W większości polskich średnich i dużych przedsiębiorstw proces zarządzania incydentami bezpieczeństwa nie jest wystarczająco efektywny.
Z badania przeprowadzonego przez Trend Micro i CSO Council „Wokół zarządzania incydentami” wynika, że aż 88 proc. ankietowanych menadżerów odpowiedzialnych za obszar cyberbezpieczeństwa ma mniejsze lub większe zastrzeżenia do obecnego stanu rzeczy. Jedynie niecałe 12 proc. uznało, że obecny proces jest wydajny oraz odpowiednio ustrukturyzowany, a w ciągu ostatnich 2 lat nie wymagał zwiększania zasobów personelu czy rozbudowy systemów.
- Dla niemal połowy, bo aż dla 46 proc., główną przyczyną takiej sytuacji jest zbyt mały zespół. Taki problem nie dziwi, gdyż w ponad 1/4 badanych przedsiębiorstw za wyłączną obsługę bezpieczeństwa odpowiada zaledwie jedna osoba, a w niecałych 20 proc. – dwie osoby.
- Przytłaczająca dla zespołów jest także liczba alertów fałszywie pozytywnych. Niemal 1/4 ankietowanych przyznaje, że alertów pojawia się po prostu zbyt wiele. Takie przeciążenie może skutkować ignorowaniem pewnych istotnych informacji, a dla wielu pracowników systemów bezpieczeństwa, jest także problemem wpływającym na życie prywatne – wg globalnego badania Trend Micro aż 83 proc. odczuwa w jakimś stopniu negatywny wpływ emocjonalny swojej pracy.
- Kolejną przyczyną nieodpowiedniego traktowania alertów jest także brak odpowiedniej wiedzy, która pozwoliłaby na przeanalizowanie wszystkich typów zdarzeń, na co wskazuje 14 proc. ankietowanych. Do monitorowania wykorzystuje się także zbyt wiele różnych narzędzi, co wymaga rozproszenia uwagi analityków – taki problem dostrzega 11 proc. respondentów.
Raport Trend Micro: liczne alerty bezpieczeństrwa przyczyną ignorowania części zagrożeń
Nie ma prostej recepty
Jak więc CSO mają zamiar poradzić sobie z powyższymi problemami? Menadżerowie ds. bezpieczeństwa zauważają wiele zmian, które należy wprowadzić, by zarządzanie incydentami przebiegało sprawnie i skutecznie. Dla większości ankietowanych, najpilniejszym rozwiązaniem jest zwiększenie personelu odpowiedzialnego za obsługę alertów. Aż 63 proc. ankietowanych wskazało, że chciałoby powiększyć aktualne zatrudnienie w firmie i oddelegować do takiej pracy większą liczbę specjalistów ds. cyberbezpieczeństwa, w celu odciążenia dotychczasowych zespołów.
Prawie tyle samo chce minimalizować liczbę fałszywych alertów – 62 proc. ankietowanych wskazuje, że proces zarządzania incydentami uda usprawnić się dzięki postawieniu na narzędzia do automatycznej priorytetyzacji i klasyfikacji zdarzeń. Taka sama część ankietowanych jako rozwiązanie widzi możliwość korelacji wszystkich typów danych z różnych systemów. Wśród kolejnych najczęściej udzielanych odpowiedzi znalazły się również szybsza i zautomatyzowana reakcja na zdarzenia, pozwalająca na redukcję potencjalnych błędów ludzkich, a także centralizacja zarządzania zdarzeniami.
CSO zauważają więc, że wsparcie jakie może dać holistyczna platforma do zarządzania incydentami, oparta o automatyzację, moduł XDR (crossed detection & response) i wbudowany threat intelligence. Tego rodzaju rozwiązanie pozwala przede wszystkim zwiększyć wydajność, ponieważ nawet mniej zaawansowane i doświadczone zespoły będą mogły dzięki niemu wejść na wyższy poziom skuteczności. Szybsza analiza incydentów związanych z bezpieczeństwem, identyfikacja wzorców krytycznych zagrożeń i złożonych ataków, lepsze zapoznanie się ze swoim stanem zabezpieczeń – to wszystko daje możliwość proaktywnej identyfikacji i oceny potencjalnych zagrożeń bezpieczeństwa.
Podstawą jest wiedza
Wprowadzenie platformy do obrony przed zagrożeniami, takiej jak Trend Micro Vision One, pozwala zapewnić większą widoczność zagrożeń i dostarcza kompleksowych informacji o nich. Niemniej, by proces zarządzania incydentami osiągnął odpowiednią skuteczność, musi zostać spełnione wiele czynników. Oprócz konkretnych rozwiązań i efektywnej organizacji całego procesu, niezbędna jest oczywiście odpowiednia wiedza o zagrożeniach, aktualizowana z pojawianiem się każdego nowego rodzaju zagrożenia.