Про “спіраль більшого”, що заважає командам SecOps ефективно виявляти загрози

Нещодавно VectraAI презентувала звіт про стан виявлення загроз за 2023 рік, у якому серед іншого йдеться й про “спіраль більшого”, що заважає командам центру безпеки (SOC) ефективно захищати свої організації від кібератак.

 

Перед сучасними службами безпеки (SecOps) стоїть завдання захисту від все більш витончених і стрімких кібератак. Проте, складність взаємодії людей, процесів і технологій, що знаходяться в їхньому розпорядженні, робить кіберзахист все більш нестійким до нових викликів. Поверхня атаки постійно розширюється, методи зловмисників стрімко розвиваються, робоче навантаження аналітиків SOC постійно збільшується. Все це призводить до виникнення порочної спіралі, яка не дозволяє групам безпеки ефективно захищати свою організацію. На основі опитування 2000 аналітиків SecOps у звіті пояснюється, чому поточний підхід до операцій безпеки не є стійким.

 

“Спіраль більшого” загрожує здатності команд безпеки захищати свою організацію

 

Згідно зі звітом, сортування сповіщень вручну обходиться організаціям у 3,3 мільярда доларів щорічно лише в США. А аналітикам безпеки доручено виявляти, досліджувати та реагувати на загрози якомога швидше та ефективніше. При цьому вони ще й стикаються із розширенням поверхні атак і тисячами щоденних сповіщень системи безпеки.

 

Серед опитуваних 63% повідомляють, що розмір їхньої поверхні атаки збільшився за останні три роки.

 

У середньому команди SOC отримують 4484 сповіщення щодня та витрачають майже три години на день на сортування сповіщень вручну.

 

Аналітики безпеки не в змозі впоратися з 67% щоденних сповіщень, при цьому 83% повідомляють, що сповіщення є помилковими та не вартують витраченого часу.

 

“Вигоряння” аналітиків становить значний ризик для індустрії безпеки

 

Хоч дедалі ширше впровадження штучного інтелекту та інструментів автоматизації, індустрія безпеки, як і раніше, вимагає значної кількості працівників для інтерпретації даних, запуску розслідувань та вжиття заходів щодо виправлення становища на основі інформації, яку вони передають. Дві третини аналітиків з безпеки повідомляють, що, зіткнувшись з перевантаженням попередженнями й рутинними завданнями, що повторюються, розглядають можливість звільнення з роботи або активно залишають її, і ця статистика може мати потенційно руйнівні наслідки для галузі в довгостроковій перспективі.

 

Попри те, що 74% респондентів стверджують, що їхня робота відповідає очікуванням, 67% розглядають можливість звільнення або активно залишають свою роботу.

 

З аналітиків, які розглядають можливість звільнення або активно залишають свою посаду, 34% зазначають, що вони не мають необхідних інструментів для захисту своєї організації.

Майже 55% аналітиків стверджують, що вони настільки зайняті, що відчувають, ніби виконують роботу кількох людей. А 52% вважають, що робота в секторі безпеки не є перспективним варіантом кар'єри у довгостроковій перспективі.

 

«У міру того, як підприємства переходять на гібридні та мультихмарні середовища, команди безпеки постійно стикаються з дедалі більшою поверхнею для атак, більшою кількістю методів зловмисників, які уникають захисту, більшим шумом, більшою складністю та більшою кількістю гібридних атак», зазначає Кевін Кеннеді (Kevin Kennedy), старший віцепрезидент з продукції Vectra AI. 

 

Поточний підхід до виявлення загроз не працює, і результати цього звіту доводять, що надлишок різнорідних, ізольованих інструментів створює надто багато шуму виявлення, яким аналітики SOC не можуть успішно керувати. Більш того, створюється галасливе середовище, ідеальне для вторгнення зловмисників. Необхідні кроки до того, щоб зменшити живлення цієї “спіралі більшого” з боку постачальників систем безпеки, які відповідальні за ефективність їхнього сигналу. Чим ефективніший сигнал загрози, тим більш кіберстійким і ефективнішим стає SOC.