- PVSM.RU - https://www.pvsm.ru -
Ученые и аналитики ServiceNow провели исследование и установили, что увеличение штата ИБ-специалистов не всегда приводит к повышению защищенности инфраструктуры и сетей компании. Выяснилось, что наиболее важную роль в этом играет автоматизация обновления ПО.
Далее поговорим об исследовании подробнее и приведем советы экспертов по теме.
[1]
/ Flickr / Conor Lawless [2] / CC [2]
ServiceNow и Ponemon Institute провели [3] онлайн-опрос среди 3 тыс. специалистов по кибербезопасности. Они представляли компании со штатом свыше тысячи человек, расположенные в 9 странах: Австралии, Германии, Франции, Японии, Новой Зеландии, Англии, США, Сингапуре и Нидерландах. Цель исследования — выяснить, какие процессы в компаниях больше всего влияют на безопасность.
Результаты опроса показали, что 48% компаний подвергались кибератакам в течение последних 2 лет. При этом 57% респондентов заявили, что атака произошла из-за уязвимости, которую обнаружили, но не успели закрыть (хотя патч был уже доступен).
Чтобы оперативнее реагировать на возникающие угрозы, компании нанимают новых сотрудников: 64% организаций планируют [3] расширить штат отдела ИБ в ближайший год. Однако в компании ServiceNow отмечают, что это не приведет к повышению безопасности до тех пор, пока не будут модифицированы сами механизмы устранения уязвимостей.
В ServiceNow эту проблему называют patching paradox или «парадокс безопасности». Наём специалистов по ИБ не решит все трудности, так как в 61% случаев ИБ-отделы координируют установку всех патчей вручную. В среднем команды тратят [4] 321 час в неделю на патчинг (что примерно равно недельной работе восьми full-time-специалистов). При этом на закрытие одной уязвимости уходит порядка 12 дней.
В этом случае расширение штата может дополнительно усложнить координацию и взаимодействие между сотрудниками. Сейчас 55% специалистов уже тратят больше времени на распределение задач внутри команды, чем на устранение угроз безопасности. Одна компания из списка Fortune 100 даже нанимает [4] специальных работников, чья единственная обязанность — управлять spreadsheet-документами с информацией об уязвимостях: как ее закрывают, какой отдел несет ответственность и пр.
Одновременно с этим, организации, которые пытаются нанять новых сотрудников, сталкиваются с другой проблемой — нехваткой специалистов по ИБ. По данным [5] сайта для поиска работы Indeed, спрос превышает предложение в несколько раз.
Например, в США на каждые 10 вакансий в сфере кибербезопасности приходится 6,67 просмотров (в Германии эта цифра равна 3,50; в Англии — 3,16). Это значит, что минимум треть вакансий вообще никто не просматривает. По прогнозам [4] аудиторской организации ISACA, к 2019 году 2 млн позиций в сфере кибербезопасности будут пустовать.
И ситуация только ухудшится [6]: к 2021 году число вакантных мест достигнет 3,5 млн. Главной причиной нехватки кадров в этой области основатель компании Cybersecurity Ventures Стив Морган (Steve Morgan) называет [7] недостаток соответствующего обучения персонала.
Эту проблему пытаются решать. Например [6], компания IBM нанимает работников и без четырехлетнего профильного образования. Кроме того, разные компании пытаются переобучать [8] сотрудников, популяризируют сферу кибербезопасности среди студентов [9] и женской [10] половины ИТ-персонала, призывают [6] предприятия инвестировать средства в ИБ.
Однако пока все эти меры работают недостаточно хорошо [7], чтобы сократить «пропасть» между вакантными местами и специалистами, готовыми их занять.
/ Flickr / Emery Way [11] / CC [2]
Чтобы решить проблему нехватки кадров и повысить безопасность, в ServiceNow предлагают пересмотреть методы обеспечения защиты. Шон Конвери (Sean Convery), вице-президент ServiceNow, отмечает [12], что большинство кибератак происходят из-за неспособности компаний закрыть все уязвимости вовремя.
Хакеры выигрывают в скорости: в компании Barkly, занимающейся разработкой средств киберзащиты, подсчитали [13], что для запуска фишинг-кампании нужно в среднем пару минут, а на обнаружение взлома уходит 256 дней. В отчете ServiceNow также упоминается [3], что злоумышленники становятся быстрее: по мнению 53% опрошенных, время между выходом патча и модифицированной атакой, его обходящей, сократилось на 29% за последние 2 года.
Как отмечалось выше, большинство кибератак на инфраструктуру компаний (57%) можно было предотвратить, так как патч, закрывающий уязвимость, уже был выпущен (вспомним случай [14] Equifax). Некоторые компании обновляли ПО вручную и не успели вовремя, а другие (37%) — вообще не сканировали ИТ-системы на уязвимости регулярно (например, забывали просканировать инфраструктуру повторно после применения патча).
Для того чтобы помочь организациям быстрее устранять инциденты и уязвимости, в ServiceNow дают [3] следующие рекомендации:
P.P.S. Дополнительное чтение из нашего блога на Хабре:
Автор: ИТ-ГРАДовец
Источник [26]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/278464
Ссылки в тексте:
[1] Image: https://habrahabr.ru/company/it-grad/blog/353968/
[2] Conor Lawless: https://creativecommons.org/licenses/by/2.0/
[3] провели: https://www.servicenow.com/content/dam/servicenow/documents/analyst-research/ponemon-state-of-vulnerability-response.pdf
[4] тратят: https://servicematters.servicenow.com/2018/04/05/survey-hiring-more-talent-alone-wont-solve-securitys-woes/
[5] данным: http://blog.indeed.com/2017/01/17/cybersecurity-skills-gap-report/
[6] ухудшится: http://www.rmmagazine.com/2018/03/21/the-cybersecurity-talent-gap/
[7] называет: https://www.theregister.co.uk/2017/08/24/chronic_shortage_qualified_cybersecurity_bods/
[8] переобучать: https://www.wired.com/story/tech-companies-try-to-retrain-the-workers-theyre-displacing/
[9] студентов: https://securityintelligence.com/news/demand-for-cybersecurity-talent-soars-study-finds/
[10] женской: https://www.techrepublic.com/article/a-former-tsa-and-nsa-executive-reveals-how-to-break-into-the-cybersecurity-field/
[11] Emery Way: https://www.flickr.com/photos/emeryway/3036822914/
[12] отмечает: https://advancedmanufacturing.org/servicenow-research-uncovers-securitys-patching-paradox/
[13] подсчитали: https://blog.barkly.com/data-breach-speed-stats
[14] случай: https://www.forbes.com/sites/jasonbloomberg/2018/04/16/to-patch-or-not-to-patch-surprisingly-that-is-the-question
[15] предлагает: https://www.csoonline.com/article/3027570/security/taking-the-vulnerability-management-program-from-good-to-great.html
[16] отмечают: https://www.tripwire.com/state-of-security/vulnerability-management/six-strategies-for-reducing-vulnerability-risk/
[17] Security Operations: https://habrahabr.ru/company/it-guild/blog/349378/
[18] удалось: https://www.servicenow.com/content/dam/servicenow/documents/case-studies/cs-freedom-security-alliance-security-operations.pdf
[19] воспользовались: https://www.youtube.com/watch?time_continue=101&v=VB45QBwFSgc
[20] Облачная ИТ-инфраструктура: Особенности международных проектов: http://iaas-blog.it-grad.ru/kejsy/oblachnaya-it-infrastruktura-v-realizacii-mezhdunarodnyx-proektov/
[21] Фабрика сетевой безопасности от Fortinet: функции и технические характеристики: http://iaas-blog.it-grad.ru/blog/fabrika-setevoj-bezopasnosti-ot-fortinet/
[22] Что относится к персональным данным с точки зрения российского регулятора: http://iaas-blog.it-grad.ru/bezopasnost/chto-otnositsya-k-personalnym-dannym-s-tochki-zreniya-rossijskogo-regulyatora-personalnye-dannye-v-oblake-chast-1/
[23] «Ближе к 5G»: VMware поможет телеком-операторам развернуть сети нового поколения: https://habrahabr.ru/company/it-grad/blog/353686/
[24] Спор о «праве на забвение»: считать ли работу поисковых систем журналистикой? : https://habrahabr.ru/company/it-grad/blog/353610/
[25] UL 3223: представлен новый стандарт сертификации ЦОД: https://habrahabr.ru/company/it-grad/blog/353124/
[26] Источник: https://habrahabr.ru/post/353968/?utm_source=habrahabr&utm_medium=rss&utm_campaign=353968
Нажмите здесь для печати.