кибербезопасности. Однако более сбалансированный подход к реагированию на инциденты включает в себя инвестиции не только в правильные технологии, но и в людей с определенными наборами навыков.
Технология — одна из самых важных частей этого сочетания. Как показывает исследование, существует четкая потребность в решениях безопасности, которые выходят за рамки предотвращения атак и предоставляют более полный пакет, а также добавляют функции обнаружения и реагирования. Например, 56% предприятий согласны с тем, что им нужны лучшие инструменты для обнаружения и реагирования на постоянные угрозы и целенаправленные атаки.
Это особенно верно, учитывая тот факт, что скорость обнаружения имеет решающее значение для снижения финансовых последствий атаки. Согласно исследованиям, за последний год только четверть (25%) компаний обнаружили свой самый серьезный инцидент в течение дня. Однако немедленное обнаружение значительно снижает среднюю стоимость восстановления — например, с 1,2 млн долларов у предприятий, которые обнаружили угрозу в течение недели и более, до 456 тыс. долларов у тех, кто смог сразу обнаружить угрозу.
Люди — еще один важный компонент. 53% предприятий согласны с тем, что им необходимо привлекать больше специалистов с особым опытом в области ИТ-безопасности. Это неудивительно, поскольку отсутствие внутренних экспертов увеличивает подверженность компании целенаправленным атакам на 15%, а также увеличивает средние финансовые последствия атаки на бизнес — с 930 тыс. долларов до 1,1 млн долларов.
Но в целом, чтобы иметь возможность эффективно бороться со сложными киберугрозами, организациям также нужно думать об инциденте как процессе, а не цели. Это означает, что существует необходимость во всеобъемлющей системе расследования инцидентов, состоящей из постоянно действующего мониторинга, расширенного обнаружения и предотвращения критических событий.
«Теперь, когда компании начинают осознавать, что нарушения кибербезопасности подвергают реальному риску непрерывность их бизнеса, пришло время уделить инцидентам внимание, которого они заслуживают. Они больше не могут быть небольшой частью обязанностей отдела ИТ-безопасности и должны вместо этого включать стратегическое планирование и инвестиции на самом высоком уровне. Для организаций это не означает, что риск исчезнет, но это, безусловно, поможет стать готовым к рискам и пережить серьезное нарушение, если оно произойдет», — заявил Алессио Ацета, руководитель отдела корпоративного бизнеса «Лаборатории Касперского».