Сигурност

Компаниите не разбират ролята на ловците на заплахи

Мария Динкова

Компаниите по света не разбират ролята и задачите на ловците на заплахи, показват резултатите от проучването Threat Hunting 2019, което е спонсорирано от ThreatQuotient и проведено от SANS. В него са участвали 575 компании, които работят или ръководят свои собствени екипи за улавяне на заплах, пише IT Brief.

За разлика от специалистите в Центъра за управление на сигурността и екипите за реагиране при инциденти, ловците на заплахи не само отговарят за мрежовата защита, но трябва и проактивно да откриват пробиви.

Това включва разработване на хипотези за съществуването на потенциални заплахи, които след това се потвърждават или не на база на събраната информация.

"Въпреки това реалността в корпоративните ИТ често е различна. При много екипи разликата с Центъра за управление на сигурността и специалистите за реакция при инциденти са твърде размини. Често ловците на заплахи се използват за реактивни процеси, което е точно обратното на тяхната истинска роля", коментира Маркъс Ауер, регионален мениджър "Продажби" за Централна Европа в ThreatQuotient.

Според проуването повечето ловци на заплахи отговарят на сигнали за тревога (40%) или реагират при проблеми с SIEM (57%).

Само 35% от участвалите заявяват, че създават хипотези за потенциални пробиви – процес, който трябва да бъде част от задачите на всеки ловец на заплахи.

"Справянето с проблеми е важно за сигурността, но не е основаното задължение на ловците на заплахи. Те трябва да търсят такива опасности, които заобикалят защитите и никога не предизвикат сигнал за тревога", подчертава Ауер.

Всъщност процесът за намирае на заплахи е в своята ранна фаза на развитие, имайки предвид неоптиманото приоритизиране на ресурсите, което се прилага от фирмите.

"Много компании все още са на етап прилагане и са готови да инвестират в инструменти вместо в квалифицирани експерти или в обучение на съществуващите служители", обяснява Матиас Фъч, сертифициран инструктор в SANS. Той допълва, че когато се извършва търсене на заплахи, става дума по-скоро за случайни опити, отколкото за планирана програма с бюджет и ресурси.

Всъщност 71% от участващите организации смятат технологиите за първостепенни или второстепенни при разпределянето на ресурси с цел откриване на заплахи. Само 47% от анкетираните се фокусират върху насочване на нови служители и 41% върху обучение на настоящите.

Заради проактивния характер на търсенето на заплахи, компаниите трудно измерват икономическите ползи от подобни мерки за сигурност. В идеалния случай експертите успяват да предотвратят заплахите, които могат да доведат до сериозен проблем. Въпреки това 61% от отговорилите отбелязват, че цялостното състояние на ИТ системите се е подобрило с поне 11% заради тяхната работа.

Тези цифри показват, че насоченото търсене на заплахи е важно и че инвестирането в подобни екипи подобрява ИТ сигурността в организациите.

X