fbpx
Сентябрь 9, 2019 2:07 | Alexandr Kim |

Новые исследования, проведенные за последние несколько недель, показывают, что ложные уведомления и сопутствующее игнорирование их, продолжают беспокоить центры безопасности (SOC) по всему миру, значительно сокращая скорость реагирования на угрозы и качество работы.

 

Самый последний отчет, опубликованный ранее на этой неделе на конференции по кибербезопасности ISC в Орландо, показывает, что по словам аналитиков по безопасности, более 50% положительных уведомлений от систем безопасности являются ложными.

Между тем, еще один отчет, опубликованный ранее в этом месяце от Института Ponemon и провайдера SIEM Exabeam, показывает, что 25% времени аналитика по безопасности тратится на поиски ложных срабатываний — отсеивание ошибочных предупреждений безопасности или ложных индикаторов. Это означает, что каждый час аналитик тратит на данную работу по 15 минут реагируя на ложные срабатывания. В среднем, типичная организация тратит от 286 до 424 часов в неделю на ложноположительные срабатывания.

Другой аналогичный отчет Ponemon, спонсируемый Devo, о сегодняшнем состоянии возможностей SOC и поиске угроз, показывает, что потраченное время на реагирование ставит ложные срабатывания в ТОП-5 главных проблем, которые делают SOC неэффективным. Около 49% организаций сообщают об этом как о главной проблеме.

 

Ложные срабатывания являются подмножеством гораздо более серьезной проблемы в объеме оповещений, которая сегодня сокрушает аналитиков по безопасности и группы по поиску угроз.

Руководители по кибербезопасности (C-Level) считают, что большое количество ложных уведомлений является одной из трех основных проблем, с которыми сталкиваются организации по обеспечению безопасности, наряду с отсутствием автоматизации и отсутствием интеграции. Приблизительно 67% от CISO, CIO и CTO сказали Fidelis Cybersecurity, что перегрузка оповещения — одна из главных проблем, с которыми сталкиваются их команды. Это согласуется с другим недавно опубликованным отчетом. Например, Ponemon и Devo обнаружили, что проблема номер один, создаваемая командами по поиску угроз, заключается в том, что у них просто слишком много IoС, чтобы их можно было эффективно отследить (61% респондентов респондентов назвали это главной угрозой для их команд).

 

Как сказал один независимый консультант по кибербезопасности Джошуа Голдфарб, данные, которые сегодня бомбардируют аналитики по безопасности, вызывают у них «сенсорную перегрузку». Гольдфарб пишет:

«Если вы не знакомы с термином «alert cannon», то должны знать, что большинство команд по безопасности сталкиваются с шумной, неточной логикой правил, которая приводит к чрезмерному количеству ложных срабатываний. В результате получается пушка сигналов тревоги, которая может похоронить в шуме даже самые крупные команды по кибербезопасности. Разработка высокоточного оповещения с низким уровнем шума, предназначенного для резкого устранения активности, указывающей на приоритетные риски, является правильным способом отфильтровать весь этот бесполезный шум.»

 

Невозможность сделать это сильно сказывается на эффективности и вовлеченности команды SOC. Исследование Ponemon / Devo показало, что только 22% компаний могут сообщать среднее время разрешения (MTTR) в часах или днях. Гораздо чаще встречаются более длинные MTTR. Приблизительно 42% сообщают, что их окно MTTR измеряется в месяцах или годах.

 

Большинство процессов вращается вокруг ложноположительных срабатываний, что приводит к переутомляемости аналитиков по безопасности и в конечном итоге к серьезному выгоранию и текучке кадров в составе SOC команд. Около восьми из десяти команд испытали ощутимый отток за последний год, а две из десяти команд сообщили об оттоке аналитиков более чем на 40% за этот период. Это еще более усложняет задачу по поддержанию уровня кадрового обеспечения, а около 38% SOC сообщили, что они испытывают нехватку персонала.

 

Это серьезная проблема, учитывая, что дефицит навыков обычно называют проблемой номер один в поддержании эффективности SOC, выше ложных уведомлений и общего объема предупреждений. Очевидно, что все это взаимосвязано — например, исследование Fidelis показало, что два главных барьера на пути к качественному выявлению угроз — это нехватка времени (49%) и недостаток навыков (41%).

 

Ericka Chickowski for Bitdefender Business Insights


На нашем сайте мы используем файлы cookie, чтобы сделать вашу работу наиболее комфортной. Продолжая пользоваться нашим сайтом, не меняя настроек, вы тем самым выражаете согласие на использование нами данных файлов. Более подробно вы можете почитать о них в разделе Политики конфиденциальности.