Как измеряли эффективность?
В основе исследования лежал анализ 20 812 наблюдений за 194 уникальными техниками атак, классифицированными по фреймворку MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge). Данные были собранны собственной командой по управлению инцидентами, а также из оценки убытков страховых случаев. Исследователи рассмотрели шесть ключевых контролей, которые киберстраховщики чаще всего требуют от клиентов в качестве обязательного минимума:
- Резервное копирование и безопасное хранение резервных копий (Backups)
- Многофакторная аутентификация для удаленного доступа (Multi-Factor Authentication, MFA)
- Управление привилегированными учётными записями (Privileged Access Management, PAM)
- Обнаружение и реагирование на конечных устройствах (Endpoint Detection and Response, EDR)
- Обучение безопасности для повышения осведомлённости (Security Awareness Training)
- Фильтрация электронной почты (Email Security Filtering)
Метрикой эффективности выступил уровень защиты — процент от всех наблюдаемых в году атакующих техник, которые конкретная мера способна нейтрализовать.
Методология была основана на теоретически известной способности контроля защитить от техники, а не на измерении его фактической эффективности в каждом конкретном зафиксированном инциденте. Связь устанавливалась, если контроль вообще считается средством защиты от этой техники по известным данным (например, из базы знаний MITRE ATT&CK).
Тревожная динамика: стандартизация как подарок злоумышленникамРезультаты исследования показали резкое падение эффективности не только отдельных мер, но и их совокупного влияния на уровень защиты — с 96% в 2019 году до 48% в 2023 году. Падение совпало по времени с повсеместным внедрением этих мер под давлением страхового рынка.
Парадокс: то, что должно было поднять общий уровень безопасности, в итоге сделало защиту предсказуемой. Злоумышленники, изучив «стандартный набор» рекомендаций, стали просто обходить его, диверсифицируя свои методы.
Глубже в цифры: лидеры, аутсайдеры и главные сюрпризыДетальный анализ данных раскрывает еще более тревожные тенденции.
Управление привилегированными учётными записями (Privileged Access Management, PAM) долгое время было самым эффективным средством, нейтрализовавшим около 34% атак в 2019-2022 годах. Однако в 2023 году его эффективность рухнула почти вдвое – до 18%. Это сигнализирует о том, что атакующие нашли целенаправленные способы обхода этой ключевой меры.
Фильтрация почты и резервное копирование на протяжении всех 5 лет показывали близкую к нулю эффективность против общего спектра угроз (менее 1%). Это не делает их бесполезными – они критически важны против конкретных угроз и для восстановления работы инфраструктуры. Но их вклад в защиту от всего многообразия атак по MITRE ATT&CK оказался минимален.
Самая нестабильная мера — человек. Эффективность тренингов по кибербезопасности демонстрировала высочайшую волатильность: с 22% в 2019 она снизилась до 9% в 2020, а в 2022 году упала до 5%. Это доказывает, что человеческий фактор — самый непредсказуемый элемент защиты, а атаки методами социальной инженерии быстро адаптируются.
Пик хакерской активности пришелся на 2022 год. Именно тогда было зафиксировано рекордное количество атакующих техник - 5873. Это указывает не только на качественную, но и на количественную эскалацию угроз. Ежегодно хакеры разрабатывают до 200 уникальных методов кибервзлома и проникновения в ИТ-инфраструктуру.
Почему «золотой стандарт» больше не золотойВыводы исследования служат тревожным сигналом не только для страхового рынка, но и для всего подхода к управлению киберрисками. Авторы сделали два ключевых вывода:
- Высокая волатильность угроз. Резкое снижение эффективности контролей демонстрирует, что киберландшафт меняется слишком быстро, чтобы статичный набор мер мог ему долго противостоять.
- Адаптивность атакующих. Минимальные требования страховщиков подняли базовый уровень безопасности, но одновременно создали для хакеров четкий и унифицированный ориентир для разработки обходных путей.
Таким образом, основная проблема кроется не в самих базовых мерах — многие из них по-прежнему критически важны, — а в философии их применения. Универсальный чек-лист мер безопасности уходит в прошлое. На смену ему должна прийти «экология защиты» — гибкая и интеллектуальная.
Рекомендации: от шаблона — к индивидуальному подходуВместо единой для всех политики безопасности стоит рассмотреть два альтернативных пути:
- Руководствоваться данными Threat Intelligence. Организации и их консультанты должны постоянно отслеживать актуальные векторы атак и обновлять «лучшие практики», основываясь на реальных данных, а не на устаревших шаблонах.
- Внедрять индивидуальные меры защиты. Безопасность должна быть кастомизированной. Набор контролей необходимо подгонять под конкретную организацию с учетом отрасли, размера, географии и уникального профиля угроз. Непредсказуемая для злоумышленника защитная стека — гораздо более «крепкий орешек».
Даже если отбросить возможный маркетинговый подтекст исследования, его главный вывод остается крайне ценным и, увы, для многих все еще неочевидным.
Слепое, бесцельное внедрение даже самых продвинутых мер без предварительного анализа угроз и понимания контекста бизнеса обречено на низкую эффективность. Угрозы стали целевыми и адаптивными, а значит, и защита должна быть такой же.
Киберразведка угроз Threat Intelligence теперь — это не просто опциональный сервис, а критически важный инструмент, позволяющий перейти от реактивной обороны к проактивной и интеллектуальной стратегии безопасности.
WONE IT оказывает полный комплекс услуг по информационной безопасности — от поставки и внедрения решений, до оперативной помощи в случае кибератак. Наши эксперты на практике доказали свой профессионализм и высокий уровень предоставляемых услуг по защите инфраструктуры наших заказчиков.
