Компании тонут в потоке данных о киберугрозах и не понимают, где реальная опасность

изображение: grok
Организации собирают рекордные объёмы информации о собственной защищённости, но реагировать на настоящие угрозы быстрее не стали. Согласно исследованию Filigran, 93% компаний не могут собрать единое представление о своей поверхности атаки, а аналитики тратят почти половину рабочего времени на разбор уязвимостей, которые в итоге оказываются неопасными. Для российских специалистов по информационной безопасности картина знакомая — избыток источников телеметрии при остром дефиците смысла.
Практически каждая корпоративная система превратилась в поставщика сигналов о безопасности. Облачные сервисы, локальная инфраструктура, средства контроля внешнего периметра, сканеры уязвимостей, платформы разведки и системы мониторинга формируют колоссальный ежедневный поток. Дефицита данных нет уже давно — есть острая нехватка возможности превратить эту массу в понятные решения.
Из опрошенных Filigran организаций только 41% сообщили, что располагают консолидированной картиной уровня киберрисков. Остальные вынуждены работать с информацией, размазанной по десяткам разрозненных инструментов и сервисов, где один и тот же инцидент может отображаться совершенно по-разному в трёх соседних консолях.
Само по себе накопление сведений уровень защищённости не повышает. Реальную пользу приносит сопоставление внутренних данных об инфраструктуре, конфигурациях и активах с внешней разведкой об инструментах и текущих целях злоумышленников. Только такая связка даёт понять, какие угрозы действительно требуют реакции сейчас, а какие можно отложить.
Стоит обратить внимание, что 99% центров мониторинга уже используют платформы анализа угроз, но лишь 45% компаний смогли встроить получаемую информацию в ежедневные рабочие процессы. Остальные держат дорогой инструмент, к которому обращаются от случая к случаю.
В среднем каждая организация подключена сразу к 14 источникам разведывательной информации, девять из которых открытые. Каждое новое подключение расширяет охват, но одновременно нагружает специалистов, которые вынуждены руками сводить всё это в единый формат. Ситуация выглядит так:
- телеметрия из облака приходит в одном виде, из EDR — в другом, из сканеров периметра — в третьем;
- часть индикаторов дублируется, часть противоречит друг другу;
- контекст об активе, к которому относится сигнал, часто отсутствует;
- приоритизация выполняется руками аналитика по остаточному принципу;
- метрика попадания угрозы в отчёт руководству зависит от того, кто дежурил ночью.
Даже наличие полной информации далеко не всегда позволяет отличить реально опасную уязвимость от косметической. Атакующие часто эксплуатируют давно известные проблемы, до которых у защитников не дошли руки. При этом 97% организаций признались, что не могут уверенно оценить практическую возможность эксплуатации найденных уязвимостей — то есть буквально не знают, стреляет ли ружьё, которое висит на стене.
Технический директор Filigran Жюльен Ришар оценил положение дел жёстко — по его словам, современные компании буквально утопают в информации, поступающей из большого числа источников, и без постоянной проверки и разумной расстановки приоритетов эти массивы данных начинают создавать лишь информационный шум вместо прозрачности. Он полагает, что эффективное управление рисками невозможно без прямой связи между анализом угроз, проверкой уязвимостей и процессами их устранения.
Ручная обработка сведений остаётся главным фактором, растягивающим срок между обнаружением проблемы и её закрытием. К этому добавляется целый набор помех:
- сложности интеграции инструментов между собой;
- нехватка квалифицированных аналитиков на рынке;
- страх задеть продуктив во время проверки;
- длинные согласования с владельцами систем;
- отсутствие внятных SLA на устранение внутри бизнеса.
Рядовые специалисты жалуются на эти трудности заметно чаще руководителей. Разрыв в восприятии особенно виден там, где нужно встроить проверку защищённости в существующие процедуры и получить поддержку сверху при закрытии обнаруженных рисков — руководителям кажется, что процесс налажен, инженерам — что они бьются в стену.
Интересно, что аналитики тратят в среднем 42% рабочей недели, а это порядка 17 часов, на разбор угроз, которые впоследствии признаются низкоприоритетными либо в принципе не могут быть реализованы атакующими. Почти половина времени команды уходит в песок.
Отдельный блок исследования посвящён программам Continuous Threat Exposure Management, сокращённо CTEM. Компании, которые уже внедрили этот подход, активнее применяют современные платформы GRC, инструменты оценки защищённости облака, решения для эмуляции атак и средства анализа внешней поверхности. Классический пентест у них проводится реже, а доля собственных разработок в стеке практически не меняется. Зрелость программ CTEM исследователи напрямую связывают с более комплексной оценкой киберрисков.
В ближайшие два года организации рассчитывают ощутимо расширить использование искусственного интеллекта в управлении безопасностью. Сейчас алгоритмы участвуют примерно в трети процессов оценки рисков, но компании ждут дальнейшего роста. Основные надежды возлагаются на:
- автоматическое выявление угроз в потоке телеметрии;
- оценку реальной возможности эксплуатации уязвимостей;
- определение очередности устранения самых опасных проблем;
- сокращение ручного труда аналитиков первой линии;
- быструю проверку гипотез по индикаторам компрометации.
Региональные различия выражены сильно. Консолидированной картиной защищённости обладают 52% компаний Северной Америки, 37% в EMEA и 31% в Азиатско-Тихоокеанском регионе. Российские организации формально попадают в блок EMEA, но по факту работают в собственной реальности с ограниченным доступом к западным вендорам и с растущей долей отечественных платформ Threat Intelligence и XDR, что усиливает и без того острую проблему разрозненных данных. Разницу между регионами авторы связывают со зрелостью процессов управления рисками и глубиной интеграции анализа угроз в ежедневную работу служб ИБ.
Эксперты редакции CISOCLUB уточнили, что диагноз Filigran точно описывает и российский рынок — у большинства команд ИБ проблема не в нехватке данных, а в отсутствии сквозной приоритизации. Пока сигнал из внешнего сканера, внутренние уязвимости и разведка угроз живут в трёх разных консолях, любой аналитик неизбежно будет тратить часы на разбор шума. Внедрение CTEM и осмысленное применение ИИ для скоринга уязвимостей выглядят разумным ответом, но только там, где бизнес готов дать команде ИБ мандат закрывать риски по приоритету, а не по алфавиту.
Российским компаниям в условиях импортозамещения предстоит собрать этот контур практически заново, и от того, насколько грамотно будут выстроены связки между отечественными TI, VM и SOC-платформами, напрямую зависит скорость реакции на реальные инциденты. Без такой интеграции покупка любого нового инструмента лишь увеличит объём шума.



