Безопасность

ИБ-команды в России назвали самую затратную по ресурсам задачу: расследование инцидентов

Компания «Гарда» (входит в «ИКС Холдинг») изучила, как российские организации реагируют на инциденты в сфере информационной безопасности. Данные, полученные аналитическим центром фирмы, демонстрируют, что ручное управление процессом реагирования остается серьезным препятствием для защиты данных в отечественном бизнесе. Более половины предприятий не ведут полного учета своих активов. Эту информацию CNews получили от представителей «Гарда».

При этом самым трудоемким этапом является расследование происшествий: для 33% организаций анализ журналов событий и поиск признаков компрометации отнимают больше всего времени среди неавтоматизированных шагов реагирования. Ситуацию усугубляют дефицит опытных кадров и современных средств для активного противодействия, а также опора исключительно на качественные показатели. В итоге команды по информационной безопасности не всегда успевают заниматься профилактикой и упреждающим выявлением угроз.

Исследование выявило, что многие компании пока не имеют полного представления о составе и состоянии своей инфраструктуры. 57% организаций не проводят всесторонней инвентаризации и классификации активов по степени важности — в лучшем случае это делается вручную и только для основных серверов и ключевых бизнес-систем, что замедляет расследование инцидентов. В компаниях с численностью до 250 сотрудников автоматизация учета и классификации активов достигает 50%. С ростом бизнеса до 1000, а затем до 5000 человек этот показатель падает до 39% и 30% соответственно. Именно такие предприятия чаще всего используют частично ручные методы учета активов. При переходе в категорию свыше 5000 сотрудников уровень автоматизации снова повышается и возвращается к отметке 50%.

Еще одним препятствием для реагирования на инциденты остается нехватка персонала и экспертных знаний — на это указали более половины опрошенных. Недостаточная автоматизация и длительное согласование инцидентов, усложненное анализом данных, также сказываются на скорости реакции. В сегменте от 1000 до 5000 человек на первое место выходит отсутствие автоматизации, за которым следуют кадровые проблемы и затянутые внутренние процедуры эскалации.

В организациях с численностью от 250 до 1000 сотрудников кадровый вопрос стоит особенно остро — его отметили 70% респондентов. Нехватка автоматизации и слабая формализация процессов также существенно тормозят реагирование. Для малого бизнеса характерна комплексная нагрузка: дефицит специалистов, сложности с анализом данных и низкий уровень автоматизации.

О ресурсных ограничениях команд по информационной безопасности говорит и скорость выявления инцидента: время его обнаружения часто достигает суток, что увеличивает риск ущерба. После фиксации события команды в большинстве случаев находят инцидент в течение четырех часов, однако основная задержка возникает на этапе расследования, где не хватает данных и людей. В таких условиях любая сложная атака удлиняет время простоя систем и потенциальный ущерб для бизнеса.

Кроме того, данные исследования позволяют заключить, что фишинг и взлом учётных записей остаются самыми ресурсоёмкими инцидентами. Это лишний раз доказывает, что человеческий фактор по-прежнему служит главным каналом для атак.

Самыми популярными автоматическими действиями при реагировании являются блокировка IP-адресов и доменов (49%), отключение учётных записей (46%) и изоляция заражённых устройств (35%). Это говорит о том, что в первую очередь автоматизируют сетевые взаимодействия и управление доступом. Именно в этих направлениях кроется основной резерв для ускорения реакции и уменьшения нагрузки на специалистов.

Наиболее времязатратной ручной операцией остаётся анализ инцидентов. В компаниях, где работает более 5000 человек, 42% опрошенных назвали этот этап самым дорогим. Затем идут восстановление и исправление систем (19%), а также принятие решений (15%). Это свидетельствует о значительной нагрузке на аналитиков и руководителей в условиях сложной инфраструктуры.

В организациях с численностью от 1000 до 5000 человек больше всего времени уходит на восстановление и исправление систем (29%), а также на межведомственную координацию и расследование — по 24% на каждый этап. Компании со штатом от 250 до 1000 сотрудников чаще всего испытывают задержки на этапе кросс-функциональной координации — 35%. Доля расследования и восстановления систем составляет по 30%. В малом бизнесе самыми трудоёмкими остаются координация и расследование — по 31%, затем восстановление систем — 25%.

Приоритеты в использовании данных для принятия решений при реагировании варьируются в зависимости от размера компании, однако три категории неизменно входят в число ключевых: журналы аутентификации, данные о сетевом трафике и логи конечных устройств. Эти источники дают наиболее объективную и своевременную информацию о событиях, позволяя выявлять аномалии, отслеживать действия злоумышленников и подтверждать факты взлома.

Дополнительным препятствием для системного улучшения процессов остаётся преобладание количественных метрик при оценке эффективности реагирования. Почти половина компаний учитывают количество инцидентов за месяц, более трети — долю ложных срабатываний, тогда как качественные показатели (MTTR, MTTD, процент успешно устранённых угроз) применяются значительно реже. Такой подход не позволяет объективно оценить принимаемые меры и определить, какие именно этапы реагирования нуждаются в оптимизации в первую очередь.

Клиенты уже сформировали основу для работы с инцидентами, опираясь на SIEM. Сейчас SIEM остается самым популярным инструментом – его применяют 52% организаций. В то же время специализированные системы активного реагирования (XDR, SOAR, EDR и NDR) используются гораздо реже. С ростом компании ее ИБ-ландшафт становится сложнее, и возникает потребность в большем объеме контекста для анализа сложных инцидентов. Например, в организациях с численностью от 1000 до 5000 человек решения NDR уже внедрили 35% опрошенных. Это говорит о неудовлетворенном спросе на профессиональные средства реагирования, которые не только выявляют угрозы, но и координируют действия по их нейтрализации и расследованию. Исходя из полученных данных, можно прогнозировать высокий спрос и дальнейшее активное развитие этих классов решений на российском рынке в ближайшие годы.

«Расследование инцидентов остается главной сложностью для многих организаций. По мере расширения инфраструктуры растет количество событий, усложняется технологический стек и увеличивается нагрузка на аналитиков. Кроме того, современные атаки все чаще опираются на легитимные инструменты и горизонтальные перемещения внутри сети, что затрудняет их обнаружение традиционными защитными средствами. Поэтому рынок смещается в сторону поведенческого анализа, машинного обучения и автоматической приоритизации событий. Такие подходы помогают быстрее выявлять по-настоящему опасные инциденты, снижать число ложных срабатываний и освобождать время экспертов для задач проактивной защиты», – подчеркнул Станислав Грибанов, руководитель продуктового направления компании «Гарда».

***

Исследование проводилось методом количественного опроса в офлайн-формате в конце 2025 года. В опросе участвовали представители компаний из сфер ИТ и телекоммуникаций (40%), государственных учреждений (18%), финансов (13%), промышленности (10%), ритейла и e-commerce (7%), транспорта и логистики (5%), а также других отраслей. По размеру бизнеса были охвачены компании с числом сотрудников менее 250 (19%), от 250 до 1000 (28%), от 1000 до 5000 (21%) и более 5000 человек (32%).

Поделиться:

0 Комментариев

Оставить комментарий

Обязательные поля помечены *
Ваш комментарий *
Категории
Популярные новости