Российские компании постепенно отходят от подхода, при котором защита от внутренних угроз строится вокруг отдельных классов решений, и все чаще комбинируют мониторинг активности, анализ поведения пользователей и собственные инструменты контроля. К таким выводам пришли аналитики Контур.Эгиды по итогам исследования среди 1200 ИТ- и ИБ-специалистов российских компаний в 12 отраслях экономики.
Под внутренними угрозами в исследовании понимаются как злонамеренные действия, так и ошибки сотрудников, злоупотребление доступом, обход внутренних ограничений и использование неподконтрольных сервисов внутри корпоративной инфраструктуры.
Согласно результатам исследования, наиболее распространенными инструментами для работы с внутренними угрозами стали EDR-системы и собственные разработки — их используют по 35% респондентов. Еще 32% компаний применяют CASB-решения для контроля облачных сервисов, 30% — IAM-системы для управления доступом, 29% — SIEM-платформы, а 27% — UEBA-инструменты для анализа поведения пользователей. При этом DLP-системы используют 23% участников исследования.
По данным исследования, компании все чаще выстраивают защиту от внутренних угроз вокруг постоянного контроля активности и расследования инцидентов. Наиболее распространенными практиками стали анализ сетевого трафика и обучение сотрудников — их используют по 46% респондентов. Еще 45% компаний применяют мониторинг активности сотрудников, 42% — проверку сотрудников при найме, а 41% — анализ логов.
Одновременно компании сталкиваются с ограничениями существующих процессов и инструментов. Так, 22% респондентов сообщили об отсутствии автоматизированного выявления аномалий, а 20% — о слишком большом количестве ложных срабатываний при мониторинге событий и действий пользователей.
Еще 21% участников исследования указали на проблему использования нескольких несвязанных между собой систем безопасности, а 23% — на нехватку данных и логов для расследования внутренних инцидентов.
Даниил Бориславский, эксперт по информационной безопасности Контур.Эгиды и Staffcop: «Сейчас на рынке существует большое количество инструментов для защиты от внутренних угроз, и функциональность разных классов решений все чаще пересекается. Одни компании предпочитают собирать защиту из нескольких специализированных продуктов, другие делают ставку на единую экосистему или комбинированные платформы. Именно поэтому в аналитике мы видим такое разнообразие используемых подходов. При этом респонденты в среднем используют сразу 2–3 разных метода выявления внутренних угроз. Это показывает, что универсальной «серебряной пули» для защиты по-прежнему не существует: компаниям приходится комбинировать инструменты и подходы в зависимости от инфраструктуры, процессов и уровня зрелости ИБ. И сам факт такого активного использования разных практик говорит о том, что тема внутренних угроз остается для бизнеса действительно актуальной».
Кроме того, компании начинают рассматривать работу с внутренними угрозами как межфункциональную задачу. Помимо ИБ-инструментов, организации все чаще используют организационные меры: обучение сотрудников, проверку при найме и контроль подрядчиков.
Возврат к списку