Каждая пятая российская компания не имеет плана реагирования на инциденты безопасности

Таковы данные опроса, проведенного iTPROTECT, системным интегратором в области информационной безопасности (ИБ), среди участников онлайн-митапа «NDR: как найти злоумышленника во внутреннем трафике, не потратив все ресурсы». 

На мероприятии обсуждались подходы к борьбе с угрозами во внутреннем трафике. Это направление безопасности особенно важно, поскольку сетевой трафик — ключевая точка, где можно определить и остановить горизонтальное распространение злоумышленника в ходе атаки. Интерес к онлайн-митапу iTPROTECT показал, что компании осознают эту угрозу.

В современных условиях распространенности сложных направленных атак важно выявлять угрозы не только на границе сети, но и во внутреннем трафике, когда злоумышленник смог преодолеть периметр, и при этом тратить на это минимальное количество ресурсов. Ответом на эту задачу становятся решения класса NDR (Network Detection and Response), которые в отличие от NTA-систем (Network Traffic Analysis), помогают не только найти, но и быстро среагировать на угрозу в автоматизированном режиме.

29% респондентов ответили, что стремятся заблокировать угрозы заранее – на периметре ИТ-инфраструктуры, а 45% отслеживают их на уровне хостов (например, рабочих мест сотрудников). Остальные 26% применяют для выявления угроз решения для анализа внутреннего трафика – NTA. При этом в последней категории подавляющая часть (85%) собирают весь трафик, а 15% – только в ядре сети.

4 из 5 респондентов (78%) выстроили процессы реагирования на инциденты кибербезопасности. При этом у 41% участников исследования есть соответствующие регламенты или плейбуки, а 37% действуют по неформализованным планам. Вариант «Реагируем по ситуации» выбрали 22% респондентов.

При этом автоматизация процессов реагирования пока остаётся на невысоком уровне. 56% респондентов отметили, что в их организациях реагирование происходит в полностью ручном режиме.