Компаниите инвестират в технологии за информационна сигурност „от следващо поколение”, но не използват в пълна степен техния потенциал, поради липса на необходимите ресурси, сочи скорошно проучване на SANS Institute, посветено на защитата и реакцията на крайните точки.
Приблизително 50% от анкетираните комерсиални организации са инвестирали в технологии за сигурност от следващо поколение, но 37% не ги прилагат напълно. 49% от фирмите разполагат със средства за идентифициране на безфайлови кибератаки, но 38% също не ги използват за защита на своите системи. Това означава, че като цяло нивото на неизползваните технологии е съответно 74% и 77,5%.
Все повече специалисти са на мнение, че днешните решения за сигурност неправилно се наричат антивируси: традиционните антивирусни сами по себе си отдавна са неефективни. На свой ред, технологиите от следващо поколение са маркетингов маркер за инструменти, прилагани с различна степен на успех от началото на десетилетието, и е изненадващо, че толкова много корпоративни потребители все още не са ги използвали.
От какво се страхуват компаниите
Кои са най-опасните заплахи, според участниците в изследването? 42% от респондентите споделят, че основната заплаха са експлойтите за крайни точки. Година по-рано, 53% от анкетираните са посочили тази заплаха като основна. В същото време 20% от участниците нямат представа за инцидентите в инфраструктурата си, в сравнение с 10% през миналата година.
Бизнес организациите все повече инвестират в най-модерните технологии на киберзащита, но изпитват сериозни проблеми с тяхното внедряване и използване. Междувременно, традиционните инструменти губят своята ефективност: според изследването, само в 47% от случаите антивирусите за крайни точки могат да идентифицират хакване; в 32% сигналът за опасност е подаден от автоматизирани SIEM системи, а в 26% – от платформи за откриване и реагиране на кибернетични заплахи.
Целта е преди всичко потребителят
Към днешна дата повечето атаки срещу крайни точки са насочени основно към техните потребители, а не към уязвимостите в софтуера. Над половината от респондентите съобщават за атаки от типа „drive-by”, 53% – за фишинг атаки и други техники за социално инженерство. Също така, 50% от анкетираните споделят, че им се налага да се справят с рансъмуер – криптиращи вируси-изнудвачи. При 40% от инцидентите са откраднати реквизити за достъп.
В 84% от случаите кибератаките срещу крайни точки засягат повече от едно устройство. Най-често биват атакувани РС-тата, но на прицела на хакерите попадат също сървъри, облачни устройства, SCADA системи и индустриални IoT устройства. Облачните крайни точки са атакувани все по-често: ако през 2017 г. те са били споменавани в 40% от случаите, сега делът им е 60%.
Но въпреки тоталните атаки към потребителите, рядко се използват технологии, предназначени за откриване и блокиране на такива заплахи. Само 23% от пробивите са идентифицирани с използване на техники за поведенческо моделиране и само 11% – чрез технологии за поведенчески анализ.
Когато има проникване, повечето компании изглежда могат да проследят техния източник. 79% от анкетираните казват, че най-малко в половината от случаите могат да „привържат” потребителя към крайната точка и сървъра, а 34% уверяват, че са способни да направят това винаги.
Ключовата роля на данните
Събирането на данни играе огромна роля при премахване на последиците от успешните кибератаки, но не всички организации са в състояние да съберат цялата информация, от която се нуждаят за това. Повечето анкетирани искат повече информация за достъпа до мрежите и повече потребителски данни.
74% от анкетираните заявяват, че искат повече информация от защитните стени, системите за предотвратяване на проникване и интегрираните системи за управление на риска. 69% от респондентите пък биха искали да могат да изготвят по-подробен анализ на трафика, сочат резултатите от проучването на SANS Institute.