Исследование: традиционные решения кибербезопасности в облачных технологиях малоэффективны
Более 80 процентов из 650 специалистов по кибербезопасности и ИТ, опрошенных Check Point Software Technologies в июле, заявили, что их традиционные решения безопасности либо вообще не работают, либо предоставляют лишь ограниченные функции в облаке.
По словам Т. Дж. Гонена, главы линейки облачных продуктов компании, это указывает на то, что миграция и развертывание облачных сред в организациях опережают возможности их групп безопасности по защите от атак и взломов.
"Их существующие решения безопасности обеспечивают лишь ограниченную защиту от облачных угроз, и командам часто не хватает опыта, необходимого для улучшения процессов безопасности и соответствия требованиям", - сказал Гонен.
Отставание в безопасности и эффективности
Однако проблема не в недостатке инструментов. Gartner прогнозирует, что глобальные расходы на инструменты облачной безопасности в 2020 году составили 585 миллионов долларов, что на 33 процента больше, чем в 2019 году.
"Мы участвуем в гонке кибервооружений, которая спровоцировала гонку инструментов безопасности с развивающимися атаками злоумышленников, вынуждающими нас тратить больше, чтобы попытаться защитить себя", - сказал Джим Ривис, соучредитель и генеральный директор Cloud Security Alliance (CSA). который способствует использованию лучших практик кибербезопасности в облачных вычислениях.
"Наш ответ по умолчанию - использовать новые инструменты, чтобы не отставать, но мы проигрываем эту гонку, поскольку противники продолжают опережать защитников", - заявил Ривис. "Мы увеличиваем операционные расходы и расходы на персонал, но каким-то образом снижаем безопасность и эффективность. Наши сложные и дорогостоящие инструменты фактически увеличивают вероятность успеха злоумышленников".
CSA определила то, что, по его мнению, является критическим пробелом, - это отсутствие возможности легко использовать и объединять выходные данные инструментов безопасности с развернутой аналитикой угроз.
Пять проблем, которые мешают развитию этого качества:
1. Быстрые темпы изменений как в технологиях безопасности, так и у групп, нацеленных на нарушения.
2. Поставщики сосредотачиваются на "единой стеклянной панели" или информационной панели, которая визуально представляет данные о событиях. Проблема здесь в том, что обилие и разнообразие данных о событиях и темпах вредоносной активности нелегко представить на одной информационной панели. Поэтому покупатели не хотят использовать одну панель, потому что они потратили средства на обучение различным продуктам безопасности, которые они используют.
3. Нет легко реализуемого протокола обмена и онтологии маркировки данных.
4. Интеграция и обработка разрозненных наборов данных из разных инструментов безопасности и источников информации затруднена из-за различных форматов и протоколов, управления дубликатами и редактированием, а также важности понимания контекста.
5. Переход от использования программного обеспечения и продуктов к защищенным системам и сосредоточению внимания на информации, генерируемой системами данных.
Рекомендации CSA "хороши в целом, но не должны восприниматься как общее правило", - говорит Сару Найяр, генеральный директор компании Gurucul, занимающейся глобальной безопасностью и анализом мошенничества.
"По идее, одна стеклянная панель может напрямую отображать всю важную информацию", - утверждает она. "Это позволяет аналитикам сосредоточиться на том, что является наиболее важным для их работы. Правильно настроенная единая панель представляет соответствующую информацию в одном месте в зависимости от роли каждого пользователя и позволяет пользователю детализировать конкретные события, риски, угрозы и т. д., по мере необходимости - без потери контекста и необходимости менять инструменты ".
Новый подход к облачной безопасности
ИТ-отделам необходимо "разорвать цикл, установленный двадцать лет назад, и заложить новый краеугольный камень киберзащиты: облачную защиту, ориентированную на данные", - заявило в прошлом месяце CSA.
Использование ориентированной на данные защиты, интеграции и автоматизации инструментов и общей архитектуры требует пересмотра того, что означает интеллект в контексте кибербезопасности, создания киберпамяти, создания и поддержания безопасных интеллектуальных экосистем, говорится в документе.
Разведка "должна быть определена как способность организации нормализовать, преобразовывать и автоматически извлекать полезные сведения и контекст из инструментов внутренней безопасности и внешних источников, чтобы сократить среднее время на обнаружение и реагирование".
Создание киберпамяти включает в себя вызов данных о событиях, собранных как из внутренних средств безопасности, так и из внешних угроз, вместо того, чтобы обрабатывать каждое событие отдельно. Машинное обучение следует использовать с целью выявления закономерностей для более эффективного и действенного противодействия вредоносной деятельности.
Безопасные интеллектуальные экосистемы - это облачные банки памяти, которые непрерывно объединяют и обогащают данные из внутренних инструментов безопасности и внешних источников. Эти расширенные данные могут автоматически обновлять инструменты киберзащиты или проводить сортировку для дальнейших действий аналитиков. Данные из отдельной экосистемы могут быть переданы другим компаниям или организациям для формирования совместной оборонной экосистемы.
"Это не призыв к единственному продукту, а новый образ мышления для использования "интеллекта" для интеграции и автоматизации рабочих процессов с данными из инструментов и источников безопасности, используемых внутри и между предприятиями для создания интеллектуальных экосистем", - говорится в документе.
По словам Гонена из Check Point, предприятиям "необходимо получить целостную видимость во всех своих общедоступных облачных средах и развернуть унифицированные автоматизированные средства защиты, обеспечивающие соответствие нормативным требованиям и аналитике событий". "Таким образом, они могут идти в ногу с потребностями бизнеса, обеспечивая при этом постоянную безопасность и соответствие вызовами времени"
