CardinalOps: корпоративные SIEM пропускают около 76% всех применяемых техник MITRE ATT&CK

Компания по кибербезопасности CardinalOps выпустила отчет Third Annual Report on the State of SIEM Detection Risk, в котором заявлено, что корпоративные SIEM пропускают около 76% всех применяемых техник MITRE ATT&CK.

Уточняется, что в документе проанализированы реальные данные из производственных SIEM, включая Splunk, Microsoft Sentinel, IBM QRadar и Sumo Logic. По мнению отраслевых экспертов, SIEM продолжает оставаться «операционной системой SOC» и в ближайшее время вряд ли исчезнет.

Специалисты компании CardinalOps заявили, что на сегодняшний день перед большинством предприятий стоит задача непрерывной оценки и повышения эффективности существующих SIEM с применением стандартных сред, таких как MITRE ATT&CK, для измерения их готовности к выявлению киберугроз с наивысшим приоритетом.

Ключевые моменты отчета Third Annual Report on the State of SIEM Detection Risk:

• Корпоративные SIEM выявляют не более 24% всех техник MITRE ATT&CK. Это значит, что они не обнаруживают примерно три четверти всех методов, которые злоумышленники применяют для развертывания вымогательского ПО, кражи конфиденциальной информации и проведения иных кибератак.
• SIEM уже собирают достаточно информации для охвата 94% всех методов MITRE ATT&CK. Но многие компании до сих пор полагаются на ручные и подверженные ошибкам процессы разработки новых средств выявления угроз, что осложняет сокращение быстрое устранение пробелов в безопасности.
• 12% правил SIEM нарушают и никогда не сработают из-за проблем с качеством данных (например, неправильно настроенные источники данных и отсутствующие поля), что приводит к высоким рискам взлома из-за невыявленных кибератак.
• Корпоративные SIEM следуют передовым методам и собирают данные с нескольких уровней безопасности: конечные точки Windows (96%), сеть (96%), IAM (96%), Linux/Mac (87%), облако (83%) и электронная почта (78%).

Полная версия отчета представлена по ссылке.