ИБ захлебнулась в алертах и мёртвой аналитике. Всё полыхает… а тушить некому
NewsMakerПока бизнес жонглирует приоритетами, атаки проходят мимо защиты — и попадают точно в цель.
Исследование, проведённое Forrester Consulting по заказу Google Cloud, выявило острый дефицит квалифицированных аналитиков и переизбыток необработанной информации, который мешает компаниям эффективно противодействовать киберугрозам. Опрос охватил 1 541 специалиста на уровне директора и выше из 12 отраслей и восьми стран, включая США, Великобританию, Германию, Францию, Канаду, Японию, Австралию и Сингапур. Все респонденты представляли организации с численностью персонала от тысячи сотрудников.
Более 60% участников признались, что их команды перегружены объёмами поступающих данных о потенциальных угрозах, причём 61% указали на абсолютную информационную перегрузку. Ещё 60% отметили нехватку специалистов, способных обрабатывать такие массивы данных, а 59% сообщили о трудностях с определением значимости и достоверности получаемых индикаторов. Столько же респондентов пожаловались, что не могут оперативно превращать эти сигналы в конкретные меры защиты.
В результате, вместо выработки упреждающей стратегии, компании по большей части действуют реактивно — 72% опрошенных признали, что их организация реагирует на угрозы постфактум. Особенно ярко эта проблема проявляется в промышленном секторе: 89% представителей производственных компаний выразили обеспокоенность тем, что из-за лавины сигналов могут упустить реальную атаку.
Причины такой уязвимости в производстве, как подчёркивается в отчёте, могут крыться в особенностях технологической инфраструктуры. В отличие от корпоративных ИТ-систем, промышленные объекты используют специфическое оборудование — от ПЛК-контроллеров до SCADA-комплексов — которое требует специализированного подхода к анализу угроз. Многие подрядчики попросту не понимают всех нюансов этих сред и не способны адекватно интерпретировать сигналы.
Результаты опроса также выявили критическую недооценку угроз на уровне руководства. В среднем 80% опрошенных считают, что топ-менеджмент не до конца осознаёт масштаб рисков. В компаниях ИТ-сектора этот показатель достиг 84%. Авторы доклада предполагают, что в технологической отрасли приоритет часто отдаётся скорости вывода продуктов на рынок и инновациям, а не вопросам защиты, особенно с учётом менее жёсткого регулирования по сравнению с другими сферами.
В числе наибольших угроз на ближайшие 12 месяцев лидируют фишинг и кража учётных данных (46%). Следом идут атаки с применением вымогателей и схем многофакторного шантажа (44%). Инъекции через ИИ-промпты вызвали обеспокоенность у 34% респондентов, а угрозы со стороны квантовых вычислений и риски в цепочках поставок заняли третье место с равными показателями (по 41%). Далее следуют инсайдерские инциденты (29%), DDoS-атаки (27%), действия государств (21%), скрытая добыча криптовалюты (18%) и шпионаж (17%).
Авторы отчёта подчёркивают необходимость пересмотра подходов к анализу угроз. Главная рекомендация — перестать воспринимать threat intelligence как поставку данных и начать рассматривать его как процесс. Массовая генерация индикаторов без анализа, обогащения и сопоставления с реальными угрозами создаёт лишь иллюзию информированности.
Также подчёркивается, что не стоит бездумно внедрять новые инструменты: прежде необходимо определить конкретные задачи, под которые будет выстраиваться аналитика. Такой подход позволяет не просто «передавать новости», а давать ответ на главный вопрос: «почему это важно именно для нашей организации».
Исследование, проведённое Forrester Consulting по заказу Google Cloud, выявило острый дефицит квалифицированных аналитиков и переизбыток необработанной информации, который мешает компаниям эффективно противодействовать киберугрозам. Опрос охватил 1 541 специалиста на уровне директора и выше из 12 отраслей и восьми стран, включая США, Великобританию, Германию, Францию, Канаду, Японию, Австралию и Сингапур. Все респонденты представляли организации с численностью персонала от тысячи сотрудников.
Более 60% участников признались, что их команды перегружены объёмами поступающих данных о потенциальных угрозах, причём 61% указали на абсолютную информационную перегрузку. Ещё 60% отметили нехватку специалистов, способных обрабатывать такие массивы данных, а 59% сообщили о трудностях с определением значимости и достоверности получаемых индикаторов. Столько же респондентов пожаловались, что не могут оперативно превращать эти сигналы в конкретные меры защиты.
В результате, вместо выработки упреждающей стратегии, компании по большей части действуют реактивно — 72% опрошенных признали, что их организация реагирует на угрозы постфактум. Особенно ярко эта проблема проявляется в промышленном секторе: 89% представителей производственных компаний выразили обеспокоенность тем, что из-за лавины сигналов могут упустить реальную атаку.
Причины такой уязвимости в производстве, как подчёркивается в отчёте, могут крыться в особенностях технологической инфраструктуры. В отличие от корпоративных ИТ-систем, промышленные объекты используют специфическое оборудование — от ПЛК-контроллеров до SCADA-комплексов — которое требует специализированного подхода к анализу угроз. Многие подрядчики попросту не понимают всех нюансов этих сред и не способны адекватно интерпретировать сигналы.
Результаты опроса также выявили критическую недооценку угроз на уровне руководства. В среднем 80% опрошенных считают, что топ-менеджмент не до конца осознаёт масштаб рисков. В компаниях ИТ-сектора этот показатель достиг 84%. Авторы доклада предполагают, что в технологической отрасли приоритет часто отдаётся скорости вывода продуктов на рынок и инновациям, а не вопросам защиты, особенно с учётом менее жёсткого регулирования по сравнению с другими сферами.
В числе наибольших угроз на ближайшие 12 месяцев лидируют фишинг и кража учётных данных (46%). Следом идут атаки с применением вымогателей и схем многофакторного шантажа (44%). Инъекции через ИИ-промпты вызвали обеспокоенность у 34% респондентов, а угрозы со стороны квантовых вычислений и риски в цепочках поставок заняли третье место с равными показателями (по 41%). Далее следуют инсайдерские инциденты (29%), DDoS-атаки (27%), действия государств (21%), скрытая добыча криптовалюты (18%) и шпионаж (17%).
Авторы отчёта подчёркивают необходимость пересмотра подходов к анализу угроз. Главная рекомендация — перестать воспринимать threat intelligence как поставку данных и начать рассматривать его как процесс. Массовая генерация индикаторов без анализа, обогащения и сопоставления с реальными угрозами создаёт лишь иллюзию информированности.
Также подчёркивается, что не стоит бездумно внедрять новые инструменты: прежде необходимо определить конкретные задачи, под которые будет выстраиваться аналитика. Такой подход позволяет не просто «передавать новости», а давать ответ на главный вопрос: «почему это важно именно для нашей организации».