Результаты исследования R-Vision: «Как российские компании работают с данными Threat Intelligence?»

Об исследовании

В мире использование Threat Intelligence (TI) постепенно входит в набор привычных инструментов SOC, однако в России применение этого инструмента только набирает популярность. Эксперты компании R-Vision решили разобраться, как российские компании используют данные TI, каким образом их обрабатывают и с какими сложностями сталкиваются. Опрос проводился среди ИБ- и ИТ-специалистов посредством онлайн-анкетирования.

 

Результаты исследования

В исследовании приняли участие 92 респондента, из которых больше половины (61%) используют данные Threat Intelligence в своей работе.

Распределение опрошенных по отраслям

Почти треть опрошенных (32%), использующих TI, работают в сфере информационной безопасности, 21% в финансовом секторе, 19% в сфере ИТ, 7% респондентов работают в телекоммуникационных компаниях, по 5% в ТЭК, промышленности и государственном секторе, 3% в области здравоохранения.

Частота использования Threat Intelligence

На вопрос «Как часто Вы используете TI?» подавляющее большинство респондентов (62%) ответили, что применяют TI почти каждый день. 16% респондентов сообщили, что используют TI несколько раз в неделю. Вариант ответа «один-два раза в месяц» выбрали также 16% респондентов. При этом всего лишь 6% опрошенных используют TI несколько раз в год.

 

Какие инструменты используются

Наибольшей популярностью у опрошенных пользуются коммерческие платформы, открытые TI-платформы, а также работа вручную.

Источники TI

Наиболее популярными источниками TI стали открытые фиды и TI-отчеты – это отметили порядка 70% респондентов. Чуть менее популярны коммерческие фиды и отраслевые новости. 42% аналитиков обращаются к отраслевым сообществам и группам как к источникам данных Threat Intelligence. Дополнительно в качестве источника TI респонденты отметили инфраструктуру организации.

Применение Threat Intelligence

В первую очередь ИБ-специалисты используют TI в качестве аналитической базы знаний – по обнаружению угроз, обработке и формированию рекомендаций по реагированию. Такой вариант ответа выбрали 75% опрошенных. Более половины респондентов используют данные TI также в процессе разведки и сбора данных об уязвимостях и угрозах.

Половина опрошенных среди задач, решаемых с помощью TI, выделяют следующие:

  • Реагирование на инциденты;
  • Понимание контекста текущего ландшафта угроз – ключевые техники и тактики, которые используют злоумышленники;
  • Использование информации об угрозах, которые пока не детектированы средствами защиты;
  • Проактивный поиск угроз (Threat Hunting).

Лишь 19% опрошенных считают, что с помощью TI можно решать стратегические задачи, а также проводить оценку средств защиты информации.

Среди задач, решаемых с помощью данных threat Intelligence, 3% респондентов отметили управление жизненным циклом уязвимостей в инфраструктуре организации и контроль устранения уязвимостей.

Наиболее полезная информация о киберугрозах

Одинаково ценными для российских ИБ-специалистов стала информация об уязвимостях, актуальных для их сферы деятельности, а также индикаторы компрометации, в контексте которых присутствуют данные о злоумышленниках, вредоносном ПО, TTP, других связанных индикаторах. Чуть менее важной респонденты посчитали общую информацию о ландшафте угроз.

 

Проблемы при работе с Threat Intelligence

Одной из основных проблем, с которыми сталкиваются специалисты при работе с TI, является обработка информации в ручном режиме, на которую уходит много времени, что отметили 48% респондентов. Второй по важности проблемой является недостаток специалистов для работы по направлению Threat Intelligence – такую проблему отметили 45% опрошенных. 32% респондентов считают немаловажной проблемой отсутствие экспертизы, что напрямую влияет на качество обработки и использования данных TI. 22% опрошенных отмечают, что проблемой также является невозможность приобрести платформу для работы с данными Threat Intelligence по причине отсутствия денежных средств.

Кроме того, некоторые эксперты выделили следующие проблемы:

  • плохое качество фидов и, как результат, ложные срабатывания;
  • низкое качество атрибуции, неактуальные данные в открытых источниках;
  • большое количество новых уязвимостей и, как следствие, сложность определения их применимости к инфраструктуре организации.

Выводы

Использование Threat Intelligence в России пока только набирает свою популярность. Сейчас данные TI в большинстве случаев применяются компаниями, специализирующимися на информационной безопасности. Но нельзя не отметить, что это направление также нашло активное применение в финансовом секторе, что говорит о зрелости ИБ-процессов в отрасли.

Позитивная тенденция наблюдается и по частоте использования данных: больше 60% пользователей обращаются к данным TI на ежедневной основе.

Отдельно отметим, что половина респондентов уже являются активными пользователями коммерческих платформ, а около трети опрошенных указали отсутствие денежных средств на приобретение коммерческой платформы, как проблему. Следовательно, в будущем возможно повышение спроса на данные продукты.

Кроме того, важными проблемами, по мнению опрошенных, также являются обработка информации в ручном режиме, на которую уходит много времени, и недостаток специалистов для работы по этому направлению.

Одинаково ценными для российских ИБ-специалистов стала информация об уязвимостях, актуальных для их сферы деятельности, а также индикаторы компрометации.

 

Поделиться записью: