8 ключевых выводов из отчета Observed о состоянии безопасности за 2023 год
4 января 2024 г.Автор: Джек Коутс, старший директор по управлению продуктами компании Observe< /п>
Вы слышали о безопасности и наблюдаемости, но, возможно, не о безопасности наблюдения.
Наблюдение за безопасностью использует журналы, метрики и трассировки для определения рисков, мониторинга угроз и оповещения о нарушениях. Основы современной наблюдаемости — дешевизна серверной части, простой прием любых типов данных, поиск с оплатой по мере использования — теперь имеют решающее значение и для служб безопасности.
Организации использовали данные журналов для выявления известных и неизвестных атак с момента появления Интернета, но каждое изменение объема и скорости каждого поколения разрушало старые инструменты. Наблюдение за безопасностью начинается как способ перенести ваши службы безопасности в мир с архитектурой, которая отделяет хранилище от вычислений.
Чтобы лучше понять конвергенцию безопасности и наблюдаемости, компания Observe недавно опросила 500 штатных лиц, принимающих решения и практиков в области безопасности, 40% из которых были либо директорами по информационной безопасности, либо ОГО, чтобы составить Отчет о состоянии наблюдения за безопасностью за 2023 год.
Вот восемь основных выводов опроса:
НАБЛЮДАТЕЛЬНОСТЬ БЕЗОПАСНОСТИ – ПРИОРИТЕТ. Наблюдение за безопасностью – это не просто модное словечко. 99% респондентов говорят, что их организации уделяют этому приоритетное внимание, демонстрируя необходимость нового подхода. Организации любого размера могут использовать свои платформы наблюдения для обеспечения безопасности.
ОРГАНИЗАЦИЯМ НУЖНА ПОМОЩЬ В ИНТЕГРАЦИИ ИНСТРУМЕНТОВ НАБЛЮДЕНИЯ. В отчете показано, что 84% организаций объединяют безопасность и операции с данными в едином инструменте аналитики. Однако более половины важных для безопасности данных, поступающих в системы наблюдения, необходимо преобразовать, прежде чем их можно будет использовать.
SIEM СЛОЖНЕЕ, ЧЕМ КАЖЕТСЯ. Подавляющее большинство (95%) респондентов так или иначе используют инструменты управления информацией о безопасности и событиями (SIEM). SIEM позиционируется как точка входа с богатым содержанием и интеграцией, которая предоставляет доступ к десяткам правил и надстроек, специфичных для других продуктов, на которых работает ваша организация. Реальность такова, что каждая интеграция имеет требования к версионированию и конфигурации, каждое правило работает только с правильно абстрагированными данными, и каждое предупреждение ожидает, что клиент сможет решить, важно это или нет. Это требует постоянного обслуживания со стороны опытных пользователей или дорогостоящих профессиональных услуг.
НЕБОЛЬШИМ ОРГАНИЗАЦИЯМ БОРЬБА С СРЕДСТВАМИ БЕЗОПАСНОСТИ. Небольшие организации сталкиваются с ограниченностью ресурсов на рынке средств безопасности, что препятствует их эффективному внедрению. Они вынуждены ждать, пока поставщик SIEM обновит решение, чтобы быть в курсе новых тенденций.
НЕОБХОДИМЫ АГЕНТЫ. Облачная инфраструктура сама по себе не обеспечивает достаточных операций или наблюдения за безопасностью, поэтому необходимо использовать агентов. Хост-агенты используются 57 % организаций для обеспечения наблюдения и 51 % для обеспечения безопасности, а также контейнерными агентами (42 % для наблюдения и 44 % для обеспечения безопасности) и дополнительными агентами (29 % для наблюдения и 28 % для обеспечения безопасности).
Организации борются с разрастанием инструментов. Разрастание инструментов остается проблемой для организаций: половина инцидентов безопасности требует эскалации, а разрастание инструментов представляет собой препятствие. Только 11% респондентов сообщили, что остаются в одном окне, а 18% используют шесть или более инструментов для расследования проблем. Это указывает на то, что организациям нужна универсальная платформа для более эффективного реагирования на инциденты.
ЦЕННОСТЬ КВАЛИФИЦИРОВАННЫХ КОМАНД. В отчете показано, что организации ценят наличие квалифицированных команд для поиска и реагирования на неизвестные угрозы. Около 73% компаний имеют собственные группы реагирования на инциденты (IR) и центры управления безопасностью (SOC). Интересно, что новые инструменты, такие как SOAR, UEBA и EDR, которые, как ожидается, заменят SIEM, не получили должного развития. Вместо этого организации по-прежнему сильно зависят от SIEM в обеспечении безопасности.
БОЛЬШЕ ОРГАНИЗАЦИЙ СТАНОВЯТСЯ ОБЛАЧНЫМИ. Преобразование в облако перешло черту, и 74 % организаций построили свои текущие системы так, чтобы они были преимущественно или полностью ориентированы на облако. Поскольку все больше организаций переходят на облачные технологии, им потребуются инструменты и инфраструктура, способные работать в сложных и эфемерных облачных средах.
Оригинал