(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Отчет Intel Security раскрывает проблемы своевременного реагирования на целевые атаки

Источник: crn

Новый отчет "Tackling Attack Detection and  Incident Response" ("Как решить проблемы детектирования атак и реагирования на инциденты"), подготовленный Enterprise Strategy Group (ESG) по заказу компании Intel Security, исследует ИБ-стратегии различных организаций; технологические особенности кибератак; проблемы, связанные с поздним реагированием на инциденты; и необходимые меры, которые компании обязаны предпринять с учетом этих реалий. Исследование показало, что ИБ-сотрудники буквально завалены инцидентами: в прошлом году среднее количество расследований инцидентов составило 78 на компанию, притом 28% от общего числа инцидентов составили целевые атаки - один из самых опасных и потенциально вредоносных видов кибератак. Согласно опросу представителей ИТ- и ИБ-отрасли, основными методами повышения эффективности работы ИБ-персонала являются более совершенные инструменты детектирования и анализа угроз, а также более глубокое изучение природы инцидентов для определения наиболее оптимальной стратегии отражения атаки.

"Если говорить о детектировании инцидентов и реагировании на них, основным фактором, влияющим на масштаб нанесенного организации урона, является время, - утверждает Джон Ольтсик ( Jon Oltsik ), старший аналитик в  ESG .  - Чем больше времени требуется учреждению на отслеживание, расследование и реагирование в случае кибератаки, тем выше вероятность того, что предпринятых мер будет недостаточно для предотвращения утечек конфиденциальной информации, а это, в свою очередь, может стоить организации очень больших денег. Основываясь на этом выводе, директорам по информационной безопасности нужно осознать: сбор и обработка информации об атаке - это шаг к тому, чтобы повысить эффективность детектирования угроз и реагирования на них".

Более тесная интеграция

Почти 80% опрошенных уверены, что низкая степень интеграции и недостаточная коммуникация между элементами системы безопасности вызывает эффект "бутылочного горлышка" и мешает средствам обеспечения безопасности своевременно распознавать угрозы и реагировать на них. Максимальная прозрачность работы ИБ-систем в реальном времени очень важна для своевременного реагирования на целевые атаки; в этой связи 37% респондентов подчеркнули, что необходимо обеспечивать более тесную интеграцию между системами анализа угроз и ИТ-системами. Кроме того, наиболее затратные с точки зрения времени задачи - определение площади атаки и принятие мер для минимизации ее последствий - можно было бы выполнять более оперативно при условии более тесной интеграции инструментов защиты. Таким образом, в похожих на лоскутное одеяло архитектурах, состоящих из десятков ИБ-продуктов, образуются разрозненные инструменты, консоли, процессы и отчетности, работа с которыми по отдельности занимает очень много времени. Такие архитектуры провоцируют лавинообразный рост данных, генерируемых в прогрессии во время атак, что, в конечном итоге, не позволяет вовремя заметить срабатывание важных индикаторов.

Прозрачность процессов

ИБ-эксперты, которых опросили в ходе подготовки отчета, утверждают, что способность видеть состояние систем защиты в реальном времени страдает от недостаточного понимания паттернов поведения пользователей, сети, приложений и хостов. Четыре самых часто встречающихся типа собираемых системами безопасности данных связаны с поведением сети, а 30% систем собирают данные об активности пользователей - очевидно, что нельзя ограничиться просто сбором данных. Пользователям требуется помощь для контекстуализации данных и дальнейшего понимания, в каком случае поведение пользователя можно признать подозрительным. Этот разрыв может объяснить, почему почти половина организаций (47%) признала, что определение масштаба или потенциального вреда атаки потребовало так много времени.

Улучшенные средства аналитики

Пользователи понимают, что нужно перестать концентрироваться на сборе огромных объемов информации о событиях и угрозах, чтобы выделить время для использования этих данных с целью детектирования и анализа инцидентов. 58% респондентов утверждают, что им необходимы более совершенные инструменты детектирования (инструменты статического и динамического анализа, интегрированные с информацией об известных угрозах, хранящейся в облаке, для анализа файлов на предмет наличия угроз). 53% опрошенных считают, что им нужны более совершенные инструменты аналитики, чтобы превращать данные об угрозах в информацию, необходимую для совершения действий. Треть опрошенных (33%) нуждаются в решениях, позволяющих корректно задать "нормальный" уровень функционирования ИБ-систем, чтобы быстрее распознавать отклонения.

Наработка опыта

Опрошенные специалисты признали недостаток осведомленности о ландшафте угроз информационной безопасности и низкий уровень навыков в области расследования инцидентов, отметив при этом, что даже более высокий уровень интеграции элементов ИБ-систем или улучшенные средства аналитики не помогут, если ИБ-специалисты не смогут правильно интерпретировать полученную информацию. Например, только 45% участников опроса считают, что обладают достаточными знаниями в области техник обфускации вредоносного ПО, а 40% признают потребность в повышении своих навыков и осведомленности в области кибербезопасности.

Автоматизация для активных действий

Растущее количество расследований инцидентов и ограниченные ресурсы и навыки побуждают респондентов повысить эффективность детектирования угроза и реагирования на инциденты. 42% опрошенных отметили, что принятие мер по минимизации последствий атаки - это самая затратная с точки зрения времени задача. 27% хотели бы в больше степени автоматизировать аналитику угроз на базе полученных от ИБ-систем данных, чтобы сделать возможным реагирование в реальном времени. 15% хотели бы использовать средства автоматизации, чтобы высвободить больше времени ИБ-сотрудников для более важных дел.

"Аналогично тому, как в области медицины критически важно доставить пациента с сердечным приступом в больницу в течение максимально короткого времени, чтобы повысить шансы на удачный исход, так и ИБ-специалистам важно сократить время, требуемое на обнаружение и отражение атаки, чтобы максимально снизить урон, - подчеркивает Крис Янг ( Chris Young ), генеральный менеджер  Intel  Security .  - Чтобы добиться этого, нужно найти ответа на сложные вопросы, чтобы понять, где мы недорабатываем, и переосмыслить принципы, на которых мы строим защиту систем".

По мнению ESG, исследование позволяет выделить рекомендации, позволяющие сократить время выявления атаки и принять своевременные меры для нивелирования возможного ущерба:

  • Создать архитектуру ИБ, отличающуюся высокой степенью интеграции: Отдельные ИБ-решения стоит интегрировать в единую ИБ-архитектуру. Такая стратегия позволяет иметь общую картину об атаке, основываясь на сведениях, полученных с различных ИБ-устройств, а также увидеть проявления угрозы на различных уровнях в рамках корпоративной инфраструктуры: на уровне поведения пользователя, оконечной точки и сети. Необходимо достичь более высокой степени координации и релевантности реагирования.
  • Основывать работу стратегии кибербезопасности на мощной аналитике, делая упор на качество, а не на количество информации: Стратегии кибербезопасности нужно базировать на мощных средствах аналитики. Это значит сбор, обработку и анализ обширной внутренней (журналы действий (логи), потоки данных, пакеты, проверка оконечной точки, статический и динамический анализ зловредов, паттерны поведения пользователя или приложения) и внешней (анализ угроз, уведомления о уязвимостях) информации.
  • Максимально автоматизировать процессы детектирования инцидентов и реагирования на них:Так как организациям придется постоянно противодействовать усложняющимся с каждым днем атакам, ИБ-руководители должны опираться на автоматизированные средства защиты: передовые средства анализа вредоносного ПО, интеллектуальные алгоритмы, машинное обучение, а также сравнение паттернов в нормальном поведении корпоративных систем с тактиками, техниками и процедурами, используемыми киберпреступниками в ходе атак.
  • Постоянно усваивать новую информацию об угрозах: ИБ-руководители должны организовывать регулярные тренинги для сотрудников ИБ-отделов с целью повышения уровня осведомленности о природе угроз и наработанных практиках для эффективного отражения угроз.


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 16.04.2015 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Microsoft 365 Apps for business (corporate)
Rational ClearQuest Floating User License
Zend Guard 1 Year Subscription
ABBYY FineReader 14 Standard Full
IBM RATIONAL Rose Enterprise Floating User License + Sw Subscription & Support 12 Months
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Компьютерный дизайн - Все графические редакторы
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Новые материалы
Проект mic-hard - все об XP - новости, статьи, советы
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100