Содержание
Мы провели анонимный опрос среди специалистов по ИБ, чтобы:
- Узнать, как они оценивают уровень прозрачности корпоративной сети
- Понять их ожидания от инструментов анализа трафика
- Сравнить полученные результаты с данными похожего исследования за рубежом компании SANS
Опрос проводился с 27 августа по 14 сентября. Мы разместили его на официальном сайте Positive Technologies, интернет-порталах, посвященных ИБ, социальных сетях, в тематических чатах и каналах в Телеграме. В опросе принял участие 231 специалист.
Кто участвовал в опросе
Большинство результатов опроса не зависит от размера компании респондентов или меняется незначительно.
Что мы выяснили (кратко)
- Российские специалисты по ИБ примерно одинаково оценивают прозрачность корпоративного внешнего и внутреннего трафика. По данным исследования SANS, за рубежом не так: они хуже видят то, что происходит внутри сети, чем то, что на периметре.
- За последний год реже всего респонденты замечали во внутреннем трафике горизонтальное перемещение злоумышленников (8%) и активность хакерского инструментария (17%). Вероятно, потому что у большинства специалистов нет подходящих инструментов для их выявления.
- Выбирая между шифрованием и прозрачностью внутренней сети, 64% специалистов скорее склоняются в пользу второго.
- По мнению участников опроса, наиболее важные задачи, которые должны решать инструменты анализа трафика, — выявление атак внутри сети (88%) и на периметре (86%), обнаружение сетевых аномалий (71%) и контроль соблюдения регламентов ИБ (71%). Это типовые задачи систем класса network traffic analysis, NTA.
- Менее приоритетные задачи — расшифровывать зашифрованный трафик и проводить ретроспективный анализ. За это проголосовали 29% и 27% специалистов соответственно.
NTA-системы анализируют трафик и на периметре, и в инфраструктуре. Они автоматически выявляют атаки по большому количеству признаков: от применения хакерского инструментария до отправки данных на сервер злоумышленников.
Видимость трафика: в России и за рубежом
По результатам опроса мы пришли к выводу, что, вероятно, в большинстве российских компаний не хватает инструментов для анализа трафика, покрыты не все сегменты сети или прозрачности мешает шифрование данных. 72% опрошенных оценивают видимость внешнего трафика как низкую или среднюю, уровень прозрачности внутреннего трафика так же оценили 68% респондентов.
Как за рубежом?
Сравним результаты с мировыми данными. По результатам опроса американской компании SANS, зарубежные ИБ-специалисты в разы лучше видят трафик на периметре, чем тот, что генерится внутри сети.
В опросе SANS приняли участие 213 специалистов по ИБ из крупных компаний (минимум 1000 сотрудников) по всему миру. Головные офисы и филиалы компаний расположены в Северной и Южной Америке, Европе, Африке, Австралии и Азии.
Почему 52% зарубежных специалистов считают, что у них высокая прозрачность внешнего трафика на периметре, тогда как в России этим могут похвастать только 24%? По мнению большинства участников NTA- комьюнити в Телеграм, причина столь большой разницы в том, что многие российские компании еще не внедрили IDS, NGFW, UTM, NTA и другие популярные инструменты анализа трафика. Вероятно это связано с тем, что в России меньшие бюджеты на ИБ, чем за рубежом.
Влияние отрасли на прозрачность трафика
Больше других в России видимостью внешнего трафика довольны представители IT и финансовых компаний: высокую прозрачность отметили соответственно 42% и 38% специалистов из таких компаний. Антирейтинг возглавляет промышленный сектор: 36% его представителей считают внешний трафик непрозрачным.
Почти такая же ситуация с прозрачностью внутренней сети. Почти половина представителей IT-компаний (47%) заявили о высоком уровне видимости, а чуть больше половины специалистов промышленных компаний (52%) оценили ее низко.
Непрозрачность внутренней сети
За последний год 51% специалистов по ИБ замечал внутри периметра сканирования внутренней сети и вредоносную активность. Хуже обстоят дела, если злоумышленник перемещался по сети или использовал специальный инструментарий для развития атаки. Только 8% и 17% специалистов обнаруживали такую активность за последний год.
Сканирования сети и активность вредоносного ПО отлавливаются многими средствами безопасности (например, антивирусами или EDR). Вероятно, что опрошенные специалисты выявляли их, не используя системы анализа трафика network traffic analysis, NTA, которые в том числе предназначены для выявления горизонтального перемещения злоумышленников и активности хакерского инструментария.
Специалист экспертного центра безопасности PT ESC показал на вебинаре, как обнаружить горизонтальное перемещение в сети по трафику с помощью NTA-системы PT NAD и как помешать развитию атаки.
Что должны уметь инструменты анализа трафика
Самые высокие оценки по важности получили задачи, связанные с обнаружением угроз. 88% опрошенных специалистов отметили высшими баллами (4 или 5) выявление атак внутри сети, 86% — выявление атак на периметре, 71% — обнаружение сетевых аномалий и такая же доля у контроля соблюдения регламентов ИБ.
Антирейтинг приоритетных задач возглавляет расшифровка зашифрованного трафика. 29% специалистов оценили ее в 0, 1 или 2 балла. Но это не значит, что специалистам по ИБ неважно, что происходит внутри зашифрованного трафика: 70% специалистов по ИБ крупных компаний хотят видеть в нем вредоносную активность (оценили задачу в 4 и 5 баллов). Это возможно и без расшифровки, анализируя сетевые пакеты.
Также к неприоритетным задачам 27% специалистов отнесли проведение ретроспективного анализа. Мы спросили, что об этом думают участники NTA-комьюнити в Телеграм. Среди причин они назвали не умение некоторых специалистов пользоваться ретроспективным анализом и высокую стоимость серверов для хранения трафика.
Шифрование vs прозрачность сети
64% российских специалистов по ИБ склоняются в сторону прозрачности сети: они оценили свое волнение по поводу шифрования внутреннего трафика в 3, 4 или 5 баллов.
Ноль — «мне все равно на прозрачность сети, я за полное шифрование трафика внутри сети»,
Пять — «я предпочту не шифровать трафик, чтобы видеть сеть».
Это почти совпадает с мнением зарубежных коллег: 56,3% опрошенных SANS скорее обеспокоены тем, что шифрование препятствует прозрачности сети (оценили обеспокоенность в 6-10 баллов).
Шифрование внутри корпоративной сети — тема неоднозначная. В некоторых случаях шифрование — необходимо, например, все пароли и электронные письма должны передаваться в шифрованном виде. Но зашифровать весь трафик для многих инфраструктур, в особенности крупных, сложно из-за старого серверного оборудования и специфичного софта. Стоит учитывать, что даже если это получится, то действия злоумышленников тоже окажутся под прикрытием и обнаружить их будет сложнее.
Выводы
- NTA-системы ждет большое будущее, поскольку компании осознают важность и необходимость мониторинга безопасности внутренней сети. Об этом говорит то, какие задачи для инструментов анализа трафика специалисты по ИБ оценили как наиболее приоритетные.
- Скорее всего, еще не во всех компаниях используются системы анализа трафика NTA для мониторинга внутренней сети. Мы можем об этом судить по тому, что за прошедший год специалистам удалось выявить внутри периметра.
- Большинство специалистов не поддерживают идею полного шифрования корпоративной сети, а значит у NTA-систем будет больше возможностей для обнаружения подозрительной активности. Тем, кто все-таки постарается зашифровать все по максимуму, NTA будут полезны в части выявления аномалий и вредоносного ПО.
Благодарности
Спасибо нашим партнерам за поддержку опроса: группе компаний Angara, компаниям «Анлим ИТ», «ДиалогНаука», «Инфосистемы Джет», «Софтлайн Кыргызстан», «Телеком Интеграция», «УЦСБ», «ХОСТ», Axxtel, OCS, TS Solution.