Журнал "Information Security/ Информационная безопасность" #5, 2021

Глобальные организации используют в среднем 29 решений для мониторин- га, а представители органи- заций, насчитывающих более 10 тыс. сотрудников, имеют дело в среднем с 46 такими инструментами. С одной стороны, органи- зации вынуждены платить за лицензии и обслужива- ние инструментария, с дру- гой – команды SOC все чаще подвергаются стрессу, пытаясь управлять несколь- кими решениями одновре- менно. Это означает, что ИБ- руководители (CISO) и топ-менеджмент компа- ний должны признать, что их организация с большой вероятностью станет или уже стала жертвой киберинцидента. Ключевым моментом здесь является поиск злоумышленников до того, как они успеют нанести серьезный ущерб. И главный участник этого поиска – операционный центр безопасности, SOC (Secu- rity Operations Center). SOC собирает все данные для мониторинга, обнаружения и реагирования на киберугрозы. По замыслу он должен был стать эффективным способом управления растущими кибер- рисками. Однако в реальности многие команды с трудом справляются с огромным переч- нем задач, решения которых ожидают от них CISO. Это ска- зывается не только на работе, но и на личной жизни сотруд- ников. Проблема 1. Избыток инструментов Как показал наш опрос, про- веденный в 21 стране среди 2,3 тыс. лиц, принимающих решения в области ИТ-безопас- ности, глобальные организации используют в среднем 29 реше- ний для мониторинга, а пред- ставители организаций, насчи- тывающих более 10 тыс. сотруд- ников, имеют дело в среднем с 46 такими инструментами. При этом 51% респондентов заявили, что они фактически не используют многие из имею- щихся в наличии инструментов по следующим причинам: l отсутствие интеграции (42%); l нехватка квалифицирован- ных специалистов (39%); l сложности в управлении инструментами (38%); l устаревание инструментов (37%); l отсутствие доверия к ним (20%). Налицо проблема, которая требует безотлагательного решения: с одной стороны, орга- низации вынуждены платить за лицензии и обслуживание инструментария, с другой – команды SOC все чаще подвер- гаются стрессу, пытаясь управ- лять несколькими решениями одновременно. Из-за невозмож- ности обрабатывать множество предупреждений, поступающих из различных источников, они не могут не только приоритизи- ровать их, но и обнаружить кор- реляцию с различными индика- торами компрометации. Другими словами, несмотря на избыток инструментария, качество защиты не только не улучшается, но даже становится хуже. Проблема 2. Перегрузка оповещениями Быстрый рост киберпреступ- ности и появление новых инстру- ментов для атак, а также отсут- ствие технологий автоматизации реагирования, выявления кор- реляций и приоритизации опо- вещений привели к тому, что команды SecOps чувствуют себя перегруженными. Более поло- вины опрошенных (51%) заяви- ли, что они тонут в оповещениях, причем этот показатель увели- чился до 54% для команд SOC и оказался еще выше в таких сек- торах, как недвижимость (70%), юриспруденция (69%), гостинич- ный бизнес (65%) и розничная торговля (61%). Более половины (55%) рес- пондентов признались, что не уверены в своей способности определять приоритеты и реа- гировать на оповещения. Поэто- му неудивительно, что ИБ-спе- циалисты тратят в среднем более четверти своего времени (27%) на борьбу с ложными срабатываниями. Не меньшей проблемой, вытекающей из этой ситуации, являются опо- вещения от использования легитимных, но потенциально опасных инструментов штатны- ми сотрудниками компании. Решение: XDR + автоматизация Очевидно, что такое напря- жение не только подвергает организации повышенному риску, но и угрожает психиче- скому здоровью и благополучию сотрудников службы безопас- ности. Для решения этих про- блем необходима технологиче- ская платформа, которая поз- волит снять нагрузку с команд SecOps за счет автоматизации обнаружения угроз и реагиро- вания на них. Такая платформа должна обладать всеми возможностями XDR, но при этом в идеале обеспечивать комплексную автоматизацию реагирования на всех участках инфраструк- туры, включая задачи в контей- нерах и облачные сервисы, в том числе бессерверные (AWS Lambda и подобные). Платфор- ма должна автоматически рас- ставлять приоритеты для всех угроз и обеспечивать ускорен- 26 • СПЕЦПРОЕКТ Автоматизация реагирования: как защитить команды SecOps от перегрузок и выгорания каждым годом меняется представление о том, как обеспечить эффективную защиту компании. Давно прошли те времена, когда все ресурсы направлялись на периметр корпоративной сети. Переход на облачную инфраструктуру, BYOD, а теперь и массовая удаленная работа привели к тому, что периметр стал гораздо более размытым, гибким и проницаемым. Результатом стали регулярные взломы корпоративных сетей с помощью украденных учетных данных или непропатченных уязвимостей. С Михаил Кондрашин, технический директор Trend Micro в СНГ, Грузии и Монголии