Гарда: расследование инцидентов остается самой ресурсоемкой задачей российских ИБ-команд

Гарда: расследование инцидентов остается самой ресурсоемкой задачей российских ИБ-команд

изображение: grok

Компания «Гарда» (входит в ИКС Холдинг) провела исследование практик реагирования на ИБ-инциденты в российских организациях. Результаты исследования аналитического центра компании показывают: ручное управление реагированием остается заметным ограничением информационной безопасности российского бизнеса.Более половины компаний не имеют полной инвентаризации активов. При этом наиболее трудоёмким этапом остается расследование инцидентов, для 33% компаний анализ логов и поиск индикаторов компрометации занимают больше всего времени среди неавтоматизированных этапов реагирования. Ситуацию осложняет нехватка квалифицированных специалистов и современных инструментов для активного реагирования, а также анализ только качественных метрик. В итоге ИБ-команды не всегда успевают заниматься профилактикой и проактивным поиском ИБ-угроз.

Исследование показало, что многие компании пока не обладают полной картиной состава и состояния собственной инфраструктуры. 57% организаций не проводят полную инвентаризацию и классификацию активов по критичности, в лучшем случае она ведется вручную и только для основных серверов и ключевых бизнес-систем, что приводит к замедлению расследования инцидентов ИБ. В организациях с численностью до 250 сотрудников автоматизация инвентаризации и классификации активов достигает 50%. По мере роста бизнеса до 1000 и затем до 5000 человек этот показатель снижается до 39% и 30% соответственно. Именно такие компании обычно работают с частично ручными процессами учета активов. При переходе в сегмент свыше 5000 сотрудников уровень автоматизации снова вырастает и возвращается к отметке 50%.

Дополнительным ограничением реагирования на инциденты остается нехватка кадров и экспертизы – на это указали более половины респондентов. Недостаточный уровень автоматизации и длительная эскалация инцидентов, осложненная анализом данных, также влияют на реагирование. В сегменте от 1000 до 5000 человек на первый план выходит отсутствие автоматизации, за которой следуют кадровые ограничения и затянутая эскалация внутри компании.

В организациях с численностью от 250 до 1000 сотрудников кадровый вопрос особенно выражен – его отметили 70% опрошенных. Недостаток автоматизации и слабая формализация процессов также существенно замедляют реагирование. Для малого бизнеса характерна комбинированная нагрузка: нехватка специалистов, сложность анализа данных и низкий уровень автоматизации.

О ресурсных ограничениях ИБ-команд свидетельствует и скорость обнаружения инцидента, время выявления которого часто занимает до суток, что повышает риск ущерба. После фиксации события команды в большинстве случаев обнаруживают инцидент в течение четырех часов, однако основная задержка возникает на этапе расследования, где не хватает данных и людей. В таких условиях любая сложная атака растягивает время простоя систем и потенциальный ущерб для бизнеса.

Также опираясь на исследование, можно сделать вывод, что фишинг и компрометация учетных записей сохраняют лидерство среди инцидентов, которые требуют больше всего ресурсов. Это подтверждает, что человеческий фактор по-прежнему остается основным вектором атак.

Наиболее востребованные автоматические действия при реагировании – блокировка IP-адресов и доменов (49%), отключение учётных записей (46%) и изоляция зараженных устройств (35%). Это показывает, что приоритетными объектами автоматизации выступают сетевые коммуникации и управление доступом. Именно в этих областях сосредоточен основной потенциал для сокращения времени реакции и снижения нагрузки на аналитиков.

Самым трудоемким ручным этапом остается расследование инцидентов. В организациях с численностью свыше 5000 сотрудников его назвали самым затратным 42% респондентов. Далее следуют исправление и восстановление систем (19%), а также принятие решений (15%). Это указывает на высокую нагрузку на аналитический и управленческий контуры при сложной инфраструктуре.

В сегменте от 1000 до 5000 человек больше всего времени занимает исправление и восстановление систем (29%), а также координация между подразделениями и расследование – по 24% на каждый этап. Компании с численностью от 250 до 1000 сотрудников чаще всего сталкиваются с задержками на этапе кроссфункциональной координации – 35%. Расследование и восстановление систем занимают сопоставимую долю – по 30%. В малом бизнесе наиболее трудоемкими остаются координация и расследование – по 31%, далее следует восстановление систем – 25%.

Приоритеты в использовании данных для принятия решений при реагировании зависят от масштаба компании, однако три категории стабильно входят в число основных: логи аутентификации, данные о сетевом трафике и журналы конечных устройств. Эти источники предоставляют наиболее объективную и оперативную информацию о событиях, позволяя выявлять аномалии, отслеживать перемещения злоумышленников и подтверждать факты компрометации.

Дополнительным фактором, ограничивающим системное улучшение процессов, остается доминирование количественных метрик в оценке эффективности реагирования. Почти половина компаний учитывают число инцидентов за месяц, более трети – долю ложных срабатываний, тогда как качественные показатели (MTTR, MTTD, процент успешно устраненных угроз) используются значительно реже. Такой подход не позволяет объективно оценить предпринимаемые меры и определить, какие конкретные этапы реагирования требуют оптимизации в первую очередь.

Заказчики уже выстроили базу для обработки инцидентов вокруг SIEM. На данный момент SIEM является наиболее распространенным инструментом – его используют 52% компаний. При этом специализированные решения для активного реагирования (XDR, SOAR, EDR и NDR) применяются значительно реже. По мере роста компании ИБ-ландшафт усложняется и возрастает потребность в дополнительном контексте для расследования сложных инцидентов. Так, в организациях с численностью от 1000 до 5000 сотрудников решения класса NDR используют уже 35% респондентов. Это указывает на нереализованную потребность в профессиональных инструментах реагирования, способных не только детектировать угрозы, но и обеспечивать оркестрацию действий по их блокировке и расследованию инцидентов. На основе полученных данных можно предположить востребованность и дальнейшее активное развитие этих классов решений на российском рынке в ближайшие несколько лет.

«Расследование инцидентов остается ключевым вызовом для многих организаций. По мере роста инфраструктуры увеличивается объем событий, усложняется технологический стек и возрастает нагрузка на аналитиков. При этом современные атаки все чаще строятся на использовании легитимных инструментов и горизонтальных перемещений внутри сети, затрудняя их выявление традиционными средствами защиты. Поэтому рынок движется в сторону поведенческого анализа, машинного обучения и автоматической приоритизации событий. Такие технологии позволяют быстрее находить действительно опасные инциденты, сокращать количество ложных срабатываний и высвобождать ресурсы экспертов для задач проактивной защиты», – отметил Станислав Грибанов, руководитель продуктового направления компании «Гарда».

Гарда
Автор: Гарда
«Гарда» (входит в ИКС Холдинг) — разработчик решений для защиты корпоративных данных и сетевой безопасности. Решения «Гарды» применяют в крупнейших государственных организациях и корпорациях, используют для защиты 50% всего российского интернета от DDoS-атак и безопасности цифровых сервисов и мероприятий федерального масштаба. Продуктовый портфель компании построен на основе технологий собственной разработки, которые не требуют сторонних лицензий, включены в Единый реестр российского ПО и сертифицированы ФСТЭК России.
Комментарии: