Изображение: recraft
Таковы данные опроса, проведенного iTPROTECT, системным интегратором в области информационной безопасности (ИБ), среди участников онлайн-митапа «NDR: как найти злоумышленника во внутреннем трафике, не потратив все ресурсы».
На мероприятии обсуждались подходы к борьбе с угрозами во внутреннем трафике. Это направление безопасности особенно важно, поскольку сетевой трафик — ключевая точка, где можно определить и остановить горизонтальное распространение злоумышленника в ходе атаки. Интерес к онлайн-митапу iTPROTECT показал, что компании осознают эту угрозу.
В современных условиях распространенности сложных направленных атак важно выявлять угрозы не только на границе сети, но и во внутреннем трафике, когда злоумышленник смог преодолеть периметр, и при этом тратит на это минимальное количество ресурсов. Ответом на эту задачу становятся решения класса NDR (Network Detection and Response), которые, в отличие от NTA-систем (Network Traffic Analysis), помогают не только найти, но и быстро среагировать на угрозу в автоматизированном режиме.
29% респондентов ответили, что стремятся заблокировать угрозы заранее – на периметре ИТ-инфраструктуры, а 45% отслеживают их на уровне хостов (например, рабочих мест сотрудников). Остальные 26% применяют для выявления угроз решения для анализа внутреннего трафика – NTA. При этом в последней категории подавляющая часть (85%) собирает весь трафик, а 15% – только в ядре сети.
4 из 5 респондентов (78%) выстроили процессы реагирования на инциденты кибербезопасности. При этом у 41% участников исследования есть соответствующие регламенты или плейбуки, а 37% действуют по неформализованным планам. Вариант «Реагируем по ситуации» выбрали 22% респондентов.
При этом автоматизация процессов реагирования пока остаётся на невысоком уровне. 56% респондентов отметили, что в их организациях реагирование происходит в полностью ручном режиме.
«Полученные данные рисуют портрет компании, которая уже понимает, что её периметр проницаем, но еще не готова к полномасштабному противодействию внутри инфраструктуры. Это означает, что, когда злоумышленник проник внутрь, он действует по алгоритму, а защитник — по ситуации. Ключевой инсайт в том, что зрелость уровня кибербезопасности измеряется не только наличием ИБ-инструментов, но и связкой регламентов и автоматизации. Для того, чтобы с большей вероятностью обнаруживать атаку заранее, важно, что эта комбинация сложилась», — отметил Кай Михайлов, руководитель направления по информационной безопасности iTPROTECT.
Оригинал публикации на сайте CISOCLUB: "Каждая пятая российская компания не имеет плана реагирования на инциденты безопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.