Новый отчет Tackling Attack Detection and Incident Response («Как решить проблемы детектирования атак и реагирования на инциденты»), подготовленный Enterprise Strategy Group (ESG) по заказу компании Intel Security, исследует ИБ-стратегии различных организаций; технологические особенности кибератак; проблемы, связанные с поздним реагированием на инциденты; и необходимые меры, которые компании обязаны предпринять с учетом этих реалий.
Исследование показало, что ИБ-сотрудники буквально завалены инцидентами: в прошлом году среднее количество расследований инцидентов составило 78 на компанию, притом 28% от общего числа инцидентов составили целевые атаки – один из самых опасных и потенциально вредоносных видов кибератак. Согласно опросу представителей ИТ- и ИБ-отрасли, основными методами повышения эффективности работы ИБ-персонала являются более совершенные инструменты детектирования и анализа угроз, а также более глубокое изучение природы инцидентов для определения наиболее оптимальной стратегии отражения атаки.
«Если говорить о детектировании инцидентов и реагировании на них, основным фактором, влияющим на масштаб нанесенного организации урона, является время, - утверждает Джон Ольтсик (Jon Oltsik), старший аналитик в ESG. – Чем больше времени требуется учреждению на отслеживание, расследование и реагирование в случае кибератаки, тем выше вероятность того, что предпринятых мер будет недостаточно для предотвращения утечек конфиденциальной информации, а это, в свою очередь, может стоить организации очень больших денег. Основываясь на этом выводе, директорам по информационной безопасности нужно осознать: сбор и обработка информации об атаке – это шаг к тому, чтобы повысить эффективность детектирования угроз и реагирования на них».
Более тесная интеграция
Почти 80% опрошенных уверены, что низкая степень интеграции и недостаточная коммуникация между элементами системы безопасности вызывает эффект «бутылочного горлышка» и мешает средствам обеспечения безопасности своевременно распознавать угрозы и реагировать на них. Максимальная прозрачность работы ИБ-систем в реальном времени очень важна для своевременного реагирования на целевые атаки; в этой связи 37% респондентов подчеркнули, что необходимо обеспечивать более тесную интеграцию между системами анализа угроз и ИТ-системами. Кроме того, наиболее затратные с точки зрения времени задачи – определение площади атаки и принятие мер для минимизации ее последствий – можно было бы выполнять более оперативно при условии более тесной интеграции инструментов защиты. Таким образом, в похожих на лоскутное одеяло архитектурах, состоящих из десятков ИБ-продуктов, образуются разрозненные инструменты, консоли, процессы и отчетности, работа с которыми по отдельности занимает очень много времени. Такие архитектуры провоцируют лавинообразный рост данных, генерируемых в прогрессии во время атак, что, в конечном итоге, не позволяет вовремя заметить срабатывание важных индикаторов.
Прозрачность процессов
ИБ-эксперты, которых опросили в ходе подготовки отчета, утверждают, что способность видеть состояние систем защиты в реальном времени страдает от недостаточного понимания паттернов поведения пользователей, сети, приложений и хостов. Четыре самых часто встречающихся типа собираемых системами безопасности данных связаны с поведением сети, а 30% систем собирают данные об активности пользователей – очевидно, что нельзя ограничиться просто сбором данных. Пользователям требуется помощь для контекстуализации данных и дальнейшего понимания, в каком случае поведение пользователя можно признать подозрительным. Этот разрыв может объяснить, почему почти половина организаций (47%) признала, что определение масштаба или потенциального вреда атаки потребовало так много времени.
Улучшенные средства аналитики
Пользователи понимают, что нужно перестать концентрироваться на сборе огромных объемов информации о событиях и угрозах, чтобы выделить время для использования этих данных с целью детектирования и анализа инцидентов. 58% респондентов утверждают, что им необходимы более совершенные инструменты детектирования (инструменты статического и динамического анализа, интегрированные с информацией об известных угрозах, хранящейся в облаке, для анализа файлов на предмет наличия угроз). 53% опрошенных считают, что им нужны более совершенные инструменты аналитики, чтобы превращать данные об угрозах в информацию, необходимую для совершения действий. Треть опрошенных (33%) нуждаются в решениях, позволяющих корректно задать «нормальный» уровень функционирования ИБ-систем, чтобы быстрее распознавать отклонения.
Наработка опыта
Опрошенные специалисты признали недостаток осведомленности о ландшафте угроз информационной безопасности и низкий уровень навыков в области расследования инцидентов, отметив при этом, что даже более высокий уровень интеграции элементов ИБ-систем или улучшенные средства аналитики не помогут, если ИБ-специалисты не смогут правильно интерпретировать полученную информацию. Например, только 45% участников опроса считают, что обладают достаточными знаниями в области техник обфускации вредоносного ПО, а 40% признают потребность в повышении своих навыков и осведомленности в области кибербезопасности.
Автоматизация для активных действий
Растущее количество расследований инцидентов и ограниченные ресурсы и навыки побуждают респондентов повысить эффективность детектирования угроза и реагирования на инциденты. 42% опрошенных отметили, что принятие мер по минимизации последствий атаки – это самая затратная с точки зрения времени задача. 27% хотели бы в больше степени автоматизировать аналитику угроз на базе полученных от ИБ-систем данных, чтобы сделать возможным реагирование в реальном времени. 15% хотели бы использовать средства автоматизации, чтобы высвободить больше времени ИБ-сотрудников для более важных дел.
«Аналогично тому, как в области медицины критически важно доставить пациента с сердечным приступом в больницу в течение максимально короткого времени, чтобы повысить шансы на удачный исход, так и ИБ-специалистам важно сократить время, требуемое на обнаружение и отражение атаки, чтобы максимально снизить урон, - подчеркивает Крис Янг (Chris Young), генеральный менеджер Intel Security. – Чтобы добиться этого, нужно найти ответа на сложные вопросы, чтобы понять, где мы недорабатываем, и переосмыслить принципы, на которых мы строим защиту систем».
По мнению ESG, исследование позволяет выделить рекомендации, позволяющие сократить время выявления атаки и принять своевременные меры для нивелирования возможного ущерба:
- Создать архитектуру ИБ, отличающуюся высокой степенью интеграции: Отдельные ИБ-решения стоит интегрировать в единую ИБ-архитектуру. Такая стратегия позволяет иметь общую картину об атаке, основываясь на сведениях, полученных с различных ИБ-устройств, а также увидеть проявления угрозы на различных уровнях в рамках корпоративной инфраструктуры: на уровне поведения пользователя, оконечной точки и сети. Необходимо достичь более высокой степени координации и релевантности реагирования.
- Основывать работу стратегии кибербезопасности на мощной аналитике, делая упор на качество, а не на количество информации: Стратегии кибербезопасности нужно базировать на мощных средствах аналитики. Это значит сбор, обработку и анализ обширной внутренней (журналы действий (логи), потоки данных, пакеты, проверка оконечной точки, статический и динамический анализ зловредов, паттерны поведения пользователя или приложения) и внешней (анализ угроз, уведомления о уязвимостях) информации.
- Максимально автоматизировать процессы детектирования инцидентов и реагирования на них: Так как организациям придется постоянно противодействовать усложняющимся с каждым днем атакам, ИБ-руководители должны опираться на автоматизированные средства защиты: передовые средства анализа вредоносного ПО, интеллектуальные алгоритмы, машинное обучение, а также сравнение паттернов в нормальном поведении корпоративных систем с тактиками, техниками и процедурами, используемыми киберпреступниками в ходе атак.
- Постоянно усваивать новую информацию об угрозах: ИБ-руководители должны организовывать регулярные тренинги для сотрудников ИБ-отделов с целью повышения уровня осведомленности о природе угроз и наработанных практиках для эффективного отражения угроз.