Каждая пятая российская компания не имеет плана реагирования на инциденты безопасности

АО "Инфозащита" (ITProtect) провело опрос среди участников онлайн-митапа "NDR: как найти злоумышленника во внутреннем трафике, не потратив все ресурсы" на тему подходов к борьбе с угрозами во внутреннем трафике.

29% респондентов ответили, что стремятся заблокировать угрозы заранее - на периметре ИТ-инфраструктуры, а 45% отслеживают их на уровне хостов (например, рабочих мест сотрудников). Остальные 26% применяют для выявления угроз решения для анализа внутреннего трафика - NTA. При этом в последней категории подавляющая часть (85%) собирают весь трафик, а 15% - только в ядре сети.

Четыре из пяти респондентов (78%) выстроили процессы реагирования на инциденты кибербезопасности. При этом у 41% участников исследования есть соответствующие регламенты или плейбуки, а 37% действуют по неформализованным планам. Вариант "Реагируем по ситуации" выбрали 22% респондентов.

При этом автоматизация процессов реагирования пока остается на невысоком уровне. 56% респондентов отметили, что в их организациях реагирование происходит в полностью ручном режиме.

"Полученные данные рисуют портрет компании, которая уже понимает, что ее периметр проницаем, но еще не готова к полномасштабному противодействию внутри инфраструктуры. Это означает, что, когда злоумышленник проник внутрь, он действует по алгоритму, а защитник - по ситуации. Ключевой инсайт в том, что зрелость уровня кибербезопасности измеряется не только наличием ИБ-инструментов, а связкой регламентов и автоматизации. Для того, чтобы с большей вероятностью обнаруживать атаку заранее, важно, что эта комбинация сложилась", - отметил руководитель направления по информационной безопасности ITProtect Кай Михайлов.