Сколько времени требуется субъектам угроз, чтобы перейти от первоначального доступа к боковому смещению? Дни? Часы? К сожалению, для многих организаций все чаще и чаще этот ответ — «минуты». Согласно одному из отчетов, среднее время перерыва в работе в 2024 году составило 48 минут, что на 22% меньше, чем в предыдущем году. Опасения усиливает и другая цифра из того же отчета: среднее время сдерживания (MTTC) кибератак обычно измеряется часами.
Это гонка со временем, которую многие организации проигрывают. К счастью, у противника не все карты на руках, и защитники сетей могут нанести ответный удар. Инвестируя в управляемое обнаружение и реагирование (MDR) высшего уровня от надежного партнера, ИТ-команды получают доступ к команде экспертов, работающей круглосуточно для быстрого обнаружения, сдерживания и смягчения последствий входящих угроз. Пора перейти на быструю полосу.
Почему вам нужно MDR?
Ожидается, что в ближайшие 7 лет рынок MDR будет расти на 20% в год и к 2032 году превысит 8,3 миллиарда долларов США. Это прямой ответ на изменения в киберландшафте. Его растущая популярность среди ИТ-отделов и служб безопасности объясняется несколькими важнейшими взаимосвязанными факторами:
Взломы достигли рекордного уровня
По данным американского Центра исследования краж личных данных (ITRC), только в прошлом году в США было зафиксировано более 3 100 случаев несанкционированного доступа к корпоративным данным, в результате чего пострадали 1,4 миллиарда человек, а 2025 год снова побьет рекорды.
Финансовые последствия не менее плачевны. Согласно последнему отчету IBM «Стоимость утечки данных», сегодня стоимость средней утечки данных — 4,4 миллиона долларов США. В США эта сумма еще выше — в среднем 10,22 миллиона долларов США.
Поверхность атаки продолжает расти
Предприятия по-прежнему используют большое количество удаленных и гибридных работников. Для получения конкурентных преимуществ они инвестируют в облачные технологии, ИИ, IoT и другие технологии. К сожалению, эти же инвестиции — и постоянный рост цепочек поставок —увеличивают и размер цели для противников.
Субъекты угроз профессионализируются
В киберпреступном подполье все больше появляется предложений по предоставлению услуг, которые снижают барьеры для входа на рынок, начиная с фишинга и DDoS и заканчивая программами-вымогателями и кампаниями инфокрадов. По мнению экспертов правительства Великобритании, ИИ предоставит еще больше новых возможностей преступникам для увеличения частоты и интенсивности угроз.
Он уже помогает им автоматизировать разведку, быстрее обнаруживать и использовать уязвимости. В одном исследовании утверждается, что время между обнаружением дефекта в программном обеспечении и его эксплуатацией сократилось на 62%.
Нехватка квалифицированных кадров и ресурсов продолжает расти
Команды защиты уже давно испытывают нехватку кадров. По оценкам, глобальная нехватка профессионалов в области ИТ-безопасности составляет более 4,7 миллиона человек. А поскольку 25% организаций сообщают об увольнениях в сфере кибербезопасности, руководители предприятий не настроены тратить большие средства на персонал и оборудование для операционного центра безопасности (SOC).
Почему в MDR скорость имеет значение
Аутсорсинг в этом контексте имеет абсолютный смысл. Это более дешевый (особенно в плане капитальных затрат) способ обеспечить круглосуточный мониторинг и обнаружение угроз, включающий проактивный поиск угроз с помощью специальной команды экспертов. Это не только помогает преодолеть нехватку квалифицированных кадров, но и обеспечивает оперативную круглосуточную защиту. Это может обеспечить душевное спокойствие, особенно сейчас, когда 86% жертв программ-вымогателей признают, что их атаковали в выходные или праздничные дни.
В этом контексте важна скорость, потому что она может помочь:
- Минимизировать время пребывания злоумышленников, которое в настоящее время, по данным фирмы Mandiant, составляет 11 дней. Чем дольше противники находятся в вашей сети, тем больше у них времени на поиск и похищение конфиденциальных данных, а также развертывание программ-вымогателей.
- Быстро ограничить «радиус взрыва» атаки, обеспечить изоляцию взломанных систем/сегментов сети и, таким образом, предотвратить распространение несанкционированного доступа.
- Сократить расходы, связанные с серьезными нарушениями, включающими время простоя, устранение последствий, репутацию бренда, уведомления, ИТ-консультации и возможные штрафы со стороны регулирующих органов.
- Удовлетворить пожелания регуляторов, демонстрируя вашу приверженность быстрому и эффективному обнаружению угроз и реагированию на них.
На что обращать внимание в MDR
После того как вы решили усовершенствовать свои операции по обеспечению безопасности (SecOps) с помощью решения MDR, необходимо обратить внимание на критерии покупки. Поскольку на рынке представлено множество решений, важно найти то, которое подойдет именно вашему бизнесу. Как минимум, вы должны искать:
- Обнаружение и реагирование на угрозы на основе ИИ: Интеллектуальная аналитика позволяет автоматически отмечать подозрительное поведение, использовать контекстные данные для повышения точности оповещений и автоматически исправлять ситуацию в случае необходимости. Таким образом можно ускорить расследование и устранить проблемы до того, как противники успеют нанести серьезный ущерб.
- Надежная команда профильных экспертов: Как бы ни была важна технология, люди, стоящие за вашим решением MDR, пожалуй, еще важнее. Вам нужны специалисты SOC корпоративного уровня, которые будут работать как продолжение вашей команды ИТ-безопасности над ежедневным мониторингом, проактивным поиском угроз и реагированием на инциденты.
- Передовые исследовательские возможности: Поставщики, которые содержат известные лаборатории по исследованию вредоносных программ, будут лучше других справляться с возникающими угрозами, включая «нулевые дни». Все потому, что их эксперты ежедневно изучают новые атаки и способы их защиты. В контексте MDR эти сведения бесценны.
- Персонализированное развертывание: Оценка клиента перед каждым новым подключением гарантирует, что поставщик MDR поймет вашу уникальную ИТ-среду и культуру безопасности.
- Комплексное покрытие: Ищите возможности, подобные XDR, на уровни рабочих станций, электронной почты, сети, облака и т. п., чтобы у противников не было возможности скрыться.
- Проактивный поиск угроз: Периодические исследования для поиска угроз, которые могли ускользнуть от автоматического анализа, включая сложные APT-угрозы и эксплойты нулевого дня.
- Быстрое подключение: После того как вы выбрали поставщика, последнее, что вам нужно, — это ждать несколько недель, пока вы сможете воспользоваться защитой. Перед началом работы должны быть правильно настроены правила обнаружения, исключения и параметры.
- Совместимость с другими инструментами: Средства обнаружения и реагирования должны работать в тесном взаимодействии с инструментами управления информацией о безопасности и событиями (SIEM), а также средствами оркестровки и реагирования на угрозы безопасности (SOAR). Они должны предлагаться поставщиком MDR или передаваться через API сторонним решениям.
Правильно подобранное MDR станет неоценимым дополнением к вашей среде кибербезопасности, поддерживая подход к безопасности, основанный на предотвращении, в первую очередь на предотвращении нанесения ущерба вашим ИТ-системам вредоносным кодом или злоумышленниками. Это означает использование защиты серверов, рабочих станций и устройств, управление уязвимостями и исправлениями, а также полнодисковое шифрование и другие элементы. Благодаря правильному сочетанию человеческого и искусственного интеллекта вы сможете ускорить свой путь к более безопасному будущему., vulnerability and patch management, and full-disk encryption, among other elements. With the right blend of human and artificial intelligence, you can accelerate your journey to a more secure future.