ИБ захлебнулась в алертах и мёртвой аналитике. Всё полыхает… а тушить некому

Исследование , проведённое Forrester Consulting по заказу Google Cloud, выявило резкий дисбаланс между объёмом поступающей информации о киберугрозах и возможностями специалистов по её обработке. Опрос охватил 1541 участника на уровне директора и выше из восьми стран — включая США, Великобританию, Канаду, Германию, Францию, Японию, Австралию и Сингапур — и 12 различных отраслей. Все респонденты представляли организации с численностью сотрудников не менее тысячи человек.

Более 60% опрошенных заявили, что их команды перегружены потоком сведений о потенциальных инцидентах. Из них 61% отметили полную неспособность справляться с текущими объёмами данных. Ещё 60% сообщили о нехватке квалифицированных кадров для их анализа, а 59% затрудняются с оценкой релевантности и достоверности поступающих индикаторов. Столько же респондентов указали, что не могут оперативно превращать поступающую информацию в конкретные действия по защите.

В результате компании всё чаще действуют не на опережение, а в режиме реагирования — 72% признали, что их организации устраняют угрозы уже после наступления инцидентов. Особенно остро эта проблема стоит в сфере промышленности: 89% представителей производственного сектора выразили тревогу, что из-за шквала тревожных сигналов можно не распознать действительно опасную атаку.

Как подчёркивается в отчёте, повышенная уязвимость предприятий обрабатывающей отрасли может быть связана с особенностями их технологической базы. В отличие от стандартных ИТ-инфраструктур, промышленные системы включают в себя широкий набор оборудования — от ПЛК до SCADA — которое требует иного подхода к анализу угроз. При этом многие внешние подрядчики не обладают достаточной экспертизой в этих специфических средах, чтобы корректно интерпретировать полученные сигналы и реагировать на них.

Опрос также показал серьёзный разрыв в восприятии угроз между ИБ и топ-менеджментом. В среднем 80% участников считают, что руководство недооценивает масштабы киберрисков. В компаниях, работающих в сфере информационных технологий и цифровых сервисов, эта доля достигла 84%. Авторы предполагают, что такой перекос объясняется акцентом на скорость внедрения новых решений и инновации, при менее строгом регулировании в сравнении с другими секторами экономики.

В числе наиболее тревожащих угроз на ближайший год лидируют фишинг и кража учётных данных (46%). Далее следуют атаки с применением программ-вымогателей и схем многоэтапного шантажа (44%). Инъекции через ИИ-промпты беспокоят 34% респондентов. На третьем месте с одинаковым результатом (по 41%) — риски, связанные с квантовыми технологиями, и уязвимости в цепочках поставок. Остальные угрозы распределились следующим образом: действия инсайдеров (29%), DDoS-атаки (27%), атаки со стороны государств (21%), скрытая добыча криптовалюты (18%) и шпионская активность (17%).

Что можно сделать? Например, пересмотреть сам подход к threat intelligence. Главное — перестать воспринимать его как поток данных и начать трактовать как процесс. Без сопоставления индикаторов с реальными сценариями атак, их анализа и обогащения, такой поток лишь создаёт иллюзию осведомлённости и перегружает аналитиков.

Также подчёркивается, что наращивание количества используемых платформ без чёткого понимания их назначения и сценариев применения не приносит пользы. Эффективность достигается тогда, когда аналитика встроена в бизнес-процессы и помогает отвечать не только на вопрос "что происходит", но и "почему это имеет значение для нашей организации".