Защищенность конечных точек российских компаний

- КиТ :: Будь в СЕТИ!

Цель исследования - узнать, насколько российские компании защищены от целевых атак, как они выстраивают защиту конечных точек (компьютеров, серверов и сетевого оборудования), с какими трудностями при этом сталкиваются и на какие функции продуктов ИБ обращают внимание в первую очередь. В опросе, проводившемся в тематических СМИ и телеграм-каналах в конце 2023 года, приняли участие более 170 специалистов по ИБ и ИТ из российских компаний малого, среднего и крупного бизнеса.

Малый бизнес Рисунок 2. Сфера деятельности компаний-участников опроса

Основные результаты исследования

Согласно исследованию Positive Technologies, в IV квартале 2023 года доля целевых атак на организации увеличилась до 78% от общего числа. Одной из причин такого роста стала неспособность традиционных средств защиты информации противодействовать таргетированным атакам. Применяемые в них шпионское ПО, шифровальщики, вайперы и другие зловреды могут проникать в контур компании, оставаясь незамеченными для антивирусов. Преобладание целевых кибератак наблюдается по всему миру, в том числе в Африке, Азии и на Ближнем Востоке.

Чаще всего таргетированным атакам подвергаются государственные учреждения, научные, образовательные, медицинские и финансовые организации, ИТ и телеком. А векторами проникновения в первую очередь становятся конечные точки: компьютеры, серверы и сетевое оборудование компаний.

В меняющемся ландшафте киберугроз важно научиться обнаруживать атаки на ранних этапах их развития. Это позволит значительно снизить затраты на восстановление работы. Например, такой способ, как шифрование данных ради откупа жертвы, применяется только на последней стадии атаки. В первую очередь злоумышленники пробуют достичь других целей: закрепиться в системе, подменить легитимные файлы зловредами, украсть данные, запустить процессы, которые усложнят процедуру восстановления после обнаружения атаки.

Как компании оценивают свою защищенность от целевых атак

Российские компании осознают необходимость защиты от целевых атак, поскольку их становится все больше, а последствия обходятся бизнесу очень дорого. Почти 80% наших респондентов серьезно относятся к выстраиванию защиты конечных точек, комбинируя разные решения. Такой подход чаще используют крупные организации со зрелым департаментом ИБ.


\n "},"startAngle":0,"center":[null,null],"showInLegend":false},"column":{"colorByPoint":false},"bar":{"colorByPoint":false},"sunburst":{"borderColor":"white","dataLabels":{"format":"{point.name}","rotationMode":"circular"},"levels":[{"level":1,"levelIsConstant":false,"rotationMode":"circular"}]},"series":{"borderRadius":0,"dataLabels":{"enabled":true,"format":""}}},"series":[{"name":"Доля","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Да, это не исключено","y":60},{"name":"Да, уже сталкивались с такими атаками","y":14},{"name":"Нет, нам хватает имеющихся средств защиты","y":26},{"name":"","y":null},{"name":"","y":null},{"name":"","y":null},{"name":"","y":null},{"name":"","y":null},{"name":"","y":null}]},{"name":"","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Да, это не исключено","y":null},{"name":"Да, уже сталкивались с такими атаками","y":null},{"name":"Нет, нам хватает имеющихся средств защиты","y":null},{"name":"","y":null},{"name":"","y":null},{"name":"","y":null},{"name":"","y":null},{"name":"","y":null},{"name":"","y":null}]},{"name":"","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Да, это не исключено","y":null},{"name":"Да, уже сталкивались с такими атаками","y":null},{"name":"Нет, нам хватает имеющихся средств защиты","y":null},{"name":"","y":null},{"name":"","y":null},{"name":"","y":null},{"name":"","y":null},{"name":"","y":null},{"name":"","y":null}]}],"colors":["#ff0000","#0060b9","#313695","#993d6b","#00d359","#ffcc00","#f57c00","#ff2d55","#2094ff","#b4aae0"],"credits":{"enabled":true,"position":{"verticalAlign":"bottom","align":"right","x":-5,"y":-5}},"tooltip":{"enabled":true,"shared":true,"valueSuffix":"%"},"exporting":{"enabled":true,"buttons":{"contextButton":{"verticalAlign":"bottom","align":"right"}}}}> Рисунок 3. Собственная оценка уязвимости опрошенных компаний при целевых атаках

Эта тенденция прослеживается не только на российском рынке: в опросе Cybersecurity Insiders 85% организаций-респондентов также не исключают возможности такой атаки на свою инфраструктуру в ближайшие 12 месяцев.

Рисунок 4. Собственная оценка вероятности атаки компаний, принявших участие в исследовании Cybersecurity Insiders

Какие СЗИ компании используют для защиты

Для защиты конечных точек на рынке представлены различные средства: классические антивирусы, EP-платформы, EDR-решения и многие другие. При этом одного антивируса будет недостаточно для обнаружения целевых атак. Это решение работает на основе сигнатурного анализа уже известных угроз (например, троянов) и может пропустить атаку, развивающуюся по принципу цепочки (например, supply chain). Для покрытия большего спектра угроз необходима комбинация решений EPP и EDR.


\n "},"startAngle":0,"center":[null,null],"showInLegend":false},"column":{"colorByPoint":false},"bar":{"colorByPoint":false},"sunburst":{"borderColor":"white","dataLabels":{"format":"{point.name}","rotationMode":"circular"},"levels":[{"level":1,"levelIsConstant":false,"rotationMode":"circular"}]},"series":{"borderRadius":0,"dataLabels":{"enabled":true,"format":""}}},"series":[{"name":"Доля","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Другое (HIPS, patch management, XDR)","y":5},{"name":"Endpoint Detection & Response (EDR)","y":21},{"name":"Extended Detection & Response (XDR)","y":33},{"name":"Антивирус с функционалом Endpoint Protection Platform (EPP)","y":60}]},{"name":"","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Другое (HIPS, patch management, XDR)","y":null},{"name":"Endpoint Detection & Response (EDR)","y":null},{"name":"Extended Detection & Response (XDR)","y":null},{"name":"Антивирус с функционалом Endpoint Protection Platform (EPP)","y":null}]},{"name":"","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Другое (HIPS, patch management, XDR)","y":null},{"name":"Endpoint Detection & Response (EDR)","y":null},{"name":"Extended Detection & Response (XDR)","y":null},{"name":"Антивирус с функционалом Endpoint Protection Platform (EPP)","y":null}]}],"colors":["#ff0000","#0060b9","#313695","#993d6b","#00d359","#ffcc00","#f57c00","#ff2d55","#2094ff","#b4aae0"],"credits":{"enabled":true,"position":{"verticalAlign":"bottom","align":"right","x":-5,"y":-5}},"tooltip":{"enabled":true,"shared":true,"valueSuffix":"%"},"exporting":{"enabled":true,"buttons":{"contextButton":{"verticalAlign":"bottom","align":"right"}}}}> Рисунок 5. Средства защиты конечных точек, использующиеся в компаниях

Согласно отчету CyberRisk Alliance, решения класса EDR, наряду с EPP, - важная часть защиты конечных точек. Такой подход объясняется постоянно меняющимся ландшафтом угроз, способностью злоумышленников проникать глубже в инфраструктуру организаций и обходить классические средства защиты. Для большей киберустойчивости компании выбирают механизмы всесторонней защиты.

Таблица 1. Данные об использующихся и планирующихся к внедрению средствах защиты конечных точек в компаниях, принявших участие в исследовании CyberRisk Alliance

Запланированы на 2024 г.

[ Какие из этих технологий входят в стратегию защиты конечных точек вашей организации на 2023-2024 гг., какие из них планируется или не планируется добавлять? ]

Задачи при организации защиты

Своевременное обнаружение и предотвращение целевых атак и сложных угроз занимает первую строчку среди задач, возникающих при организации защиты конечных точек. Здесь важно использовать максимум телеметрии с узлов. Как правило, ее сбор осложняется разными источниками и техниками, а также проведением нормализации полученных данных. Но выявить инцидент недостаточно - необходимо быстро отреагировать на действия злоумышленников. EDR-решения отдают сгруппированную по событиям на основе поведенческого и статического анализа информацию и предлагают широкий выбор действий, в том числе автоматических. Они помогают автоматизировать рутинные задачи специалистов по ИБ, позволяя им решать более важные.

Главная задача для компаний при организации защиты конечных точек - своевременное обнаружение и предотвращение целевых атак и сложных угроз.


\n "},"startAngle":0,"center":[null,null],"showInLegend":false},"column":{"colorByPoint":false},"bar":{"colorByPoint":false},"sunburst":{"borderColor":"white","dataLabels":{"format":"{point.name}","rotationMode":"circular"},"levels":[{"level":1,"levelIsConstant":false,"rotationMode":"circular"}]},"series":{"borderRadius":0,"dataLabels":{"enabled":true,"format":""}}},"series":[{"name":"Доля","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Затрудняюсь ответить","y":6},{"name":"Другое","y":3},{"name":"Контроль и ограничение активности пользователя на рабочей станции","y":38},{"name":"Устранение уязвимостей на узлах","y":40},{"name":"Контроль сетевого обмена данными с устройствами","y":49},{"name":"Проактивный поиск угроз по внешним индикаторам","y":54},{"name":"Получение всех данных о состоянии конечных точек в едином окне","y":55},{"name":"Обнаружение и предотвращение целевых атак, сложных угроз","y":73}]},{"name":"","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Затрудняюсь ответить","y":null},{"name":"Другое","y":null},{"name":"Контроль и ограничение активности пользователя на рабочей станции","y":null},{"name":"Устранение уязвимостей на узлах","y":null},{"name":"Контроль сетевого обмена данными с устройствами","y":null},{"name":"Проактивный поиск угроз по внешним индикаторам","y":null},{"name":"Получение всех данных о состоянии конечных точек в едином окне","y":null},{"name":"Обнаружение и предотвращение целевых атак, сложных угроз","y":null}]},{"name":"","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Затрудняюсь ответить","y":null},{"name":"Другое","y":null},{"name":"Контроль и ограничение активности пользователя на рабочей станции","y":null},{"name":"Устранение уязвимостей на узлах","y":null},{"name":"Контроль сетевого обмена данными с устройствами","y":null},{"name":"Проактивный поиск угроз по внешним индикаторам","y":null},{"name":"Получение всех данных о состоянии конечных точек в едином окне","y":null},{"name":"Обнаружение и предотвращение целевых атак, сложных угроз","y":null}]}],"colors":["#ff0000","#0060b9","#313695","#993d6b","#00d359","#ffcc00","#f57c00","#ff2d55","#2094ff","#b4aae0"],"credits":{"enabled":true,"position":{"verticalAlign":"bottom","align":"right","x":-5,"y":-5}},"tooltip":{"enabled":true,"shared":true,"valueSuffix":"%"},"exporting":{"enabled":true,"buttons":{"contextButton":{"verticalAlign":"bottom","align":"right"}}}}> Рисунок 6. Задачи при организации защиты конечных точек, по мнению участников исследования

Кроме этого, еще одной важной задачей респонденты назвали выстраивание процесса проактивного поиска угроз. Он напрямую связан со сбором телеметрии с конечных точек, который осуществляют EDR-решения. В исследовании Sans Institute говорится, что 88,5% компаний используют EDR- и SIEM-системы в качестве инструментов для проведения threat hunting. В этом есть логика, ведь в таком случае складывается полная картина инцидентов внутри контура компании. Такая связка дает информацию по развитию инцидентов на каждой отдельной конечной точке.

Какие функции востребованы в продуктах класса EDR

Помимо очевидных возможностей мониторинга состояния узлов и реагирования на угрозы, респонденты отмечают возможность сбора данных из журналов операционных систем Windows, macOS и Linux. Поддержка последней в России является обязательной для любого агентского решения, так как в крупных компаниях все чаще встречаются гетерогенные сети, которые требуют дополнительной защиты на уровне узлов.


\n "},"startAngle":0,"center":[null,null],"showInLegend":false},"column":{"colorByPoint":false},"bar":{"colorByPoint":false},"sunburst":{"borderColor":"white","dataLabels":{"format":"{point.name}","rotationMode":"circular"},"levels":[{"level":1,"levelIsConstant":false,"rotationMode":"circular"}]},"series":{"borderRadius":0,"dataLabels":{"enabled":true,"format":""}}},"series":[{"name":"Доля","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Сбор данных из других средств защиты","y":46},{"name":"Дополнительная защита (по сравнению с EPP)","y":49},{"name":"Сбор данных из журналов популярных ОС (Windows, Linux, macOS)","y":50},{"name":"Реагирование на узле","y":64},{"name":"Мониторинг состояния узла","y":65}]},{"name":"","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Сбор данных из других средств защиты","y":null},{"name":"Дополнительная защита (по сравнению с EPP)","y":null},{"name":"Сбор данных из журналов популярных ОС (Windows, Linux, macOS)","y":null},{"name":"Реагирование на узле","y":null},{"name":"Мониторинг состояния узла","y":null}]},{"name":"","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Сбор данных из других средств защиты","y":null},{"name":"Дополнительная защита (по сравнению с EPP)","y":null},{"name":"Сбор данных из журналов популярных ОС (Windows, Linux, macOS)","y":null},{"name":"Реагирование на узле","y":null},{"name":"Мониторинг состояния узла","y":null}]}],"colors":["#ff0000","#0060b9","#313695","#993d6b","#00d359","#ffcc00","#f57c00","#ff2d55","#2094ff","#b4aae0"],"credits":{"enabled":true,"position":{"verticalAlign":"bottom","align":"right","x":-5,"y":-5}},"tooltip":{"enabled":true,"shared":true,"valueSuffix":"%"},"exporting":{"enabled":true,"buttons":{"contextButton":{"verticalAlign":"bottom","align":"right"}}}}> Рисунок 7. Топ-3 функций решения для защиты конечных точек, по мнению участников исследования

Сложности при построении защиты


\n "},"startAngle":0,"center":[null,null],"showInLegend":false},"column":{"colorByPoint":false},"bar":{"colorByPoint":false},"sunburst":{"borderColor":"white","dataLabels":{"format":"{point.name}","rotationMode":"circular"},"levels":[{"level":1,"levelIsConstant":false,"rotationMode":"circular"}]},"series":{"borderRadius":0,"dataLabels":{"enabled":true,"format":""}}},"series":[{"name":"Доля","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Другое","y":9},{"name":"Внедрили продукт, но не понимаю, как с ним работать","y":13},{"name":"Мои данные утекают в какое-то «облако»","y":13},{"name":"Низкий уровень обнаружения зловредов, нет доверия к продукту","y":18},{"name":"Слабая поддержка OC (Linux, Windows, macOS, Серверные ОС)","y":21},{"name":"Слишком много ложных срабатываний","y":29},{"name":"Большая нагрузка на рабочие станции","y":30},{"name":"Несовместимость агентов разных средств защиты","y":35},{"name":"Нет возможности гибко настроить глубину анализа, чтобы не перегружать узлы","y":37}]},{"name":"","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Другое","y":null},{"name":"Внедрили продукт, но не понимаю, как с ним работать","y":null},{"name":"Мои данные утекают в какое-то «облако»","y":null},{"name":"Низкий уровень обнаружения зловредов, нет доверия к продукту","y":null},{"name":"Слабая поддержка OC (Linux, Windows, macOS, Серверные ОС)","y":null},{"name":"Слишком много ложных срабатываний","y":null},{"name":"Большая нагрузка на рабочие станции","y":null},{"name":"Несовместимость агентов разных средств защиты","y":null},{"name":"Нет возможности гибко настроить глубину анализа, чтобы не перегружать узлы","y":null}]},{"name":"","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Другое","y":null},{"name":"Внедрили продукт, но не понимаю, как с ним работать","y":null},{"name":"Мои данные утекают в какое-то «облако»","y":null},{"name":"Низкий уровень обнаружения зловредов, нет доверия к продукту","y":null},{"name":"Слабая поддержка OC (Linux, Windows, macOS, Серверные ОС)","y":null},{"name":"Слишком много ложных срабатываний","y":null},{"name":"Большая нагрузка на рабочие станции","y":null},{"name":"Несовместимость агентов разных средств защиты","y":null},{"name":"Нет возможности гибко настроить глубину анализа, чтобы не перегружать узлы","y":null}]}],"colors":["#ff0000","#0060b9","#313695","#993d6b","#00d359","#ffcc00","#f57c00","#ff2d55","#2094ff","#b4aae0"],"credits":{"enabled":true,"position":{"verticalAlign":"bottom","align":"right","x":-5,"y":-5}},"tooltip":{"enabled":true,"shared":true,"valueSuffix":"%"},"exporting":{"enabled":true,"buttons":{"contextButton":{"verticalAlign":"bottom","align":"right"}}}}> Рисунок 8. Сложности при построении защиты конечных точек


\n "},"startAngle":0,"center":[null,null],"showInLegend":false},"column":{"colorByPoint":false},"bar":{"colorByPoint":false},"sunburst":{"borderColor":"white","dataLabels":{"format":"{point.name}","rotationMode":"circular"},"levels":[{"level":1,"levelIsConstant":false,"rotationMode":"circular"}]},"series":{"borderRadius":0,"dataLabels":{"enabled":true,"format":""}}},"series":[{"name":"Доля","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Недостаточные скорость работы и возможности масштабирования решения по управлению конечными точками","y":42},{"name":"Эксплуатация уязвимостей ПО, обнаруженных более 3 месяцев назад","y":44},{"name":"Нехватка штатных специалистов","y":45},{"name":"Недостаточная видимость конечных точек","y":63}]},{"name":"","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Недостаточные скорость работы и возможности масштабирования решения по управлению конечными точками","y":null},{"name":"Эксплуатация уязвимостей ПО, обнаруженных более 3 месяцев назад","y":null},{"name":"Нехватка штатных специалистов","y":null},{"name":"Недостаточная видимость конечных точек","y":null}]},{"name":"","color":"","marker":{"enabled":true,"symbol":"circle"},"dashStyle":"Solid","data":[{"name":"Недостаточные скорость работы и возможности масштабирования решения по управлению конечными точками","y":null},{"name":"Эксплуатация уязвимостей ПО, обнаруженных более 3 месяцев назад","y":null},{"name":"Нехватка штатных специалистов","y":null},{"name":"Недостаточная видимость конечных точек","y":null}]}],"colors":["#ff0000","#0060b9","#313695","#993d6b","#00d359","#ffcc00","#f57c00","#ff2d55","#2094ff","#b4aae0"],"credits":{"enabled":true,"position":{"verticalAlign":"bottom","align":"right","x":-5,"y":-5}},"tooltip":{"enabled":true,"shared":true,"valueSuffix":"%"},"exporting":{"enabled":true,"buttons":{"contextButton":{"verticalAlign":"bottom","align":"right"}}}}> Рисунок 9. Препятствия на пути к созданию надежной защиты конечных точек, по мнению участников исследования Ponemon Institute

Как повысить качество защиты конечных точек

Российские компании согласны с необходимостью защищать конечные точки, но трактуют эту защиту по-разному. Большинство используют только антивирус, тогда как ландшафт угроз требует внедрения более продвинутых решений. MaxPatrol EDR дает полную картину происходящего на узлах, позволяет выстроить цепочку атаки, обнаружить и моментально отреагировать на сложные современные угрозы, в том числе атаки нулевого дня.

Возможности продукта:

Совместное использование MaxPatrol EDR и других СЗИ даст возможность использовать экспертизу нескольких решений при предотвращении современных атак.

Для лучшего результата при выборе EDR-решения обращайте внимание на такие факторы, как поддержка популярных ОС, включая Linux, отсутствие чрезмерной нагрузки на конечные точки, возможность легко встроиться в гетерогенные среды и автономная работа агента. Глубина и тонкость настройки пользовательских правил и политик позволяют системе гибко встраиваться в инфраструктуру компании, не нарушая привычные процессы и не расходуя ресурсы ИТ-департамента. Кроме этого, важно выстроить в компании процесс threat hunting, чтобы выявлять кибератаки, которые не могут обнаружить традиционные средства защиты. Для этого необходимы продукты, которые будут собирать максимум телеметрии в своих сегментах и по возможности дополнять друг друга, обогащая информацией, необходимой для принятия качественных решений по инцидентам.

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg