Bonyolulttá válhatnak a kibervédelem folyamatai, amelyek többféle biztonsági megoldás bevetését, magas szinten képzett szakemberek alkalmazását, szoros együttműködést az IT-üzemeltetői csapattal és egy sor manuális művelet elvégzését egyaránt megkövetelik a szervezeteknél. Nem meglepő, hogy az Enterprise Strategy Group (ESG) év elején készült felmérésében (2017: Security Operations Challenges, Priorities, and Strategies) megkérdezett 150 vállalati kiberbiztonsági szakember több mint harmada (35 százaléka) azt mondta, cégük nehezen birkózik meg a biztonsági riasztások áradatával.
A Siemplify megbízásából Észak-Amerikában 500-20 000 főt foglalkoztató vagy ennél nagyobb vállalatok körében a gyártóipar, a pénzügyi szolgáltatások, a kereskedelem, az egészségügy és az informatika területén, valamint a kormányzati szektorban készült felmérés során a válaszadók 29 százaléka a kibervédelem legnagyobb nehézségei között említette a biztonsági eszközök megfelelő integrációjának hiányát. Egyaránt 25 százalékuk panaszkodott arra, hogy a folyamatok kevéssé szabályozottak, illetve túlzott mértékben támaszkodnak a kulcsszerepet betöltő alkalmazottak képességeire, miközben egyre nehezebb a szükséges kompetenciák kiépítése és a legrátermettebb munkaerő megtartása.
Kényszerből mellőzött incidensek
Egyszerre szembesülve a biztonsági riasztások áradatával és a megfelelő kompetenciák, erőforrások hiányával, a kibervédelem nem tehet mást, mint hogy szemet huny a gyanús fejlemények egy része felett. Az ESG felmérésében a válaszadók több mint fele (54 százaléka) ismerte be, hogy kénytelenek figyelmen kívül hagyni olyan riasztásokat is, amelyeknek utána kellene járniuk. A megkérdezettek 43 százaléka szerint a feltáratlanul hagyott biztonsági események aránya ijesztő, meghaladja a 25 százalékot.
Rímel erre az ESG egy másik, szintén idén készült kutatása (2017 IT Spending Intensions Survey), amely a tervezett IT-költés szerkezetét vizsgálva feltárta, hogy a vállalatok 45 százalékánál gondot okoznak a hiányos kiberbiztonsági képességek; a probléma különösen a biztonsági analitika, valamint az incidensek feltárása és megválaszolása terén súlyos.
Ebben a felmérésben a válaszadók csupán 17, illetve 18 százaléka állította, hogy vállalatának kibervédelmi csapata mind a létszámot, mind a kompetenciákat nézve megfelelően ellátott. A kiberbiztonsági szakemberek túlnyomó többsége ezért rendkívül leterhelt, a legtöbb idejüket olyan feladatok rabolják el, mint a biztonsági eseményekkel összefüggő releváns adatok összegyűjtése, a naplófájlok elemzése és az incidensek kiváltó okainak feltárása.
Összehangolt fellépés
A megkérdezett IT-biztonsági szakemberek több mint harmada (39 százaléka) szerint az áldatlan helyzeten elsősorban a biztonsági műveletek automatizálására szolgáló folyamatok és technológiák bevezetése változtatna, 29 százalékuk pedig védekezést támogató, integrált architektúra kialakítását, valamint a vizsgálati, feltáró munka hatékonyságát javító folyamatok és eszközök implementálását is a szükséges beruházások közé sorolja.
Érthető, hogy a válaszadók miért jelölték meg ezeket a prioritásokat. Önmagában véve egy biztonsági riasztás ugyanis igen behatárolt módon utalhat egy potenciálisan veszélyt hordozó, átfogóbb esemény kibontakozására. A szakembereknek ezért számos forrásból kell adatokat gyűjteniük ahhoz, hogy a riasztást kontextusba helyezhessék, és a kirajzolódó eseménysorozat alapján eldönthessék, valóban kibertámadással állnak-e szemben, vagy a történés más jellegű. A fenyegetéskörnyezet gyors fejlődése és a biztonsági riasztások növekvő áradata miatt manuális módszerekkel ezt a munkát ma már egyre nehezebb elvégezni.
Segíthetnek a közelmúltban megjelent új típusú biztonsági analitikai eszközök, amelyek konszolidálják, más forrásokból vett adatokkal gazdagítják, árnyalják és összefüggésbe helyezik a biztonsági riasztásokat, felgyorsítva és megkönnyítve a vizsgálati munkát. Az ESG felmérésében a résztvevők 45 százaléka mondta, hogy a riasztások konszolidálását és kontextualizálását támogató megoldások bevezetését rendkívül fontosnak tartanák, de további 50 százalékuk is értékesnek ítélné az erre irányuló beruházásokat.
A megkérdezettek 37 százaléka arról számolt be, hogy vállalata a biztonsági események megválaszolásának összehangolására és automatizálására irányuló projektet valósított meg, további 38 százalékuk jelenleg dolgozik ilyen fejlesztésen, míg 17 százalékuk tervezi, hogy egy-másfél éven belül beruházásba kezd ezzel a céllal. Összehangolva és automatizálva a biztonsági műveleteket a vállalatok ugyanis szabályozott munkafolyamatok mentén kezelhetik az incidenseket, sokkal több riasztást vizsgálhatnak ki, és azt is könnyebben eldönthetik, mely eseményekre kell összpontosítaniuk a rendszerek és az adatok hatékonyabb védelme érdekében.