Увеличить
Рис. 1. Какие классы решений для защиты от внутренних угроз используются в вашей компании. Источник Контур.Эгида
Увеличить
Рис. 2. Какие подходы применяются для выявления внутренних угроз. Источник Контур.Эгида

Российские компании постепенно отходят от подхода, при котором защита от внутренних угроз строится вокруг отдельных классов решений, и все чаще комбинируют мониторинг активности, анализ поведения пользователей и собственные инструменты контроля. К таким выводам пришли аналитики Контур.Эгиды по итогам исследования среди 1200 ИТ- и ИБ-специалистов российских компаний в 12 отраслях экономики.

Под внутренними угрозами в исследовании понимаются как злонамеренные действия, так и ошибки сотрудников, злоупотребление доступом, обход внутренних ограничений и использование неподконтрольных сервисов внутри корпоративной инфраструктуры.

Согласно результатам исследования, наиболее распространенными инструментами для работы с внутренними угрозами стали EDR-системы и собственные разработки — их используют по 35% респондентов. Еще 32% компаний применяют CASB-решения для контроля облачных сервисов, 30% — IAM-системы для управления доступом, 29% — SIEM-платформы, а 27% — UEBA-инструменты для анализа поведения пользователей. При этом DLP-системы используют 23% участников исследования. (рис. 1)

По данным исследования, компании все чаще выстраивают защиту от внутренних угроз вокруг постоянного контроля активности и расследования инцидентов. Наиболее распространенными практиками стали анализ сетевого трафика и обучение сотрудников — их используют по 46% респондентов. Еще 45% компаний применяют мониторинг активности сотрудников, 42% — проверку сотрудников при найме, а 41% — анализ логов. (рис. 2)

Одновременно компании сталкиваются с ограничениями существующих процессов и инструментов. Так, 22% респондентов сообщили об отсутствии автоматизированного выявления аномалий, а 20% — о слишком большом количестве ложных срабатываний при мониторинге событий и действий пользователей.

Еще 21% участников исследования указали на проблему использования нескольких несвязанных между собой систем безопасности, а 23% — на нехватку данных и логов для расследования внутренних инцидентов.

Даниил Бориславский, эксперт по информационной безопасности Контур.Эгиды и Staffcop, комментирует: «Сейчас на рынке существует большое количество инструментов для защиты от внутренних угроз, и функциональность разных классов решений все чаще пересекается. Одни компании предпочитают собирать защиту из нескольких специализированных продуктов, другие делают ставку на единую экосистему или комбинированные платформы. Именно поэтому в аналитике мы видим такое разнообразие используемых подходов. При этом респонденты в среднем используют сразу 2–3 разных метода выявления внутренних угроз. Это показывает, что универсальной „серебряной пули“ для защиты по-прежнему не существует: компаниям приходится комбинировать инструменты и подходы в зависимости от инфраструктуры, процессов и уровня зрелости ИБ. И сам факт такого активного использования разных практик говорит о том, что тема внутренних угроз остается для бизнеса действительно актуальной».

Кроме того, компании начинают рассматривать работу с внутренними угрозами как межфункциональную задачу. Помимо ИБ-инструментов, организации все чаще используют организационные меры: обучение сотрудников, проверку при найме и контроль подрядчиков.

Источник: