- PVSM.RU - https://www.pvsm.ru -

Почему расширение ИБ-штата не приводит к повышению безопасности, и что с этим делать

Ученые и аналитики ServiceNow провели исследование и установили, что увеличение штата ИБ-специалистов не всегда приводит к повышению защищенности инфраструктуры и сетей компании. Выяснилось, что наиболее важную роль в этом играет автоматизация обновления ПО.

Далее поговорим об исследовании подробнее и приведем советы экспертов по теме.

Почему расширение ИБ-штата не приводит к повышению безопасности, и что с этим делать - 1 [1]
/ Flickr / Conor Lawless [2] / CC [2]

ServiceNow и Ponemon Institute провели [3] онлайн-опрос среди 3 тыс. специалистов по кибербезопасности. Они представляли компании со штатом свыше тысячи человек, расположенные в 9 странах: Австралии, Германии, Франции, Японии, Новой Зеландии, Англии, США, Сингапуре и Нидерландах. Цель исследования — выяснить, какие процессы в компаниях больше всего влияют на безопасность.

Результаты опроса показали, что 48% компаний подвергались кибератакам в течение последних 2 лет. При этом 57% респондентов заявили, что атака произошла из-за уязвимости, которую обнаружили, но не успели закрыть (хотя патч был уже доступен).

Чтобы оперативнее реагировать на возникающие угрозы, компании нанимают новых сотрудников: 64% организаций планируют [3] расширить штат отдела ИБ в ближайший год. Однако в компании ServiceNow отмечают, что это не приведет к повышению безопасности до тех пор, пока не будут модифицированы сами механизмы устранения уязвимостей.

Почему расширение штата не решает проблему

В ServiceNow эту проблему называют patching paradox или «парадокс безопасности». Наём специалистов по ИБ не решит все трудности, так как в 61% случаев ИБ-отделы координируют установку всех патчей вручную. В среднем команды тратят [4] 321 час в неделю на патчинг (что примерно равно недельной работе восьми full-time-специалистов). При этом на закрытие одной уязвимости уходит порядка 12 дней.

В этом случае расширение штата может дополнительно усложнить координацию и взаимодействие между сотрудниками. Сейчас 55% специалистов уже тратят больше времени на распределение задач внутри команды, чем на устранение угроз безопасности. Одна компания из списка Fortune 100 даже нанимает [4] специальных работников, чья единственная обязанность — управлять spreadsheet-документами с информацией об уязвимостях: как ее закрывают, какой отдел несет ответственность и пр.

Одновременно с этим, организации, которые пытаются нанять новых сотрудников, сталкиваются с другой проблемой — нехваткой специалистов по ИБ. По данным [5] сайта для поиска работы Indeed, спрос превышает предложение в несколько раз.

Например, в США на каждые 10 вакансий в сфере кибербезопасности приходится 6,67 просмотров (в Германии эта цифра равна 3,50; в Англии — 3,16). Это значит, что минимум треть вакансий вообще никто не просматривает. По прогнозам [4] аудиторской организации ISACA, к 2019 году 2 млн позиций в сфере кибербезопасности будут пустовать.

И ситуация только ухудшится [6]: к 2021 году число вакантных мест достигнет 3,5 млн. Главной причиной нехватки кадров в этой области основатель компании Cybersecurity Ventures Стив Морган (Steve Morgan) называет [7] недостаток соответствующего обучения персонала.

Эту проблему пытаются решать. Например [6], компания IBM нанимает работников и без четырехлетнего профильного образования. Кроме того, разные компании пытаются переобучать [8] сотрудников, популяризируют сферу кибербезопасности среди студентов [9] и женской [10] половины ИТ-персонала, призывают [6] предприятия инвестировать средства в ИБ.

Однако пока все эти меры работают недостаточно хорошо [7], чтобы сократить «пропасть» между вакантными местами и специалистами, готовыми их занять.

Почему расширение ИБ-штата не приводит к повышению безопасности, и что с этим делать - 2
/ Flickr / Emery Way [11] / CC [2]

Как разрешить парадокс безопасности

Чтобы решить проблему нехватки кадров и повысить безопасность, в ServiceNow предлагают пересмотреть методы обеспечения защиты. Шон Конвери (Sean Convery), вице-президент ServiceNow, отмечает [12], что большинство кибератак происходят из-за неспособности компаний закрыть все уязвимости вовремя.

Хакеры выигрывают в скорости: в компании Barkly, занимающейся разработкой средств киберзащиты, подсчитали [13], что для запуска фишинг-кампании нужно в среднем пару минут, а на обнаружение взлома уходит 256 дней. В отчете ServiceNow также упоминается [3], что злоумышленники становятся быстрее: по мнению 53% опрошенных, время между выходом патча и модифицированной атакой, его обходящей, сократилось на 29% за последние 2 года.

Как отмечалось выше, большинство кибератак на инфраструктуру компаний (57%) можно было предотвратить, так как патч, закрывающий уязвимость, уже был выпущен (вспомним случай [14] Equifax). Некоторые компании обновляли ПО вручную и не успели вовремя, а другие (37%) — вообще не сканировали ИТ-системы на уязвимости регулярно (например, забывали просканировать инфраструктуру повторно после применения патча).

Для того чтобы помочь организациям быстрее устранять инциденты и уязвимости, в ServiceNow дают [3] следующие рекомендации:

  1. Сперва нужно оценить то, как в компании реализуются процессы обнаружения уязвимостей и их устранения. И определить проблемные области, например, отсутствие координации между отделами или невозможность отслеживать жизненный цикл уязвимости. Пошаговый алгоритм построения системы оценки рисков безопасности предлагает [15] ведущий специалист по ИБ компании CSO Джордж Виегас (George Viegas).
  2. Не стоит разрешать только крупные проблемы ИБ. И хотя этот совет выглядит довольно очевидным, как отмечают [16] в компании Trip Wire, разрабатывающей инструменты кибербезопасности, многие организации им пренебрегают. Латая лишь «горящие уязвимости», компания оставляет злоумышленникам множество других, менее заметных возможностей для проникновения в систему.
  3. Будет нелишним объединить работу отделов ИТ и ИБ (например, с помощью решения Security Operations [17]). Это поможет лучше расставлять приоритеты при патчинге. Например, ИБ-подразделению Freedom Security Alliance удалось [18] на 40% ускорить время обнаружения уязвимостей за счет тесного взаимодействия с ИТ-отделом клиента.
  4. Стоить обратить внимание на то, как именно разрешаются ИБ-инциденты на предприятии, а затем автоматизировать рутинные задачи (маршрутизацию инцидентов или отслеживание их статуса). Этим советом воспользовались [19] в австралийской компании AMP, что позволило им ускорить процесс установки патчей на 60%.

P.S. Материалы из Первого блога о корпоративном IaaS:

P.P.S. Дополнительное чтение из нашего блога на Хабре:

Автор: ИТ-ГРАДовец

Источник [26]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/278464

Ссылки в тексте:

[1] Image: https://habrahabr.ru/company/it-grad/blog/353968/

[2] Conor Lawless: https://creativecommons.org/licenses/by/2.0/

[3] провели: https://www.servicenow.com/content/dam/servicenow/documents/analyst-research/ponemon-state-of-vulnerability-response.pdf

[4] тратят: https://servicematters.servicenow.com/2018/04/05/survey-hiring-more-talent-alone-wont-solve-securitys-woes/

[5] данным: http://blog.indeed.com/2017/01/17/cybersecurity-skills-gap-report/

[6] ухудшится: http://www.rmmagazine.com/2018/03/21/the-cybersecurity-talent-gap/

[7] называет: https://www.theregister.co.uk/2017/08/24/chronic_shortage_qualified_cybersecurity_bods/

[8] переобучать: https://www.wired.com/story/tech-companies-try-to-retrain-the-workers-theyre-displacing/

[9] студентов: https://securityintelligence.com/news/demand-for-cybersecurity-talent-soars-study-finds/

[10] женской: https://www.techrepublic.com/article/a-former-tsa-and-nsa-executive-reveals-how-to-break-into-the-cybersecurity-field/

[11] Emery Way: https://www.flickr.com/photos/emeryway/3036822914/

[12] отмечает: https://advancedmanufacturing.org/servicenow-research-uncovers-securitys-patching-paradox/

[13] подсчитали: https://blog.barkly.com/data-breach-speed-stats

[14] случай: https://www.forbes.com/sites/jasonbloomberg/2018/04/16/to-patch-or-not-to-patch-surprisingly-that-is-the-question

[15] предлагает: https://www.csoonline.com/article/3027570/security/taking-the-vulnerability-management-program-from-good-to-great.html

[16] отмечают: https://www.tripwire.com/state-of-security/vulnerability-management/six-strategies-for-reducing-vulnerability-risk/

[17] Security Operations: https://habrahabr.ru/company/it-guild/blog/349378/

[18] удалось: https://www.servicenow.com/content/dam/servicenow/documents/case-studies/cs-freedom-security-alliance-security-operations.pdf

[19] воспользовались: https://www.youtube.com/watch?time_continue=101&v=VB45QBwFSgc

[20] Облачная ИТ-инфраструктура: Особенности международных проектов: http://iaas-blog.it-grad.ru/kejsy/oblachnaya-it-infrastruktura-v-realizacii-mezhdunarodnyx-proektov/

[21] Фабрика сетевой безопасности от Fortinet: функции и технические характеристики: http://iaas-blog.it-grad.ru/blog/fabrika-setevoj-bezopasnosti-ot-fortinet/

[22] Что относится к персональным данным с точки зрения российского регулятора: http://iaas-blog.it-grad.ru/bezopasnost/chto-otnositsya-k-personalnym-dannym-s-tochki-zreniya-rossijskogo-regulyatora-personalnye-dannye-v-oblake-chast-1/

[23] «Ближе к 5G»: VMware поможет телеком-операторам развернуть сети нового поколения: https://habrahabr.ru/company/it-grad/blog/353686/

[24] Спор о «праве на забвение»: считать ли работу поисковых систем журналистикой? : https://habrahabr.ru/company/it-grad/blog/353610/

[25] UL 3223: представлен новый стандарт сертификации ЦОД: https://habrahabr.ru/company/it-grad/blog/353124/

[26] Источник: https://habrahabr.ru/post/353968/?utm_source=habrahabr&utm_medium=rss&utm_campaign=353968