К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

83% компаний могут пропустить кибератаку из-за недостатков мониторинга инфраструктуры

Фото Getty Images
Фото Getty Images
По данным опроса Positive Technologies, который компания провела среди представителей бизнеса в ключевых отраслях экономики и госсектора, 83% организаций в ходе мониторинга событий информационной безопасности сталкиваются с проблемами или не делают его вовсе из-за отсутствия ресурсов. При этом слепые зоны в мониторинге IT-инфраструктуры остаются и вовсе в 93% опрошенных организаций

Positive Technologies провела исследование источников событий информбезопасности в инфраструктуре компаний, с которым ознакомился Forbes. К таким источникам авторы относят средства защиты информации, службы каталогов Active Directory (используется в операционных системах Microsoft, одна из важнейших технологий в администрировании сетей), почтовые серверы, веб-журналы, операционные системы устройств.

Как следует из отчета, 8 из 10 опрошенных компаний могут пропустить кибератаку из-за недостатков мониторинга инфраструктуры. В среднем опрошенные компании отслеживают 65,5% всех источников событий. «Слепые зоны» в мониторинге остаются в 93% опрошенных Positive Technologies российских организаций, и только 7% компаний контролируют все источники событий в своей инфраструктуре. Из тех, кто мониторит только часть источников, 38% объяснили это тем, что их компаниям не хватает ресурсов, еще столько же респондентов «не видят в этом необходимости», а 24% объяснили отсутствие полного мониторинга слишком большим числом активов и огромным объемом неинформативного трафика.

В исследовании представлены компании из ключевых отраслей экономики. Большая часть опрошенных — представители IT-компаний (37%), которые оказывают услуги по мониторингу ИБ крупным организациям. Почти треть (28%) респондентов — представители госструктур. Финансовый сектор, нефтегазовую отрасль, телеком, медиа, фармацевтическую промышленность представляют 35% участников. Среди опрошенных более трети компаний (36%) имеют от 100 до 1000 источников мониторинга.

 
Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Подписаться

Исследование также показало, что у компаний нет единой методологии в вопросах подключения источников и определения степени их важности, констатируют в Positive Technologies. Большинство опрошенных отслеживают только критически важные источники, которые определяют самостоятельно. Уровень важности источника 36% респондентов оценивают исходя из степени влияния на бизнес-процессы, 31% ориентируются на положение источника в инфраструктуре, 18% оценивают этот критерий субъективно, ориентируясь на свой опыт.

Основной вывод — компаниям зачастую не на что ориентироваться при подключении источников для мониторинга, размышляет Анастасия Коннова, менеджер по продуктовому маркетингу MaxPatrol SIEM Positive Technologies: «Все инфраструктуры разные, и всегда следует учитывать специфику, но не хватает базовой, простой и понятной инструкции, какие объекты инфраструктуры и в каком порядке подключать к мониторингу». 

 

Впрочем, по мнению гендиректора Security Vision Руслана Рахметова, ключевым результатом можно считать мониторинг 65,5% всех источников событий: «Это неплохой показатель». Отслеживание событий ИБ абсолютно от всех источников событий не всегда целесообразно, продолжает он: с точки зрения кибербезопасности важно мониторить наиболее информативные и ценные источники данных, которые предоставляют информацию, пригодную для дальнейшей корреляции и формирования инцидентов ИБ в SIEM-системе (Security information and event management, система управления событиями безопасности).

«Можно предположить, что источники, которые не охвачены мониторингом, могут просто не поддерживать подключение к SIEM-системе, не умеют отправлять syslog-сообщения, не обладают функционалом экспорта событий, не поддерживают API-взаимодействие. Такими источниками могут быть, например, устаревшие самописные бизнес-приложения. Кроме того, многие SIEM-системы лицензируются по параметру обрабатываемых событий ИБ в секунду (EPS, events per second) — это означает, что не очень ценный источник данных будет «отнимать» EPS у более ценных источников, либо потребуется расширять лицензию, что сопряжено с финансовыми затратами», — рассуждает Рахметов.

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+