Ученые и аналитики ServiceNow провели исследование и установили, что увеличение штата ИБ-специалистов не всегда приводит к повышению защищенности инфраструктуры и сетей компании. Выяснилось, что наиболее важную роль в этом играет автоматизация обновления ПО.

Далее поговорим об исследовании подробнее и приведем советы экспертов по теме.


/ Flickr / Conor Lawless / CC

ServiceNow и Ponemon Institute провели онлайн-опрос среди 3 тыс. специалистов по кибербезопасности. Они представляли компании со штатом свыше тысячи человек, расположенные в 9 странах: Австралии, Германии, Франции, Японии, Новой Зеландии, Англии, США, Сингапуре и Нидерландах. Цель исследования — выяснить, какие процессы в компаниях больше всего влияют на безопасность.

Результаты опроса показали, что 48% компаний подвергались кибератакам в течение последних 2 лет. При этом 57% респондентов заявили, что атака произошла из-за уязвимости, которую обнаружили, но не успели закрыть (хотя патч был уже доступен).

Чтобы оперативнее реагировать на возникающие угрозы, компании нанимают новых сотрудников: 64% организаций планируют расширить штат отдела ИБ в ближайший год. Однако в компании ServiceNow отмечают, что это не приведет к повышению безопасности до тех пор, пока не будут модифицированы сами механизмы устранения уязвимостей.

Почему расширение штата не решает проблему


В ServiceNow эту проблему называют patching paradox или «парадокс безопасности». Наём специалистов по ИБ не решит все трудности, так как в 61% случаев ИБ-отделы координируют установку всех патчей вручную. В среднем команды тратят 321 час в неделю на патчинг (что примерно равно недельной работе восьми full-time-специалистов). При этом на закрытие одной уязвимости уходит порядка 12 дней.

В этом случае расширение штата может дополнительно усложнить координацию и взаимодействие между сотрудниками. Сейчас 55% специалистов уже тратят больше времени на распределение задач внутри команды, чем на устранение угроз безопасности. Одна компания из списка Fortune 100 даже нанимает специальных работников, чья единственная обязанность — управлять spreadsheet-документами с информацией об уязвимостях: как ее закрывают, какой отдел несет ответственность и пр.

Одновременно с этим, организации, которые пытаются нанять новых сотрудников, сталкиваются с другой проблемой — нехваткой специалистов по ИБ. По данным сайта для поиска работы Indeed, спрос превышает предложение в несколько раз.

Например, в США на каждые 10 вакансий в сфере кибербезопасности приходится 6,67 просмотров (в Германии эта цифра равна 3,50; в Англии — 3,16). Это значит, что минимум треть вакансий вообще никто не просматривает. По прогнозам аудиторской организации ISACA, к 2019 году 2 млн позиций в сфере кибербезопасности будут пустовать.

И ситуация только ухудшится: к 2021 году число вакантных мест достигнет 3,5 млн. Главной причиной нехватки кадров в этой области основатель компании Cybersecurity Ventures Стив Морган (Steve Morgan) называет недостаток соответствующего обучения персонала.

Эту проблему пытаются решать. Например, компания IBM нанимает работников и без четырехлетнего профильного образования. Кроме того, разные компании пытаются переобучать сотрудников, популяризируют сферу кибербезопасности среди студентов и женской половины ИТ-персонала, призывают предприятия инвестировать средства в ИБ.

Однако пока все эти меры работают недостаточно хорошо, чтобы сократить «пропасть» между вакантными местами и специалистами, готовыми их занять.


/ Flickr / Emery Way / CC

Как разрешить парадокс безопасности


Чтобы решить проблему нехватки кадров и повысить безопасность, в ServiceNow предлагают пересмотреть методы обеспечения защиты. Шон Конвери (Sean Convery), вице-президент ServiceNow, отмечает, что большинство кибератак происходят из-за неспособности компаний закрыть все уязвимости вовремя.

Хакеры выигрывают в скорости: в компании Barkly, занимающейся разработкой средств киберзащиты, подсчитали, что для запуска фишинг-кампании нужно в среднем пару минут, а на обнаружение взлома уходит 256 дней. В отчете ServiceNow также упоминается, что злоумышленники становятся быстрее: по мнению 53% опрошенных, время между выходом патча и модифицированной атакой, его обходящей, сократилось на 29% за последние 2 года.

Как отмечалось выше, большинство кибератак на инфраструктуру компаний (57%) можно было предотвратить, так как патч, закрывающий уязвимость, уже был выпущен (вспомним случай Equifax). Некоторые компании обновляли ПО вручную и не успели вовремя, а другие (37%) — вообще не сканировали ИТ-системы на уязвимости регулярно (например, забывали просканировать инфраструктуру повторно после применения патча).

Для того чтобы помочь организациям быстрее устранять инциденты и уязвимости, в ServiceNow дают следующие рекомендации:

  1. Сперва нужно оценить то, как в компании реализуются процессы обнаружения уязвимостей и их устранения. И определить проблемные области, например, отсутствие координации между отделами или невозможность отслеживать жизненный цикл уязвимости. Пошаговый алгоритм построения системы оценки рисков безопасности предлагает ведущий специалист по ИБ компании CSO Джордж Виегас (George Viegas).
  2. Не стоит разрешать только крупные проблемы ИБ. И хотя этот совет выглядит довольно очевидным, как отмечают в компании Trip Wire, разрабатывающей инструменты кибербезопасности, многие организации им пренебрегают. Латая лишь «горящие уязвимости», компания оставляет злоумышленникам множество других, менее заметных возможностей для проникновения в систему.
  3. Будет нелишним объединить работу отделов ИТ и ИБ (например, с помощью решения Security Operations). Это поможет лучше расставлять приоритеты при патчинге. Например, ИБ-подразделению Freedom Security Alliance удалось на 40% ускорить время обнаружения уязвимостей за счет тесного взаимодействия с ИТ-отделом клиента.
  4. Стоить обратить внимание на то, как именно разрешаются ИБ-инциденты на предприятии, а затем автоматизировать рутинные задачи (маршрутизацию инцидентов или отслеживание их статуса). Этим советом воспользовались в австралийской компании AMP, что позволило им ускорить процесс установки патчей на 60%.



P.S. Материалы из Первого блога о корпоративном IaaS:


P.P.S. Дополнительное чтение из нашего блога на Хабре:

Комментарии (2)


  1. dmxrand
    22.04.2018 23:59

    Вся проблема в централизации и стандартизации. Да если в компании 1000 маленьких независимых подсистем, то 10 постоянно сломаны. Но если в компании 1 монолит, то уж если он сломался…


  1. aragon_sp
    23.04.2018 13:43

    Всё-таки отрадно иногда осознавать, что в вопросах ИБ мы ушли вперёд относительно штатов. Пока у них ставят патчи, мы уже осваиваем ИТ-архитектуру безопасную by design.