Ландшафт захисників

Головна Огляди Ландшафт захисників

01.10.2018

Що було б, якби засоби захисту могли бачити майбутнє? Якби вони знали, що насувається атака, то могли б її зупинити. Або принаймні пом’якшити вплив атаки та допомогти гарантувати безпеку об’єктів, які потребують найбільшого захисту. Гарною новиною є те, що засоби захисту вже вміють розпізнавати потенційні загрози.

Нападники розвивають і пристосовують свої технології швидше, ніж захисники (спеціалісти із захисту). Крім того, вони проводять практичні випробовування експлойтів, стратегій вторгнення та навичок, оскільки можуть запускати атаки ще масштабніші. Коли зловмисники вдарять по організаціях, чи будуть їхні захисники готові до цього, і як швидко вони зможуть усе відновити? Значною мірою усе це залежить від заходів, яких вживають захисники для зміцнення своєї безпеки.

Порівняльне дослідження рішень безпеки за 2018 рік показало, що захисники мають досить багато роботи та викликів, які слід подолати. Щоб оцінити сприйняття захисниками стану безпеки у їхніх організаціях, у кількох країнах та в організаціях різного масштабу було опитано директорів з інформаційної безпеки (CISO) та менеджерів з експлуатаційної безпеки (SecOps) щодо їхніх ресурсів і процедур гарантування безпеки.

Проведене Cisco порівняльне дослідження рішень безпеки за 2018 рік, у рамках якого було опитано понад 3 600 осіб у 26 країнах, дало унікальну інформацію про практики безпеки, що наразі використовують. Крім того, ці результати порівняно з даними, отриманими під час досліджень у 2017, 2016 та 2015 роках.

Вартість атак

Здебільшого страх перед атаками ґрунтується на їхній фінансовій вартості, яка більше не є якимось гіпотетичним значенням. Зламування системи завдає реальної економічної шкоди організаціям, на виправлення результатів якої потрібні місяці або навіть роки. На думку респондентів, опитаних під час дослідження, понад половина (53 %) усіх атак призвела до фінансових збитків у розмірі понад $500 000, включаючи, але не обмежуючись лише цим: неотримані доходи, втрачених клієнтів і можливості, а також додаткові витрати (рис. 1).

Рисунок 1. 53 % атак призводять до збитків у розмірі $500 тис. або більше

Виклики та перешкоди

Команди фахівців із безпеки докладають значних зусиль для захисту своїх організацій. Однак вони постійно наражаються на численні перешкоди. Сучасним компаніям необхідно забезпечити захист у кількох сферах, а також захист окремих функцій, що створює додаткові виклики у сфері безпеки.

З точки зору захисту найпроблемнішими сферами та функціями наразі є мобільні пристрої, дані в публічних хмарах і поведінка користувачів (рис. 2).

Рисунок 2. Найпроблемніші з точки зору захисту сфери: мобільні пристрої та хмарні дані

Станом на сьогодні основними стримувальними чинниками в керуванні безпекою спеціалісти з інформаційної безпеки називають бюджет, відсутність взаємодії та персонал (рис. 3). Відсутність підготовленого персоналу, коли необхідно запроваджувати передові процеси та технології у сфері безпеки, також вважають проблемою. До прикладу, у 2017 році 27 % опитаних вказали на відсутність висококваліфікованих фахівців як на перепону, порівняно з 25 % у 2016 році та 22 % у 2015-му відповідно. Наразі в переліку перешкод в усіх галузях та в усіх регіонах відсутність кваліфікованих фахівців, на жаль, займає найвищу позицію.

Рисунок 3. Найбільша перешкода для безпеки: бюджетні обмеження

Водночас, коли прогалина з кваліфікованим персоналом залишається невирішеною проблемою, організації намагаються знайти і залучити до складу команд більше спеціалістів з безпеки. У 2017 році середня кількість спеціалістів з інформаційної безпеки в штаті організацій становила 40 осіб — це більше, порівняно із середньою кількістю у 2016 році, яка становила 33 особи (рис. 4).

Рисунок 4. Організації винаймають більше спеціалістів з інформаційної безпеки

Складнощі, створювані постачальниками у сфері організації керування

Захисники впроваджують складне поєднання продуктів різних постачальників – арсенал засобів, який радше зіб’є з пантелику, аніж прояснить ландшафт безпеки. Ці складнощі значно зменшують здатність організації захищатися від атак і збільшують ризик виникнення втрат.

У 2017 році 25 % спеціалістів з інформаційної безпеки зазначали, що вони використовують продукти 11 — 20 постачальників, тоді як у 2016 році ця цифра становила 18 %. Також у 2017 році 16 % вказали, що вони використовують від 21 до 50 постачальників, порівняно із 7 % респондентів у 2016-му (рис. 5).

Рисунок 5. Організації використовували більшу кількість постачальників рішень з безпеки у 2017 році

Зі збільшенням кількості постачальників зростають і виклики організації в керуванні попередженнями, що надходять від рішень такої великої кількості постачальників. Крім того, керування численними попередженнями, які надходять від рішень постачальників для 54 % спеціалістів з інформаційної безпеки є дещо проблематичним завданням, а 20 % взагалі зазначають, що таке завдання є дуже проблематичним (рис. 6).

Рисунок 6. Проблема з організацією опрацювання попереджень

Перед спеціалістами з безпеки постають виклики щодо опрацювання попереджень, які надходять від численних рішень постачальників.

Серед організацій, які мають усього 1-5 постачальників, лише 8 % зазначають, що керування попередженнями є дуже складним завданням (рис. 7). А 55 % організацій, які використовують понад 50 постачальників, зазначили, що таке керування є дуже складним.

Рисунок 7. Зі збільшенням кількості постачальників зростає проблема організації опрацювання попереджень

Якщо організації не можуть організувати ефективного керування та не розуміють попереджень, які вони отримують, справжні загрози можуть прослизнути через щілини.

Між попередженнями, що надійшли; попередженнями, які були розслідувані; і тими, на підставі яких встановлюють виправлення, існують певні прогалини. На це вказує отримана від респондентів інформація (рис. 8).

Рисунок 8. Більшість попереджень про загрозу не було розслідувано чи усунено

У середньому 44 % від попереджень систем безпеки, які щодня отримують організації, не розслідують, а лише 34 % від попереджень, які були розслідувані, вважають обґрунтованими.

Стосовно 51 % обґрунтованих попереджень вживають заходів, а щодо майже половини (49 %) обґрунтованих попереджень – ні.

У результаті більшість обґрунтованих попереджень залишаються поза увагою. Одними з основних причин цього ймовірно є недостатня кількість працівників і відсутність підготовленого персоналу, який може сприяти вирішенню питання розслідування усіх попереджень.

Наслідками такої неефективної роботи можуть бути пильна увага з боку громадськості через проникнення до системи, а також збільшення ризику втрат.

Під час проведення порівняльного дослідження один із респондентів зазначив: «Існує два види компаній: ті, які були зламані, й ті, які не знають, що вони були зламані». Завдяки відповідній підготовці організації намагаються впоратися з майбутніми викликами безпеки, однак, незважаючи на це, спеціалісти з інформаційної безпеки очікують, що вони стануть жертвою атаки, яка приверне пильну увагу громадськості. 55 % опитаних повідомили, що минулого року їхні організації були вимушені врегульовувати ситуації щодо привернення пильної уваги громадськості через атаку (рис. 9).

Рисунок 9. 55 % організацій були вимушені врегульовувати ситуації з пильною увагою громадськості в результаті атаки

Також організації повідомили про значно більшу кількість порушень систем безпеки, які відбулися щодо понад 50 % систем (рис. 10), порівняно з опитаними минулого року. У 2017 році 32 % спеціалістів з інформаційної безпеки зазначили, що порушення вплинули більше, ніж на половину їхніх систем, порівняно з 15 % у 2016 році.

Рисунок 10. Різке збільшення порушень систем безпеки, що впливають на понад 50 % систем

Слід зазначити, що від здійснення атак переважно страждають такі бізнес-функції, як операційна діяльність, фінанси, інтелектуальна власність і репутація бренда (рис. 11).

Рисунок 11. Операційна діяльність та фінанси ймовірніше можуть постраждати в результаті порушення системи безпеки

У складному середовищі систем безпеки організації ймовірно стикатимуться зі зламом їхніх систем. Серед організацій, які використовують від одного до п’яти постачальників, 28 % опитаних стверджують, що вони були вимушені врегульовувати ситуації щодо пильної уваги громадськості після зламу системи. Ця кількість збільшилася до 80 % стосовно організацій, які використовують понад 50 постачальників (рис. 12). Зазначене може бути наслідком більшої уваги до загроз, яку може забезпечити більша кількість продуктів.

Рисунок 12. 80 % організацій, які використовують понад 50 постачальників, були вимушені врегульовувати ситуації з пильною увагою громадськості в результаті відкритих атак

Джерело: Порівняльне дослідження рішень безпеки за 2018 рік, проведене Cisco