Вернуться на главную
При поддержке

5 главных препятствий ИБ:
как преодолеть барьеры
на пути к успешному реагированию на сложные киберинциденты

В этой статье мы рассмотрим пять главных препятствий, которые могут помешать эффективно реагировать на сложные инциденты, связанные с комплексными угрозами, APT-подобными и целевыми атаками. Также мы расскажем о зрелом подходе к кибербезопасности для среднего и крупного бизнеса. Этот подход подразумевает готовность к отражению инцидентов любой сложности, даже если угроза уже проникла в корпоративный периметр, и нацелен на уменьшение ущерба от уже случившихся инцидентов. Он помогает устранить пробелы в системе кибербезопасности и стратегии защиты организации.

Чтобы понять, насколько ваша организация готова к отражению сложных атак, задайте три вопроса. Вы будете готовы к сражению, когда ответите «да» на каждый из них.

Достаточно ли хорошо ваши ИБ-эксперты:

  1. оснащены необходимым инструментарием для противодействия сложным угрозам?
  2. информированы об актуальных угрозах и обучены, как реагировать на инциденты?
  3. усилены сторонней экспертизой и имеют возможность оперативно обратиться за нужной ИБ-услугой?

Препятствие №1.
Сложность самих систем кибербезопасности

Иронично, что сложная система кибербезопасности часто сама себе мешает выполнять то, для чего она предназначена, – успешно противостоять кибератакам. И вот почему:

  • Специалисты по кибербезопасности тонут в «болоте» многочисленных неинтегрированных между собой инструментов и тратят драгоценное время на роль переводчиков между разрозненными решениями, которые зачастую «говорят» на разных языках.
  • Данные собираются выборочно – не со всех популярных точек проникновения злоумышленников в инфраструктуру. Из-за этого службы кибербезопасности не имеют общей картины происходящего и не всегда способны распознать кибератаку, что в результате может привести к ущербу.
  • Из-за бессистемного подхода к обработке инцидентов, из-за огромного количества оповещений от этих разных инструментов, недостатка контекстной информации и отсутствия качественной приоритизации инцидентов ИБ-специалисты часто пропускают важные уведомления, уделяя при этом слишком много внимания ложным срабатываниям.

Зачастую организации накапливают со временем множество инструментов, каждый из которых предназначен для решения узкоспециализированных задач безопасности, целый ряд консолей и бесконечное количество уведомлений. Сложность системы кибербезопасности – это закономерная эволюция в ответ на постоянно растущий уровень сложности корпоративной ИТ-инфраструктуры, с одной стороны, и ландшафта угроз – с другой.

Препятствие №2.
Нерелевантные данные об угрозах

Чтобы убедиться, что используемые данные об угрозах (Threat Intelligence) отражают всестороннюю информацию, нужно ответить на три вопроса:

  1. Они всеобъемлющие?
  2. Они точные?
  3. Они актуальные?

Но это лишь первый шаг. Часто данным не хватает еще одной ключевой составляющей – релевантности. Любой специалист по кибербезопасности, знакомый с набором современных каналов аналитики угроз, знает об этом очень хорошо.

Возможно, релевантность — это один из способов сказать, что качество важнее количества, но это верно лишь отчасти. Аналитика об угрозах должна поступать из источника, который предлагает и то, и другое. Отсутствие актуальных и релевантных аналитических данные об угрозах и, как результат, недостаточно четкое понимание тактик и техник злоумышленников затрудняют правильную приоритизацию оповещений и дальнейшее расследование и реагирование. А самое главное, это увеличивает временные затраты на эти процессы, что может обернуться для организаций серьезным ущербом.

Препятствие №3.
Игнорирование вероятности столкновения со сложными кибератаками и фокусирование на более массовых угрозах

Среди угроз, с которыми сталкиваются компании, основную долю занимают простые угрозы. Потому неудивительно, что даже крупные организации с развитой системой кибербезопасности все еще уделяют им слишком много внимания.

Есть еще одна психологическая причина, по которой специалисты по безопасности по-прежнему уделяют слишком много внимания простым угрозам (вместо APT): людям свойственно первым делом сосредотачиваться на проблеме, которую легко решить. Простым угрозам уделяется слишком много внимания, которое на самом деле требуется уделить намного более опасным и сложным инцидентам.

Ущерб от инцидентов, связанных с массовыми киберугрозами, незначителен по сравнению с ущербом от разрушительных комплексных атак, например от целевых.

Препятствие №4.
Нехватка специалистов в области кибербезопасности

Нехватка ИБ-специалистов связана с провалами в системе образования. Но понимание этого не поможет исправить текущую ситуацию на местах. Пока специалистов будет не хватать, организациям придется справляться с этим препятствием своими силами.

Компании часто объединяют функции ИТ и информационной безопасности в рамках одного отдела из соображений удобства и ускорения бизнес-процессов, однако такой подход может противоречить принципу разделения обязанностей. Если мы говорим про средний и крупный бизнес, то борьба с угрозами не может вестись эффективно, если одни и те же сотрудники отвечают и за решение повседневных ИТ-задач, и за оценку киберрисков.

Как показал опрос «Лаборатории Касперского»*, только в 31% крупных компаний в России есть выделенный отдел кибербезопасности и лишь в каждой десятой организации — собственный центр мониторинга и реагирования на киберинциденты (SOC).

Только в 3% крупных российских компаний есть отдел киберразведки (Threat Intelligence) и в 2% — отдел анализа вредоносных программ. Но 58% опрошенных ожидают, что в следующие три года расходы на информационную безопасность в их компании вырастут. Основными предпосылками для увеличения бюджета респонденты называли растущую сложность корпоративной ИТ-инфраструктуры, которую нужно защищать, и необходимость повышать квалификацию сотрудников.

Бизнесу нужно развивать возможности своих отделов кибербезопасности, предоставляя им современные инструменты, а также обучать ИБ-экспертов новым навыкам и оказывать им всестороннюю поддержку.

К концу 2020 года в России не хватало около 18 500 специалистов по информационной безопасности. Об этом сообщили в Министерстве труда и социальной защиты России по итогам исследования, которое коснулось более 15 тысяч компаний по всей России.

Препятствие №5.
Проблема скорости

Последнее препятствие на пути к успешному разрешению сложных инцидентов является следствием четырех предыдущих. В борьбе с эксплойтами нулевого дня, атаками, использующими легитимное ПО, бесфайловыми атаками и комбинациями всего перечисленного крайне важно среагировать быстро – до нанесения весомого ущерба.

Сложный инцидент не обязательно начинается каким-то сложным способом. Часто для первичного проникновения в систему злоумышленники используют фишинговые письма. Разрушительные (и дорогостоящие) последствия многих сложных инцидентов можно было бы предотвратить, если бы реакция была быстрой.

Чем позже отреагировать на инцидент, тем выше уровень его сложности, особенно когда он является следствием сложных угроз, целевых и APT-атак. Утверждение о важности быстрой реакции может казаться упрощением, но нужно понимать, что именно имеется ввиду. Скорость не означает постоянное «тушение пожаров» и необходимость моментально реагировать на любые предупреждения. Скорость – это точное и последовательное выполнение основных процессов в рамках работы с инцидентом, решительное и последовательное. Эти процессы включают сбор данных, обнаружение угроз, расследование и анализ первопричин инцидента, проактивный поиск (Threat Hunting), сдерживание угрозы и реагирование на инциденты.

Реагирование на киберинциденты не обязательно должно быть сложным процессом. Чтобы облегчить его, нужно выстроить четкую структуру системы кибербезопасности, которая отвечает на вызовы, стоящие перед конкретной организацией (с учетом ее экспертизы, имеющихся инструментов, количества ИБ-персонала и специфики направленных на нее угроз).

Как преодолеть эти препятствия и сформировать успешную стратегию защиты от кибератак?

Мы призываем все средние и крупные организации с развитой ИБ-экспертизой внимательно следить за тремя основными показателями успешной стратегии защиты от сложных киберугроз и целевых атак и выстраивать работу служб кибербезопасности в соответствии с ними.

Инструменты

В области кибербезопасности даже квалифицированных сотрудников могут подвести инструменты, которые они используют. Для защиты от многовекторных и APT-атак требуются тесно взаимосвязанные инструменты, которые обеспечивает полную прозрачность того, что происходит в инфраструктуре, устраняют разрозненность, предотвращает избыток предупреждений, помогают сократить количество рутинных задач в процессе реагирования на инциденты и обеспечивают всестороннюю передовую защиту в соответствии с требованиями регуляторов.

Информация

Существующего опыта и знаний об угрозах, накопленного на практике, в организации не всегда достаточно. Горизонт киберпреступности постоянно смещается и расширяется, поэтому важно вовремя получать актуальные данные об угрозах и обеспечить процесс непрерывного обучения своего штата ИБ-специалистов.

Поддержка

В случае подозрений на компрометацию или уже обнаружения первых признаков сложных угроз даже у самых продвинутых аналитиков должна быть возможность прибегнуть к внешней поддержке и мнению третьей стороны для проведения анализа защищенности, оперативного реагирования на инциденты или получения круглосуточной защиты.

В «Лаборатории Касперского» понимают, c какими трудностями и вызовами сталкиваются компании при защите от сложных кибератак, и предлагают экспертный уровень защиты, в рамках которого выполняются все необходимые требования к стратегии защиты от сложных атак. Уровень Kaspersky Expert Security позволяет команде противостоять сложным угрозам и целевым атакам благодаря таким технологиями, как EDR, XDR, SIEM, а также уникальной аналитике угроз (Threat Intelligence), тренингам для специалистов и экспертным ИБ-сервисам.

Технологии мирового уровня, оперативные и достоверные данные об угрозах, передача знаний и всесторонняя поддержка со стороны «Лаборатории Касперского» — с Kaspersky Expert Security у экспертов есть всё необходимое, чтобы отражать кибератаки любого масштаба и сложности

Стратегия защиты

Как крупному бизнесу
противостоять киберугрозам

Читать

Пирамида
ИБ-потребностей

Почему управление кибербезопасностью
должно «расти» вместе с компанией

Читать