Сверхпродвинутые антивирусы на три четверти не используются
Новое исследование SANSInstitute показывает, что коммерческие компании инвестируют в технологии информационной защиты «следующего поколения», но не используют их потенциал в полной мере
Покупаем, но не используем
Коммерческие компании интенсивно скупают антивирусные решения «следующего поколения» и инструменты детектирования бесфайловых кибератак, но далеко не у всех у них есть ресурсы для их реального использования. Это следует из свежего исследования SANS Institute «Обзор защиты конечных точек и реагирования на киберинциденты» (Survey on Endpoint Protection and Response).
В публикации SANS указывается, что примерно 50% коммерческих организаций, представителей которых опрашивали в рамках исследования, инвестировали в nextgen-технологии, но 37% так и не внедрили их в полной мере. У 49% компаний есть средства выявления бесфайловых кибератак, но 38% также не используют их для защиты своих систем. То есть уровень неиспользуемости технологий равняется 74% и 77,5% соответственно.
Комментарий эксперта
«Ситуация, когда защитные технологии покупают, но не используют как надо, напоминает известную басню Крылова, — считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — В любом случае, сегодняшние защитные решения некорректно именовать просто антивирусами: традиционные антивирусы сами по себе давно неэффективны. В свою очередь, технологии “следующего поколения” — это обычно лишь маркетинговая бирка на инструментах, с разной степенью успешности применяемых уже с начала десятилетия. То, что такое количество корпоративных пользователей до сих пор их не внедрили, немало удивляет».
Антивирус — это лишь частичная защита
Исследователи опросили 277 ИТ-экспертов на тему того, какие угрозы волнуют их больше всего. 42% респондентов ответили, что ключевой угрозой они считают эксплойты для конечных точек. Годом ранее основной эту проблему называли 53% респондента. При этом уже 20% респондентов заявили, что не имели понятия о случившихся в их инфраструктуре инцидентах; в прошлом году в этом признавались только 10% опрошенных.
В то время как бизнес-структуры все активнее вкладываются в самые передовые технологии киберзащиты, они испытывают серьезные проблемы с их внедрением и использованием. Между тем, традиционные инструменты теряют эффективность: по данным исследования, только в 47% случаев антивирусы для конечных точек смогли идентифицировать взлом; в 32% сигнал тревоги подали автоматизированные SIEM-системы, еще в 26% случаев — продвинутые платформы обнаружения и реагирования на киберугрозы.
Большая часть атак направлена на пользователей
На сегодняшний день, как указывается в исследовании, большая часть атак на конечные точки по сути нацелена на их пользователей, а не на уязвимости в ПО. Более чем половина респондентов отметили атаки типа drive-by, 53% — фишинговые атаки и прочие примеры социальной инженерии. Также 50% респондентов отметили, что им приходилось иметь дело с шифровальщиками-вымогателями. В 40% инцидентов фигурировали украденные реквизиты доступа.
Эксперты отмечают, что в 84% случаев кибератаки на конечные точки затрагивают более одного устройства. В то время как чаще всего атакуют настольные компьютеры и ноутбуки, в прицел злоумышленников нередко попадают серверы, облачные устройства, SCADA-системы и промышленные устройства интернета вещей. Облачные эндпойнты становятся объектом атаки все чаще: если в 2017 г. на них приходилось лишь 40% упоминаний, то в 2018 г. — уже 60%.
Исследователи отдельно указывают, что несмотря на тотальное распространение атак, нацеленных на пользователей, технологии, призванные обнаруживать и блокировать такие угрозы, использовались для их выявления очень редко. Только 23% взломов были обнаружены с помощью технологий моделирования поведения и только 11% — с помощью поведенческого анализа.
Нужно больше информации
Когда происходят взломы, большая часть компаний, по-видимому, способны отследить их источник; 79% респондентов заявили, что не менее чем в половине случаев способны «привязать пользователя к эндпойнтам и серверам»; 34% заявляют, что могут сделать это всегда.
Сбор данных всегда играет огромную роль при устранении последствий успешных кибератак, но далеко не все организации способны собрать все сведения, которые им для этого нужны. Большинство респондентов хотят получить больше сведений о доступе к сетям и большее количество пользовательских данных; 74% хотят получать больше информции от файерволлов, систем предотвращения вторжений и объединенных систем управления рисками; 69% респондентов хотели бы иметь возможность производить более детализированный анализ трафика.