Информация об угрозах стала золотым стандартом кибербезопасности 21-го века. Без нее организации вслепую блуждают в темноте в поисках подсказок и сигналов, намекающих на следующий шаг противника, – все равно что собирать по кусочкам гигантскую головоломку в кромешно-черной комнате. Но с помощью threat intelligence они получают доступ к первому ряду, чтобы наблюдать, на что способны субъекты угрозы, как много они знают, а также когда и куда они планируют внедриться.
По крайней мере, такова цель. Но чувствуют ли организации, что они получают полную отдачу от своих программ и инструментов анализа угроз?
Это зависит от того, кого вы спрашиваете. Некоторые респонденты недавнего опроса CyberRisk Alliance (CRA) считают, что анализ угроз помогает их организациям стать “более активными и бдительными”. Другие хвалят его за то, что он “обеспечивает уровень понимания и наглядности, которого у нас никогда раньше не было”, наряду с “лучшим пониманием атакующих” и “знанием, на что обращать внимание”.
Данные и аналитика в этом отчете CRA основаны на онлайн-опросе, проведенном в июне 2023 года среди 210 руководителей в области безопасности и ИТ, практиков, администраторов и специалистов по соблюдению требований в Северной Америке исследовательской группой CRA по бизнес-аналитике.
Вот наиболее важные выводы из опроса:
- Анализ угроз в значительной степени стал ориентирован на улучшение реагирования на инциденты и внутреннюю осведомленность.
Шестьдесят пять процентов респондентов говорят, что данные об угрозах используются для улучшения реагирования на инциденты, по сравнению с 50%, которые говорят, что они используются для информирования о превентивном поиске угроз. Группы безопасности в основном собирают данные об угрозах из внутреннего сетевого трафика, а не из внешних источников, таких как dark web.
- Респонденты желают автоматизированный анализ угроз, который может предвидеть угрозы и принимать немедленные меры в отношении них.
Пятьдесят шесть процентов считают, что автоматическое обнаружение угроз и реагирование на них заслуживают статуса must have. Раннее оповещение о новейших атаках (80%) и оперативная отчетность в соответствующем контексте (78%) широко рассматриваются как незаменимые функции любой программы анализа угроз.
- Анализ угроз помогает разрабатывать упреждающие политики и обновлять модели угроз.
Анализ угроз “помогает нам разрабатывать стратегии упреждающей защиты для предотвращения атак до того, как они произойдут”, – сказал один респондент. Многие другие отметили, что анализ угроз повышает осведомленность об уязвимостях и “слепых зонах”, требующих внимания.
- Специалисты по кибербезопасности сообщают о проблемах, связанных с обновлением их сборников игр для устранения новых угроз.
Многие респонденты сообщают о проблемах, связанных с интеграцией различных продуктов безопасности и каналов передачи данных. В результате данные часто оказываются ненадежными, неполными или низкого качества.
В отчете CRA также сообщается о крупнейших проблемах, стоящих перед секторами образования, производства, здравоохранения и технологий. Ответы варьировались от более тесного сотрудничества с преподавателями, чтобы заставить их лучше понимать угрозы, и получения большего опыта в том, как работать с передовыми устройствами Интернета вещей в производственном секторе.