По результатам исследования IT Security Economics 2021.
Рано или поздно любая компания может столкнуться со сложной атакой, в которой применяются уязвимости нулевого дня и другие нестандартные инструменты. Чтобы успешно отразить ее и минимизировать негативные последствия, необходимо заранее продумать, с какими проблемами ваш отдел кибербезопасности может столкнуться.
Спрогнозировать конкретную атаку невозможно, и наши коллеги решили изучить опыт других компаний. В исследовании IT Security Economics 2021 они опросили представителей компаний разного размера, столкнувшихся со сложными атаками, и прояснили, что вызывало наибольшие трудности при отражении атаки и устранении последствий.
Вот 5 проблем, которые респонденты назвали в числе главных чаще всего:
1. Недостаточный обзор инфраструктуры
Логично, что без полноценной видимости своей инфраструктуры поиск и устранение угроз становятся почти неподъемной задачей. Даже сложные инциденты могут долго оставаться вне зоны внимания защитников. Более того, принятие ответных действий без точного понимания ситуации часто может только повредить делу.
Контрмеры. Для обеспечения обзора инфраструктуры подходят решения класса Endpoint Detection and Response.
2. Нехватка согласованности управления
В момент, когда становится очевидно, что компанию атакуют или произошла утечка данных, несогласованные действия различных команд могут только увеличить ущерб и затруднить расследование инцидента. Не говоря уже о том, что они могут сами, не желая того, действовать во вред друг другу (например, ИБ будет пытаться изолировать инфицированный сервер от сети, а IT — бороться за его доступность).
Контрмеры. Разумно заранее разработать план на случай сложной атаки и назначить человека, который возьмет руководство выполнением этого плана.
3. Нехватка кадров нужной квалификации
Рынок испытывает нехватку ИБ-специалистов, и уже не один год. И среди трудностей компании называют отсутствие обученных людей, способных чётко выявлять угрозы и реагировать на критические инциденты.
Контрмеры. Когда не хватает внутренних специалистов, можно привлечь сторонние команды для реагирования на инциденты и продолжительного мониторинга и охоты на угрозы.
4. Неспособность выявить реальную угрозу среди множества сигналов
Когда ваша система безопасности не видит подозрительных симптомов в инфраструктуре сети — это плохо, но когда она видит их миллионы — это ничем не лучше. Оповещения о действительно значимой опасности может потеряться среди тысяч инцидентов, каждый из которых забирает часть ценного ресурса. А в сложной сети — это вполне реальная проблема.
Контрмеры. Комплексные защитные решения с технологиями, которые облегчают задачу приоритизации действительно критичных инцидентов.
5. Недостаточная видимость вредоносных событий или поведения
Преступники постоянно обновляют свои атаки, инструменты и эксплойты. Без свежей информации об угрозах защита не может реагировать на них и распознавать злоумышленников в корпоративной сети.
Контрмеры. Необходимо, чтобы ваши защитные решения и SIEM-системы (если они есть) получали свежую информацию об угрозах.
В отчете IT Security Economics 2021 много и другой полезной информации. Например, данные по средним потерям компаний от киберинцидентов. Скачать полный текст отчета можно вот здесь.