Techniki i narzędzia cyberataków coraz szybciej ewoluują, a co za tym idzie, liczba alarmów związanych z cyberbezpieczeństwem coraz szybciej wzrasta. Jednak jak wynika z badania przeprowadzonego wśród polskich CSO, w przeważającej większości nie są one poddawane odpowiedniej analizie. Może to skutkować realnym zagrożeniem bezpieczeństwa systemów informatycznych. Raport Trend Micro i CSO Counsil wskazuje, jakie są przyczyny tych problemów.

Problemy na wielu płaszczyznach

W większości polskich średnich i dużych przedsiębiorstw proces zarządzania incydentami bezpieczeństwa nie jest wystarczająco efektywny. Z badania przeprowadzonego przez Trend Micro i CSO Council „Wokół zarządzania incydentami” wynika, że aż 88 proc. ankietowanych menadżerów odpowiedzialnych za obszar cyberbezpieczeństwa ma mniejsze lub większe zastrzeżenia do obecnego stanu rzeczy. Jedynie niecałe 12 proc. uznało, że obecny proces jest wydajny oraz odpowiednio ustrukturyzowany, a w ciągu ostatnich 2 lat nie wymagał zwiększania zasobów personelu czy rozbudowy systemów.

Dla niemal połowy, bo aż dla 46 proc., główną przyczyną takiej sytuacji jest zbyt mały zespół. Taki problem nie dziwi, gdyż w ponad 1/4 badanych przedsiębiorstw za wyłączną obsługę bezpieczeństwa odpowiada zaledwie jedna osoba, a w niecałych 20 proc. – dwie osoby.

Przytłaczająca dla zespołów jest także liczba alertów fałszywie pozytywnych. Niemal 1/4 ankietowanych przyznaje, że alertów pojawia się po prostu zbyt wiele. Takie przeciążenie może skutkować ignorowaniem pewnych istotnych informacji, a dla wielu pracowników systemów bezpieczeństwa, jest także problemem wpływającym na życie prywatne – wg globalnego badania Trend Micro aż 83 proc. odczuwa w jakimś stopniu negatywny wpływ emocjonalny swojej pracy.

Kolejną przyczyną nieodpowiedniego traktowania alertów jest także brak odpowiedniej wiedzy, która pozwoliłaby na przeanalizowanie wszystkich typów zdarzeń, na co wskazuje 14 proc. ankietowanych. Do monitorowania wykorzystuje się także zbyt wiele różnych narzędzi, co wymaga rozproszenia uwagi analityków – taki problem dostrzega 11 proc. respondentów.

Podejście do zarządzania incydentami to sprawa kluczowa dla zapewnienia bezpieczeństwa organizacji w świecie cyfrowym. Doskonale obrazuje, czy dana organizacja podchodzi do tego w sposób przemyślany, dojrzały i adekwatny do faktycznego poziomu ryzyk, z jakimi musi się mierzyć. – mówi Przemysław Gamdzyk, Organizator CSO Council.

Nie ma prostej recepty

Jak więc CSO mają zamiar poradzić sobie z powyższymi problemami? Menadżerowie ds. bezpieczeństwa zauważają wiele zmian, które należy wprowadzić, by zarządzanie incydentami przebiegało sprawnie i skutecznie. Dla większości ankietowanych najpilniejszym rozwiązaniem jest zwiększenie personelu odpowiedzialnego za obsługę alertów. Aż 63 proc. ankietowanych wskazało, że chciałoby powiększyć aktualne zatrudnienie w firmie i oddelegować do takiej pracy większą liczbę specjalistów ds. cyberbezpieczeństwa, w celu odciążenia dotychczasowych zespołów.

Prawie tyle samo chce minimalizować liczbę fałszywych alertów – 62 proc. ankietowanych wskazuje, że proces zarządzania incydentami uda usprawnić się dzięki postawieniu na narzędzia do automatycznej priorytetyzacji i klasyfikacji zdarzeń. Taka sama część ankietowanych jako rozwiązanie widzi możliwość korelacji wszystkich typów danych z różnych systemów. Wśród kolejnych najczęściej udzielanych odpowiedzi znalazły się również szybsza i zautomatyzowana reakcja na zdarzenia, pozwalająca na redukcję potencjalnych błędów ludzkich, a także centralizacja zarządzania zdarzeniami.

Często wraz ze wzrostem obserwowanych incydentów zasoby pozostają na niezmienionym poziomie – zarówno pod względem liczby analityków, jak i systemów, które mają im pomagać. Sam jestem zwolennikiem automatyzacji w procesie wykrywania incydentów. Uważam, że aspekt ludzki jest potrzebny i konieczny, ale dopiero na etapie, kiedy pojawia się konkretny incydent i wiemy, że coś istotnego zagraża organizacji. Automatyzacja świetnie sprawdza się na pierwszej linii frontu, pozwalając analitykom zająć się najtrudniejszymi przypadkami, które wymagają poświęcenia większej uwagi. – wskazuje Robert Kanigowski, Kierownik ds. Bezpieczeństwa Informacji i Zarządzania Ciągłością Biznesu w Provident.

CSO zauważają więc, że wsparcie, jakie może dać holistyczna platforma do zarządzania incydentami, oparta o automatyzację, moduł XDR (crossed detection & response) i wbudowany threat intelligence. Tego rodzaju rozwiązanie pozwala przede wszystkim zwiększyć wydajność, ponieważ nawet mniej zaawansowane i doświadczone zespoły będą mogły dzięki niemu wejść na wyższy poziom skuteczności. Szybsza analiza incydentów związanych z bezpieczeństwem, identyfikacja wzorców krytycznych zagrożeń i złożonych ataków, lepsze zapoznanie się ze swoim stanem zabezpieczeń – to wszystko daje możliwość proaktywnej identyfikacji i oceny potencjalnych zagrożeń bezpieczeństwa.

Podstawą jest wiedza

Wprowadzenie platformy do obrony przed zagrożeniami, takiej jak Trend Micro Vision One, pozwala zapewnić większą widoczność zagrożeń i dostarcza kompleksowych informacji o nich. Niemniej, by proces zarządzania incydentami osiągnął odpowiednią skuteczność, musi zostać spełnione wiele czynników. Oprócz konkretnych rozwiązań i efektywnej organizacji całego procesu niezbędna jest oczywiście odpowiednia wiedza o zagrożeniach, aktualizowana z pojawianiem się każdego nowego rodzaju zagrożenia.

Im niższy ma być poziom ryzyka rezydualnego w naszej organizacji, tym więcej wiedzy o zagrożeniach i kampaniach przestępczych powinniśmy zdobywać. Takie informacje pozwalają nam na odpowiednie przygotowanie się na potencjalny atak bez zbędnych inwestycji w ludzi i narzędzia. Wiedza o zagrożeniach i odniesienie jej do własnego środowiska pozwala również na właściwą priorytetyzację i klasyfikację zdarzeń, a to ponad 60 proc. organizacji wskazuje jako drogę do usprawnienia procesu zarządzania incydentami. – podkreśla Joanna Dąbrowska, Sales Engineer w Trend Micro.

Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments