отчеты
Рано или поздно любая компания может столкнуться со сложной атакой, в которой, например, применяются уязвимости нулевого дня или нестандартные сложные инструменты. Для того чтобы успешно отразить ее и минимизировать негативные последствия, необходимо заранее продумать, с какими проблемами ваш отдел кибербезопасности может столкнуться.
Спрогнозировать конкретную атаку, разумеется, невозможно, поэтому наши коллеги решили изучить опыт других организаций. В рамках исследования IT Security Economics 2021 они опросили представителей компаний разного размера, столкнувшихся со сложными инцидентами, и выяснили, что именно вызывало у них наибольшие трудности при отражении атаки и устранении последствий.
Вот пять проблем, которые респонденты называли в числе главных чаще всего:
1. Недостаточный обзор инфраструктуры
Достаточно логично, что без полноценной видимости собственной инфраструктуры поиск и устранение угроз превращаются в практически невыполнимую задачу. Даже достаточно сложные инциденты могут длительное время оставаться вне сферы внимания защитников. Более того, принятие ответных действий без стопроцентного понимания ситуации зачастую может только повредить делу.
Контрмеры. Для обеспечения обзора инфраструктуры подходят решения класса Endpoint Detection and Response.
2. Нехватка согласованности управления
В момент, когда становится очевидно, что компанию атакуют или произошла утечка данных, несогласованные действия различных команд могут только увеличить ущерб и затруднить расследование инцидента. Не говоря уже о том, что они могут сами, не желая того, действовать во вред друг другу (например, ИБ будет пытаться изолировать инфицированный сервер от сети, а IT — бороться за его доступность).
Контрмеры. Разумно заранее разработать план действий в случае сложного киберинцидента и назначить человека, который возьмет в свои руки руководство выполнением этого плана.
3. Нехватка персонала с нужной квалификацией
Уже несколько лет рынок испытывает явную нехватку специалистов по информационной безопасности. Поэтому неудивительно, что среди трудностей компании называют отсутствие должным образом обученного персонала, способного профессионально выявлять угрозы и реагировать на критические инциденты.
Контрмеры. Когда не хватает внутренних специалистов, имеет смысл привлекать сторонние команды как для реагирования на инциденты, так и для продолжительного мониторинга и охоты на угрозы.
4. Неспособность выявить реальную угрозу среди множества сигналов
Когда ваша система безопасности не видит опасных симптомов в инфраструктуре сети — это плохо, но когда она видит миллионы таких симптомов — не намного лучше. Оповещения о действительно значимой опасности может потеряться среди тысяч разнообразных инцидентов, каждый из которых забирает часть ценного ресурса. А в сложной сети — это вполне реальная проблема.
Контрмеры. Существуют комплексные защитные решения с технологиями, облегчающими задачу приоритизации действительно критичных инцидентов.
5. Недостаточная видимость вредоносных событий или поведения
Злоумышленники постоянно создают новые методы атак, новые инструменты и эксплойты. Без свежей информации о киберугрозах защитные решения не могут реагировать на современные атаки и распознавать злоумышленников в корпоративной сети.
Контрмеры. Необходимо, чтобы ваши защитные решения и SIEM-системы (если они есть) получали свежую информацию об угрозах.
В отчете IT Security Economics 2021 много и другой полезной информации. Например, данные по средним потерям компаний от киберинцидентов. Скачать полный текст отчета можно вот здесь.
