Результаты опроса: защита от APT

[Сергей Ильин 1538]

Весьма интересные результаты опроса посетителей выставки InfoSecurity Russia 2014 от Cezurity:

**********

Исследование проводилось на выставке Infosecurity Russia’ 2014, которая прошла в Москве с 24 по 26 сентября.

Целенаправленные атаки (APT) отличает, главным образом, одна особенность. Злоумышленников интересует конкретная информационная система компании или государственной организации. С помощью атаки они решают задачи, связанные с кибершпионажем или получением той или иной выгоды от компрометации информационной системы и данных. При этом атакуемый объект всегда защищен и злоумышленникам необходимо уметь обходить защиту. Для этого они задействуют самые разные методы сбора данных и внедрения в информационную систему. В том числе социальную инженерию, эксплуатацию известных и неизвестных (0day) уязвимостей, вредоносные программы и инструменты сокрытия их присутствия в системах.

В исследовании, которое проводилось методом анкетирования, участвовало более 200 IT-специалистов из числа посетителей выставки Infosecurity’ 2014. 19% участников исследования представляли государственные организации, 81% — коммерческие компании из разных секторов экономики. Это финансовые структуры (9%), энергетика (7%), телекоммуникации (6%), консалтинг (3%) и другие. Отдельно стоит отметить высокую долю тех, кто работает в сфере информационной безопасности, — производстве, дистрибуции и интеграции ИБ-средств. Таких респондентов оказалось 26%.

Большинство участников исследования работает в компаниях, которые можно отнести к сегменту SMB (Small Medium Business). Так, 71% опрошенных работают в организациях, информационная система которых включает от 100 до 1000 рабочих мест, 10% — от 10 до 100, а остальные 19% представляли компании, где больше 1000 рабочих мест.

Главным выводом исследования можно считать то, что большинство опрошенных уже знакомы с феноменом целенаправленных атак (APT). На вопрос о том, может ли их организация стать жертвой APT, утвердительно ответили 68% опрошенных. 32% опрошенных считают, что их компания целью APT не станет.

Степень обеспокоенности проблемой APT возрастает в зависимости от размеров организации: чем больше компьютерный парк, тем меньше сомнений в том, что рано или поздно компания будет атакована.

Очень высока оказалась доля респондентов, которые видят разницу между целенаправленными и “массовыми” атаками. Так, 94% опрошенных убеждены, что целенаправленные атаки (APT) отличаются от “массовых” атак, для защиты от которых создавались традиционные средства ИБ, например, антивирусы и межсетевые экраны (firewall). Вероятно, высокая осведомленность об особенностях APT-атак по сравнению с “массовыми” объясняется PR-активностью ведущих разработчиков ИБ-средств и тем, что среди участников исследования велика доля сотрудников ИБ-компаний.

Исследование показало, что компании уже сегодня располагают инструментами для обнаружения атак и реагирования на них. Но большинство из опрошенных сомневаются в эффективности используемых средств.

Респондентам задавался вопрос о том, располагают ли их организации средствами обнаружить атаку, отреагировать на нее и остановить. Большинство опрошенных ответили, что такой инструментарий у них есть. Так, 78% считают, что могут обнаружить атаку, 79% — отреагировать на нее и 65% — остановить.

Лишь 7% респондентов выразили уверенность в том, что используемые средства способны обнаружить атаку (ответ “точно способны”). При этом уверенность в готовности отреагировать на атаку и остановить злоумышленников оказалась существенно выше — ее выразили 46% и 53% пользователей соответственно.

Таким образом, респонденты уверены в средствах реагирования, но сомневаются в эффективности инструментов для обнаружения атак.