Połowa firm ma trudności ze zidentyfikowaniem poważnego naruszenia cyberbezpieczeństwa
Prewencja nadal stanowi główny filar cyberbezpieczeństwa korporacyjnego – tak wynika z raportu firmy Kaspersky Lab.
Jeśli jednak doszło już do ataku, wykrycie i reakcja mają znaczenie krytyczne: natychmiastowe wykrycie ponad dwukrotnie zmniejsza średni koszt odzyskania sprawności po incydencie – z 1,2 mln do 456 000 dolarów na jedno przedsiębiorstwo. W świetle ostatnich zaawansowanych ataków i epidemii, takich jak WannaCry czy ExPetr, organizacje powinny zadać sobie pytanie: “Co się stanie, gdy padnę ofiarą ataku?”. Jednak w sytuacji, gdy firmy mają trudności już na etapie identyfikacji incydentu naruszenia bezpieczeństwa, odpowiedź na to pytanie, według raportu, jest niezwykle trudna.
Złożone ataki i rosnąca niepewność
Cyberprzestępcy, ich umiejętności i narzędzia wykazują ogromne zróżnicowanie – od mniej wyrafinowanych oszustów, którzy zastraszają najsłabiej zabezpieczone firmy, przeprowadzając masowe ataki, po zaawansowane, zorganizowane na wzór wojskowy ugrupowania, które chcą “łowić grube ryby”, przeprowadzając wielopoziomowe operacje. O ile stosunkowo łatwo da się uniknąć uderzenia nieporadnego napastnika, o tyle w konfrontacji z wprawnym atakującym trzeba liczyć się z dotkliwym ciosem. Z tegorocznego badania wynika, że ataki ukierunkowane należą do najszybciej rozwijających się zagrożeń w 2017 r., a ogólna częstotliwość ich występowania zwiększyła się w przypadku dużych przedsiębiorstw o 11%. Nie chodzi tu jedynie o liczbę ataków: dwie trzecie (66%) respondentów badania przyznało, że zagrożenia stają się bardziej złożone, a 52% ma problemy z rozróżnieniem między typowymi działaniami cyberprzestępców a złożonymi atakami.
Problem ten zaczynają dostrzegać firmy: powoli dociera do nich, że incydent naruszenia bezpieczeństwa może stać się kiedyś ich udziałem (57% w porównaniu z 51% w zeszłym roku), wciąż jednak nie mają pewności co do najskuteczniejszej strategii reagowania na takie zagrożenia (42%). Skala problemu staje się jeszcze bardziej niepokojąca, jeśli dodamy, że według badania niepewność ta jest znacznie większa (63%) wśród respondentów, którzy są ekspertami ds. bezpieczeństwa IT, a tym samym mają większą znajomość tego zagadnienia.
Elementy najlepszej metody reagowania na incydenty to technologia, ludzie i procesy
Zaskoczeniem może być fakt, że mimo wysokiego poziomu niepewności odnośnie strategii większość firm (77%) uważa, że wydaje wystarczająco dużo lub nawet za dużo na ochronę przed atakami ukierunkowanymi.
Być może wynika to z tego, jak postrzega się ochronę przed zagrożeniami: sprowadza się ją czasem do problemu technicznego, który należy rozwiązać poprzez zakup i wdrożenie bardziej zaawansowanych rozwiązań cyberbezpieczeństwa. Jednak bardziej zrównoważone podejście do reagowania na incydenty zakłada inwestowanie nie tylko w technologie, ale również w ludzi posiadających umiejętności, a także w odpowiednie procesy.
Technologia stanowi jeden z najistotniejszych składników w tym zestawieniu. Jak wynika z badania, istnieje wyraźne zapotrzebowanie na rozwiązania bezpieczeństwa, które wykraczają poza prewencję i zapewniają bardziej kompletny pakiet, łącznie z funkcjonalnością wykrywania i reagowania. Na przykład 56% firm przyznaje, że potrzebuje lepszych narzędzi służących do wykrywania i reagowania na zaawansowane długotrwałe zagrożenia (APT) oraz ataki ukierunkowane.
Jest to szczególnie ważne ze względu na istotne znaczenie szybkości wykrywania dla zmniejszenia strat finansowych spowodowanych atakiem. Z badania wynika, że w zeszłym roku zaledwie jedna czwarta (25%) firm wykryła swój najpoważniejszy incydent naruszenia bezpieczeństwa w ciągu jednego dnia. Jednak natychmiastowe wykrycie znacznie zmniejsza średni koszt odzyskania sprawności po incydencie – na przykład z 1,2 mln dolarów w przypadku przedsiębiorstwa, któremu wykrycie zagrożenia zajęło ponad tydzień, do 456 000 dolarów w przypadku firmy, która potrafi wykryć go od razu.
Innym istotnym komponentem są ludzie. 53% firm przyznaje, że musi zatrudnić więcej specjalistów posiadających określone doświadczenie w zakresie bezpieczeństwa IT, tj. zarządzania centrum operacji bezpieczeństwa (SOC), reagowania na incydenty oraz polowania na zagrożenia – w przypadku przedsiębiorstw odsetek ten wzrasta do 61%. Nie jest to żadną niespodzianką, ponieważ brak wewnętrznych ekspertów zwiększa stopień narażenia firmy na ataki ukierunkowane o 15%, zwiększając również średnie straty finansowe w wyniku ataku na przedsiębiorstwo – z 930 000 do 1,1 mln dolarów.
Jednak, aby móc skutecznie zwalczać złożone cyberzagrożenia, organizacje muszą również postrzegać reagowanie na incydenty jako proces, a nie jako cel. To oznacza, że potrzebna jest kompleksowa struktura badania incydentu, na którą składa się ciągłe monitorowanie, zaawansowane wykrywanie i ograniczanie skutków krytycznego incydentu naruszenia bezpieczeństwa.
Teraz, gdy firmy zaczynają zdawać sobie sprawę, że incydenty naruszenia cyberbezpieczeństwa stanowią realne zagrożenie dla ciągłości ich działalności, nadszedł czas poświęcić reagowaniu na incydenty należną mu uwagę. Nie może ono stanowić niewielkiego obszaru w zakresie obowiązków działu bezpieczeństwa IT, ale powinno uwzględniać planowanie strategiczne oraz inwestycje na najwyższym poziomie. W przypadku organizacji nie oznacza to, że będą one wolne od zagrożeń, ale z pewnością pomoże im przygotować się na nie i przetrwać poważny incydent naruszenia bezpieczeństwa, gdy do takiego dojdzie – powiedział Alessio Aceti, szef działu odpowiedzialnego za rozwiązania korporacyjne, Kaspersky Lab.
Więcej informacji na temat strategii reagowania na incydenty znajduje się na oficjalnym blogu Kaspersky Lab – Kaspersky Daily: https://kas.pr/xu37. Pełny raport pt. “New Threats, New Mindset: Being Risk Ready in a World of Complex Attacks” jest dostępny na stronie http://r.kaspersky.pl/dchTT.
Kaspersky Lab oferuje rozwiązania, które spełniają różne potrzeby firm w zakresie ochrony punktów końcowych, ochrony przed atakami DDoS, bezpieczeństwa opartego na chmurze, ochrony przed zaawansowanymi zagrożeniami i usług cyberbezpieczeństwa. Dalsze informacje na temat oferty rozwiązań nowej generacji przeznaczonych dla przedsiębiorstw znajdują się na stronie https://www.kaspersky.pl/ochrona-dla-korporacji/endpoint-detection-response-edr.
