Пользователи платных фидов быстрее анализируют инциденты и блокируют угрозы

Центр экспертизы сетевой безопасности группы компаний «Гарда» выяснил, что вендорские решения класса TI Feeds помогают ускорить обработку инцидентов и сократить время на реагирование, в то время как те, кто работает только с опенсорсными источниками данных об угрозах, тратят на это больше времени. Об этом CNews сообщили представители «Гарда».

Центр экспертизы сетевой безопасности «Гарда» представил результаты исследования использования Threat Intelligence Feeds (TI Feeds) российскими компаниями. Опрос 144 специалистов по информационной безопасности – инженеров, аналитиков SOC, CISO – показал растущий разрыв в эффективности между командами, которые пользуются бесплатными открытыми фидами, и теми, кто работает с коммерческими решениями.

Исследование показало, что TI Feeds – инструмент, популярный среди всех компаний, которые ответственно подходят к обеспечению информационной безопасности. Их используют 56% представителей компаний со штатом более пяти тыс. сотрудников, тогда как среди опрошенных представителей малого бизнеса (со штатом до 250 человек) – лишь 20%, среди представителей среднего бизнеса – 23%. Наиболее востребованы решения в ИТ, финансовом секторе и ТЭК.

Исследование выявило корреляцию между размером компании, ее отраслью и выбором в пользу платных или бесплатных TI Feeds. Крупный и средний бизнес платит за эффективность обнаружения угроз. 67% опрошенных небольших компаний (до 250 человек) в основном полагаются на данные об угрозах из открытых источников. В корпорациях-гигантах (10 тыс.+ сотрудников) чаще всего используют несколько источников данных: платных и бесплатных. Среди опрошенных представителей среднего бизнеса 70% пользуются платными источниками об угрозах. Ключевыми преимуществами платных сервисов Threat Intelligence Feeds крупные игроки назвали релевантность индикаторов, прямые интеграции с другими СЗИ и минимальное количество ложных срабатываний. Для компаний малого и среднего сегмента в использовании фидов самым важным, помимо релевантности индикаторов, является простота получения данных, стоимость, удобный интерфейс, наличие технической поддержки.

Главные «потребители» Threat Intelligence Feeds – ИТ, финансы и ТЭК. Именно в этих отраслях фиды получили наибольшее распространение. При этом компании из госсектора, ритейла и здравоохранения только планируют их внедрять.

60% респондентов не испытывают сложностей при использовании решения TI Feeds. Среди 40% опрошенных упоминаются такие проблемы как: стоимость и устаревание данных, ложные срабатывания и слабая техподдержка некоторых решений.

Большинство опрошенных специалистов ИБ отметило топ-3 самых ресурсозатратных задач: расследование инцидентов, реагирование на нежелательную активность и обнаружение угроз. Респонденты, которые используют фиды от вендора, тратят меньше времени на анализ инцидентов по сравнению с теми, кто пользуется бесплатными источниками данных об угрозах. При этом, исследование показало, что 80% тех, кто использует Open Source фиды, сталкиваются с тем, что настройка и обогащение СЗИ отнимает у них значительное количество времени. И наоборот, пользователи вендорских Threat Intelligence Feeds не отмечают эту задачу как ресурсозатратную.

«Это можно объяснить тем, что фиды из открытых источников требуют дополнительного времени специалиста ИБ на обработку и фильтрацию, – сказал Илья Селезнев, руководитель продукта «Гарда Threat Intelligence Feeds». – Данные об угрозах из открытых источников могут быть нерелевантными, зачастую они дают ложные срабатывания. Специалисты вынуждены вручную фильтровать и корректировать данные, которые часто содержат “шум” и неактуальную информацию. Техническая поддержка при использовании Open Source не предполагается, и за это компания платит не деньгами, а временем своих специалистов, которые могли бы заниматься более важными задачами, и возможно своей безопасностью».

Центр экспертизы «Града» также изучил ожидания рынка от развития сервисов TI Feeds. Среди респондентов из особо крупного бизнеса есть повышенный интерес к наличию целевых индикаторов, их же отмечают как «важные» и специалисты из крупного бизнеса. Компаниям с количеством сотрудников до 250 человек интересно наличие готовых сценариев для реагирования.

Большинство опрошенных специалистов ИБ вне зависимости от размера компании в качестве ключевых возможностей видят индикаторы от ФСТЭК и каталог запрещенных БДУ, однако топ-менеджеры считают иначе. 50% опрошенных CISO в ответе на вопрос «Какие возможности, по вашему мнению, должен давать сервис Threat Intelligence Feeds?» среди наиболее важных отметили прогнозирование атак на основе машинного обучения.

«Использование ML – это глобальный для ИT тренд, на который обращает внимание в первую очередь топ-менеджмент. В сфере ИБ наличие ML в продуктах сообщает рынку о его актуальности. В то же время опрошенные нами специалисты, которые ежедневно занимаются анализом инцидентов и реагированием на них, не признают явную ценность ML для своей работы. И в этом нет противоречия, – сказала Анастасия Червова, менеджер по маркетингу продукта «Гарда Threat Intelligence Feeds». – ML в качестве клиентских инструментов действительно еще далек от совершенства, поэтому не вызывает доверия у обычных специалистов. Вендору же машинное обучение необходимо. Оно помогает обрабатывать большие объемы разных типов данных об угрозах и показывает хорошие результаты с точки зрения автоматизации, ускорения процессов и повышения качества обработки индикаторов».