Дослідження SANSInstitute показує, що комерційні компанії інвестують у технології інформаційного захисту наступного покоління, але не використовують їхній потенціал повною мірою
Дослідження SANSInstitute показує, що комерційні компанії інвестують у технології інформаційного захисту наступного покоління, але не використовують їхній потенціал повною мірою
Купуємо, але не використовуємо
Комерційні компанії інтенсивно скуповують антивірусні рішення «наступного покоління» та інструменти детектування безфайлових кібератак, але далеко не всі вони мають ресурси для їх реального використання. Це випливає зі свіжого дослідження SANS Institute «Огляд захисту кінцевих точок та реагування на кіберінциденти» (Survey on Endpoint Protection and Response).
У публікації SANS вказується, що приблизно 50% комерційних організацій, представників яких опитували в рамках дослідження, інвестували у nextgen-технології, але 37% так і не запровадили їх у повній мірі. 49% компаній мають кошти виявлення безфайлових кібератак, але 38% також використовують їх захисту своїх систем. Тобто рівень невикористовуваності технологій дорівнює 74% та 77,5% відповідно.
Коментар експерта
«Ситуація, коли захисні технології купують, але не використовують як слід, нагадує відому байку Крилова. У будь-якому випадку, сьогоднішні захисні рішення неправильно називати просто антивірусами: традиційні антивіруси самі по собі давно неефективні. У свою чергу, технології "наступного покоління" - це зазвичай лише маркетингова бирка на інструментах, з різним ступенем успішності застосовуваних вже з початку десятиліття. Те, що така кількість корпоративних користувачів досі їх не впровадили, дуже дивує».
Антивірус — це лише частковий захист
Дослідники опитали 277 ІТ-експертів на тему того, які загрози хвилюють їх найбільше. 42% респондентів відповіли, що ключовою загрозою вважають експлойти для кінцевих точок. Роком раніше основну проблему називали 53% респондента. При цьому вже 20% респондентів заявили, що не мали поняття про інциденти, що відбулися в їхній інфраструктурі; торік цього року визнавали лише 10% опитаних.
У той час як бізнес-структури все активніше вкладаються в найпередовіші технології кіберзахисту, вони мають серйозні проблеми з їх впровадженням та використанням. Тим часом традиційні інструменти втрачають ефективність: за даними дослідження, тільки в 47% випадків антивіруси для кінцевих точок змогли ідентифікувати злом; у 32% сигнал тривоги подали автоматизовані SIEM-системи, ще в 26% випадків — просунуті платформи виявлення та реагування на кіберзагрози.
Велика частина атак спрямована на користувачів
На сьогоднішній день, як вказується в дослідженні, більшість атак на кінцеві точки по суті націлена на їх користувачів, а не на вразливість у ПЗ. Понад половина респондентів відзначили атаки типу drive-by, 53% — фішингові атаки та інші приклади соціальної інженерії. Також 50% респондентів зазначили, що їм доводилося мати справу із шифрувальниками-вимагачами. У 40% інцидентів фігурували вкрадені реквізити доступу.
Експерти зазначають, що у 84% випадків кібератаки на кінцеві точки зачіпають більше одного пристрою. У той час як найчастіше атакують настільні комп'ютери та ноутбуки, до прицілу зловмисників нерідко потрапляють сервери, хмарні пристрої, SCADA-системи та промислові пристрої інтернету речей. Хмарні ендпойнти стають об'єктом атаки дедалі частіше: якщо у 2017 р. на них припадало лише 40% згадок, то 2018 р. — уже 60%.
Дослідники окремо вказують, що незважаючи на тотальне поширення атак, націлених на користувачів, технології, покликані виявляти та блокувати такі загрози, використовувалися для їх виявлення дуже рідко. Лише 23% зломів було виявлено за допомогою технологій моделювання поведінки та лише 11% — за допомогою поведінкового аналізу.
Потрібно більше інформації
Коли відбуваються зломи, більшість компаній, мабуть, здатні відстежити їх джерело; 79% респондентів заявили, що не менш ніж у половині випадків здатні «прив'язати користувача до ендпойнтів та серверів»; 34% заявляють, що можуть це зробити завжди.
Збір даних завжди грає величезну роль при усуненні наслідків успішних кібератак, але далеко не всі організації здатні зібрати всі відомості, які їм для цього потрібні. Більшість респондентів хочуть отримати більше відомостей про доступ до мереж і більшу кількість даних користувача; 74% хочуть отримувати більше інформації від фаєрволів, систем запобігання вторгнень та об'єднаних систем управління ризиками; 69% респондентів хотіли б мати можливість проводити більш детальний аналіз трафіку.
