Пользователи платных фидов быстрее анализируют инциденты и блокируют угрозы

Центр экспертизы сетевой безопасности «Гарда» представил результаты исследования использования Threat Intelligence Feeds (TI Feeds) российскими компаниями. Опрос 144 специалистов по информационной безопасности – инженеров, аналитиков SOC, CISO – показал растущий разрыв в эффективности между командами, которые пользуются бесплатными открытыми фидами, и теми, кто работает с коммерческими решениями.

Исследование показало, что TI Feeds – инструмент, популярный среди всех компаний, которые ответственно подходят к обеспечению информационной безопасности. Их используют 56% представителей компаний со штатом более 5 000 сотрудников, тогда как среди опрошенных представителей малого бизнеса (со штатом до 250 человек) – лишь 20%, среди представителей среднего бизнеса – 23%. Наиболее востребованы решения в ИТ, финансовом секторе и ТЭК.

Исследование выявило корреляцию между размером компании, ее отраслью и выбором в пользу платных или бесплатных TI Feeds. Крупный и средний бизнес платит за эффективность обнаружения угроз. 67% опрошенных небольших компаний (до 250 человек) в основном полагаются на данные об угрозах из открытых источников. В корпорациях-гигантах (10 000+ сотрудников) чаще всего используют несколько источников данных: платных и бесплатных. Среди опрошенных представителей среднего бизнеса 70% пользуются платными источниками об угрозах. Ключевыми преимуществами платных сервисов Threat Intelligence Feeds крупные игроки назвали релевантность индикаторов, прямые интеграции с другими СЗИ и минимальное количество ложных срабатываний. Для компаний малого и среднего сегмента в использовании фидов самым важным, помимо релевантности индикаторов, является простота получения данных, стоимость, удобный интерфейс, наличие технической поддержки.

Главные «потребители» Threat Intelligence Feeds – ИТ, финансы и ТЭК. Именно в этих отраслях фиды получили наибольшее распространение. При этом компании из госсектора, ритейла и здравоохранения только планируют их внедрять.
60% респондентов не испытывают сложностей при использовании решения TI Feeds. Среди 40% опрошенных упоминаются такие проблемы как: стоимость и устаревание данных, ложные срабатывания и слабая техподдержка некоторых решений. 

Большинство опрошенных специалистов ИБ отметило топ-3 самых ресурсозатратных задач: расследование инцидентов, реагирование на нежелательную активность и обнаружение угроз. Респонденты, которые используют фиды от вендора, тратят меньше времени на анализ инцидентов по сравнению с теми, кто пользуется бесплатными источниками данных об угрозах. При этом, исследование показало, что 80% тех, кто использует Open Source фиды, сталкиваются с тем, что настройка и обогащение СЗИ отнимает у них значительное количество времени.  И наоборот, пользователи вендорских Threat Intelligence Feeds не отмечают эту задачу как ресурсозатратную. 

«Это можно объяснить тем, что фиды из открытых источников требуют дополнительного времени специалиста ИБ на обработку и фильтрацию, – комментирует Илья Селезнев, руководитель продукта «Гарда Threat Intelligence Feeds». – Данные об угрозах из открытых источников могут быть нерелевантными, зачастую они дают ложные срабатывания. Специалисты вынуждены вручную фильтровать и корректировать данные, которые часто содержат “шум” и неактуальную информацию. Техническая поддержка при использовании Open Source не предполагается, и за это компания платит не деньгами, а временем своих специалистов, которые могли бы заниматься более важными задачами, и возможно своей безопасностью».

Центр экспертизы «Града» также изучил ожидания рынка от развития сервисов TI Feeds. Среди респондентов из особо крупного бизнеса есть повышенный интерес к наличию целевых индикаторов, их же отмечают как «важные» и специалисты из крупного бизнеса. Компаниям с количеством сотрудников до 250 человек интересно наличие готовых сценариев для реагирования. 

Большинство опрошенных специалистов ИБ вне зависимости от размера компании в качестве ключевых возможностей видят индикаторы от ФСТЭК и каталог запрещенных БДУ, однако топ-менеджеры считают иначе. 50% опрошенных CISO в ответе на вопрос «Какие возможности, по вашему мнению, должен давать сервис Threat Intelligence Feeds?» среди наиболее важных отметили прогнозирование атак на основе машинного обучения. 

«Использование ML – это глобальный для IT тренд, на который обращает внимание в первую очередь топ-менеджмент. В сфере ИБ наличие ML в продуктах сообщает рынку о его актуальности. В то же время опрошенные нами специалисты, которые ежедневно занимаются анализом инцидентов и реагированием на них, не признают явную ценность ML для своей работы. И в этом нет противоречия, – комментирует Анастасия Червова, менеджер по маркетингу продукта «Гарда Threat Intelligence Feeds». – ML в качестве клиентских инструментов действительно еще далек от совершенства, поэтому не вызывает доверия у обычных специалистов. Вендору же машинное обучение необходимо. Оно помогает обрабатывать большие объемы разных типов данных об угрозах и показывает хорошие результаты с точки зрения автоматизации, ускорения процессов и повышения качества обработки индикаторов».