Posiadanie odpowiedniej wiedzy o cyberzagrożeniach coraz częściej staje się podstawą funkcjonowania każdej organizacji. Większe przedsiębiorstwa zdobywają ją dzięki pracy zespołów Threat Intelligence czy Threat Hunting, w mniejszych często to odpowiedzialność działów bezpieczeństwa IT. Mimo to, 3/4 przedstawicieli polskich przedsiębiorstw nie jest zadowolonych ze skuteczności monitorowania informacji o nowych zagrożeniach.
Żyjemy w świecie, w którym wiele rzeczy dzieje się bardzo szybko i równocześnie. Obserwujemy coraz większą kompleksowość technologii i skomplikowanie modeli biznesowych. To nam nie ułatwia panowania nad tym, co się dzieje w infrastrukturze i procesach. Wielu potencjalnych incydentów nie mamy nawet szansy zobaczyć – mówi Przemysław Dęba, CSO Orange Polska. Odpowiedzią branży jest coś, co nazywamy Threat intelligence, czyli wiedza o tym, co może się wydarzyć w zakresie cyberbezpieczeństwa na świecie i w Polsce. Bezwzględnie trzeba być z tą wiedzą na bieżąco i sprawdzać czy u nas takiego rodzaju zdarzenie byłoby możliwe.
Przedsiębiorstwa nie nadążają za nowymi zagrożeniami
Zbyt mała skuteczność w aktualizowaniu wiedzy na temat nowych zagrożeń, może skutkować brakiem odpowiedniej reakcji w przypadku, gdy takie zagrożenie się pojawi. Polscy CSO mają świadomość, że w większości przedsiębiorstw to monitorowanie nie jest wystarczające. Raport Trend Micro i CSO Council wskazuje na przyczyny takiego stanu rzeczy. Wbrew pozorom, proces pozyskiwania informacji o aktualnych zagrożeniach cyberbezpieczeństwa nie należy do najłatwiejszych – wymaga dużego nakładu czasu pracowników, ich odpowiednich umiejętności oraz wiedzy, chociażby o wiarygodnych źródłach, z których można pozyskiwać dane. Natomiast 46 proc. polskich CSO uważa, że specyfika nowych zagrożeń sprawia, że dotarcie do odpowiednich informacji o nich w pożądanym czasie jest utrudnione, a aż 28 proc. uznaje to za bardzo trudne.
Badanie IT security Global Findings przeprowadzone przez Sapio Resarch dla Trend Micro wskazuje, że praca związana z Threat Intelligence wykonywana przez zespoły Threat Intelligence, a także SOC, odkładana jest niestety na dalszy plan ze względu na przeciążenie pracowników obsługą alertów bezpieczeństwa. Aż 36 proc. ankietowanych CSO przyznaje, że właśnie proaktywne śledzenie zagrożeń jest najbardziej zaniedbywane z powodu nadmiernej ilości alertów.
Duże organizacje posiadają dedykowane zespoły Threat Intelligence, które zbierają informacje o zagrożeniach. Dane te są następnie utylizowane przez zespoły Threat Hunting do śledzenia zagrożeń wewnątrz organizacji, a w przypadku wykrycia potencjalnie groźnego zdarzenia uruchamiany jest zespół Incident Response, którego zadaniem jest reakcja na zdarzenie i doprowadzenie organizacji do stanu normalnego. Jednak tylko niewielka część organizacji jest w stanie pozwolić sobie na inwestycje w tak złożoną strukturę – mówi Joanna Dąbrowska, Sales Engineer w Trend Micro.
Wsparcie z zewnątrz
Ponad połowa ankietowanych CSO przyznaje, że ich threat intelligence funkcjonuje na bardzo podstawowym poziomie – korzystają z ogólnodostępnych portali i artykułów o aktualnych kampaniach i zagrożeniach. Tylko ponad 16 proc. analityków sięga nieco głębiej i samodzielnie poszukuje aktualnych informacji, analizując dane na przykład w darknecie czy deepwebie. Dlatego coraz popularniejsze staje się sięganie po dedykowaną usługę zewnętrzną, dzięki której przedsiębiorstwa otrzymują bieżące raporty i alerty o zagrożeniach. Z takiego sposobu pozyskiwania wiedzy o cyberzagrożeniach korzysta już niemal 1/3 przedsiębiorstw.
Warto pamiętać, że cały proces zarządzania zagrożeniami to nie modny trend, ale wręcz obowiązek wskazywany w wielu regulacjach, np. ustawie o krajowym cyberbezpieczeństwie czy dotyczącej ochrony danych osobowych. Threat Intelligence to wysiłek i inwestycja, które pozwalają na budowanie skutecznego procesu zarządzania incydentami i odpowiedniej odporności organizacji na cyberzagrożenia, tym samym pomagając zapobiegać stratom operacyjnym, finansowym i wizerunkowym.
