Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Взлом по подписке: ИИ-агенты против вашего мобильного приложения

Вебинар пройдет 2 июля, начало в 14:00. Разберем, как сделать взлом вашего приложения невыгодным для злоумышленника

Гарда: ручные расследования – главная боль ИБ-команд

36537
Гарда информационная безопасность исследование
Гарда: ручные расследования – главная боль ИБ-команд
Гарда информационная безопасность исследование

Расследования – самый долгий этап для 30% компаний, а SIEM не закрывает потребность в автоматизации

image

Аналитический центр группы компаний «Гарда» представил исследование, посвященное тому, как российские компании выстраивают процессы реагирования на инциденты информационной безопасности. В опросе приняли участие представители организаций из разных отраслей: ИТ и телекома, государственных учреждений, финансового сектора, промышленности, ритейла и e-commerce, транспорта и логистики. Выборка охватила все основные сегменты по размеру бизнеса: от малых компаний (до 250 сотрудников) до крупнейших (свыше 5000 человек).

Результаты показывают прямую зависимость между зрелостью реагирования и масштабом компании. Крупные организации активнее внедряют сложные комбинации SIEM, SOAR и XDR, но по мере роста бизнеса управленческая сложность тоже растет: увеличивается число вендоров, затрудняется координация между системами. При этом отраслевые различия также заметны: финансы и ритейл опережают другие отрасли по уровню автоматизации расследований, тогда как промышленность и телеком пока отстают, особенно в части автоматизации инвентаризации активов.

Главный инструмент, на который сегодня полагается большинство компаний, — SIEM. Его используют 52% организаций. Специализированные решения для активного реагирования – XDR, SOAR, EDR и NDR – пока встречаются значительно реже. Это говорит о том, что рынок не закрыл потребность в инструментах, которые не просто собирают и коррелируют события, но и автоматически реагируют на атаки. Можно отметить, что в сегменте компаний с численностью от 1000 до 5000 сотрудников решения класса NDR уже применяет каждый третий (35%) — это свидетельствует о растущем запросе на сетевой контекст при расследованиях.

Самым трудоемким этапом во всем цикле реагирования остается расследование. Для более чем 30% компаний анализ логов и поиск индикаторов компрометации самые сложные среди всех ручных этапов. Основные причины — нехватка квалифицированных кадров (на это указали более половины респондентов) и отсутствие современных инструментов для автоматизации расследований. Особенно остро кадровая проблема чувствуется в компаниях с численностью от 250 до 1000 сотрудников — там о ней заявили 70% опрошенных.

Еще один барьер — недостаточная видимость собственной инфраструктуры. Более половины организаций (57%) не проводят полную инвентаризацию и классификацию активов по критичности. В лучшем случае такая работа ведется вручную и только для ключевых серверов. Это напрямую влияет на качество реагирования: без понимания, какие активы для бизнеса наиболее важны, невозможно правильно расставить приоритеты при инциденте.

Наиболее востребованными автоматическими действиями при реагировании оказались блокировка IP-адресов и доменов (49%), отключение учетных записей (46%) и изоляция зараженных устройств (35%). Это показывает, что основные точки приложения автоматизации сегодня – сетевые коммуникации и управление доступом. Именно здесь сосредоточен наибольший потенциал для сокращения времени реакции и снижения нагрузки на аналитиков.

Исходя из выводов исследования, рынок движется в сторону платформенных решений, однако их полноценная реализация – сложная инженерная задача, требующая серьезных инвестиций, времени и глубокой проработки корреляций. На переходном этапе уже доступны специализированные инструменты, закрывающие критичные участки защиты: контроль сетевого трафика, защита баз данных, анализ угроз и веб-приложений. Они позволяют уже сейчас автоматизировать реагирование и снижать нагрузку на команды.

Полный текст исследования доступен на сайте «Гарда»