Почему компании со зрелыми системами информационной безопасности все равно теряют деньги из-за киберинцидентов

Почему компании со зрелыми системами информационной безопасности все равно теряют деньги из-за киберинцидентов

За последние десять лет инвестиции бизнеса в информационную безопасность (ИБ) выросли многократно. Компании внедряют Security Information and Event Management (SIEM) — ​системы, средства обнаружения угроз на конечных устройствах, системы управления уязвимостями, анализа сетевого трафика, аналитику поведения пользователей и десятки других технологий.

С точки зрения архитектуры такие инфраструктуры выглядят достаточно зрелыми. Однако статистика по инцидентам показывает парадоксальную ситуацию: даже компании с развитой системой защиты продолжают нести серьезные финансовые потери из-за кибератак.

Согласно информации о расследовании киберинцидентов, основная доля финансовых потерь компаний связана не столько с утечками данных, сколько с операционными последствиями атак — ​остановкой сервисов, простоем инфраструктуры и вымогательством (ransomware-атаки). По данным отчета Sophos State of Ransomware 2024, большинство компаний, столкнувшихся с ransomware-атаками, испытывали серьезные перебои в работе ИТ-систем и бизнес-сервисов. Такие атаки способны парализовать ключевые процессы компании, нарушить цепочки поставок и остановить цифровые сервисы, что напрямую приводит к финансовым потерям. Это означает, что даже при наличии современных средств защиты организации долгое время остаются уязвимыми после компрометации. Причина заключается в том, что наличие технологий еще не означает эффективное управление безопасностью.

Чем больше инструментов, тем сложнее управлять безопасностью

Современная инфраструктура информационной безопасности в крупных компаниях состоит из множества специализированных решений. По данным исследований процессов в Security Operations Center (SOC), проведенных Splunk и Palo Alto Networks, более 70% команд ИБ используют более 10 различных инструментов, а почти половина организаций — ​более 20. В некоторых крупных компаниях стек средств защиты может включать 40–60 различных систем. Каждая из этих систем решает свою задачу: обнаружение вредоносной активности, анализ поведения пользователей, мониторинг сетевых соединений, управление уязвимостями, контроль доступа. Однако вместе они создают серьезную операционную проблему — ​фрагментацию процессов ИБ.

Каждая информационная система имеет:

• интерфейс;
• модель данных;
• механизмы корреляции событий;
• сценарии реагирования.

В результате специалистам SOC приходится вручную сопоставлять информацию из разных источников, чтобы понять, что на самом деле происходит в инфраструктуре.

Исследование Splunk показывает, что 46% специалистов по ИБ тратят больше времени на управление инструментами, чем на анализ угроз. Вместо расследования инцидентов команды вынуждены заниматься настройкой систем, интеграциями и ручной корреляцией событий.

Чем больше инструментов используется в инфраструктуре, тем сложнее обеспечить согласованную работу всей системы безопасности.

Перегрузка алертами и человеческий фактор

Одним из ключевых факторов неэффективности SOC остается перегрузка аналитиков уведомлениями о событиях безопасности. Каждый инструмент генерирует собственные алерты: сигнатуры вредоносного ПО, аномалии поведения, подозрительные сетевые соединения, попытки несанкционированного доступа. В крупных инфраструктурах это могут быть тысячи и десятки тысяч событий ежедневно. Значительная часть этих уведомлений оказывается ложноположительной. В результате специалисты SOC сталкиваются с явлением, известным как alert fatigue — ​усталость от алертов.

Согласно исследованиям SANS Institute, аналитики SOC могут тратить до 25–30% рабочего времени на обработку ложных срабатываний.

При таком объеме событий риск пропустить действительно опасную активность существенно возрастает. По данным Devo Security Operations Report, более 70% специалистов по ИБ признают, что боятся пропустить реальную атаку из-за перегрузки уведомлениями. Это напрямую влияет на скорость реагирования и масштаб ущерба.

Недостаток контекста при расследовании инцидентов

Даже когда подозрительная активность обнаружена, следующей проблемой становится недостаток контекста для принятия решений.

Аналитику необходимо понять:

• какой актив затронут;
• кто является владельцем системы;
• есть ли известные уязвимости;
• происходили ли похожие события ранее;
• связана ли активность с индикаторами компрометации.

Но эта информация обычно находится в разных системах: CMDB, системах управления активами, платформах Threat Intelligence, системах мониторинга.

Исследование процессов в SOC, проведенное Medium, показывает, что до 60–80% времени аналитиков может уходить на сбор контекста и корреляцию данных из различных источников, а не на непосредственное расследование угроз. В результате расследование инцидента может занимать часы или даже дни, хотя ключевые данные уже существуют в инфраструктуре — ​просто они распределены по разным системам.

Где на самом деле формируются финансовые потери

Распространенное заблуждение — ​считать, что основной ущерб от атаки возникает в момент проникновения злоумышленника. На практике большая часть финансовых потерь формируется после проникновения, в промежутке между обнаружением угрозы и ее полной нейтрализацией.

Этот этап включает:

• расследование инцидента;
• локализацию атаки;
• восстановление инфраструктуры;
• анализ масштаба компрометации.

Именно здесь начинают накапливаться основные бизнес-риски:

• простой критически важных систем;
• распространение атаки на новые активы;
• повторные компрометации;
• необходимость срочного восстановления инфраструктуры.

Публичная статистика по расследованию инцидентов подтверждает масштаб проблемы. По данным практики реагирования на инциденты Positive Technologies:

• в 40% случаев обнаружение угрозы занимало более одного месяца;
• только 21% атак выявлялся в течение первых суток.

При этом устранение последствий инцидента также занимает значительное время:

• только 29% компаний полностью ликвидируют инцидент за неделю;
• 47% организаций тратят на это более месяца.

Таким образом, даже после обнаружения атаки компания может оставаться в состоянии кризиса длительное время, что напрямую приводит к финансовым потерям.

Киберинциденты все чаще влияют на бизнес-процессы

Ранее кибератаки в основном рассматривались как проблема ИТ-инфраструктуры. Сегодня ситуация изменилась. Современные компании глубоко цифровизированы: бизнес-процессы, производственные системы, финансовые операции и взаимодействие с клиентами зависят от ИТ-систем. Поэтому последствия атак все чаще выходят за пределы ИТ.

По данным расследований инцидентов, проведенных командой Positive Technologies ESC IR, доля проектов, в которых атака привела к нарушению внутренних бизнес-процессов, достигла 55%.

Это означает, что инциденты напрямую затрагивают:

• производственные процессы;
• логистику;
• клиентские сервисы;
• финансовые операции.

Дополнительным фактором риска становится расширение цифровых экосистем. Современные компании активно взаимодействуют с подрядчиками, облачными сервисами и партнерскими системами.

В результате растет доля атак, в которых использовались доверительные отношения с подрядчиками и партнерами. По данным расследований, около 28% инцидентов связаны именно с такими сценариями. Чем шире цифровая экосистема компании, тем сложнее контролировать происходящее.

Главная проблема — ​не технологии, а процессы

Современная информационная безопасность традиционно описывается через модель «люди — ​процессы — ​технологии». Однако во многих организациях основной фокус инвестиций сохраняется именно на технологиях.

При этом процессы реагирования на инциденты остаются фрагментированными:

• разные команды используют разные инструменты;
• отсутствует единая система управления инцидентами;
• детектирующая логика распространяется неравномерно;
• реагирование на события часто происходит вручную.

Особенно сложной задачей становится управление детектирующей логикой.

Правила обнаружения угроз постоянно обновляются: появляются новые индикаторы компрометации, изменяются техники атакующих, внедряются новые источники данных. Без централизованного контроля сложно добиться того, чтобы актуальная логика обнаружения использовалась одинаково во всей инфраструктуре. В результате часть атак могут оставаться незамеченными просто из-за несогласованных параметров систем безопасности.

Что изменит ситуацию

Чтобы действительно снизить ущерб от киберинцидентов, организациям необходимо управлять всем жизненным циклом инцидента, а не только его обнаружением. Это требует перехода от набора разрозненных инструментов к платформе управления операционной деятельностью SOC.

Такая платформа объединяет:

• события безопасности из разных источников;
• процессы обнаружения инцидентов;
• процессы расследования инцидентов;
• сценарии реагирования;
• данные об активах и уязвимостях;
• аналитику и отчетность.

Единая операционная среда позволяет аналитикам SOC работать с инцидентами быстрее и эффективнее, а руководству — ​получать прозрачную картину происходящего.

Именно эту задачу решает платформа MaxPatrol 360 от Positive Technologies — ​единый центр управления расследованиями и операционной работой SOC.

MaxPatrol 360 объединяет события и инциденты в единую систему, снижает объем ручной работы, автоматизирует реагирование и обеспечивает прозрачный контроль безопасности.

Где возникает бизнес-эффект

На первый взгляд внедрение платформы управления процессами в SOC может восприниматься как техническое улучшение. Но на самом деле эффект проявляется прежде всего на уровне бизнеса.

Централизованное управление инцидентами позволяет:

• сократить время обнаружения и реагирования (MTTD и MTTR);
• снизить масштаб инцидентов;
• уменьшить нагрузку на аналитиков SOC;
• повысить прозрачность процессов ИБ для руководства.

В результате компания решает одну из ключевых задач — ​повышает киберустойчивость своей инфраструктуры. А это означает не просто меньше атак, а меньше финансовых потерь, когда атаки все-таки происходят. Именно способность быстро и управляемо реагировать на инциденты сегодня становится главным показателем зрелости информационной безопасности.

Оцените возможности MaxPatrol 360 — системы централизованного управления инцидентами и операционной работой SOC для организаций любого масштаба. Оставьте заявку на бесплатное пилотное внедрение и оцените возможности продукта: https://ptsecurity.com/products/mp360/

Реклама. АО «ПОЗИТИВ ТЕХНОЛОДЖИЗ», ИНН: 7718668887, Erid: 2VfnxxxCgbC