Несмотря на постоянно растущий спрос на решения для информационной безопасности, число успешных кибератак на организации по всему миру ежегодно увеличивается. По нашим данным, в 2023 году этот показатель вырос на 18%, и, судя по тенденциям 2024 года, этот рост продолжится. Одна из причин – повсеместная цифровизация. Компании автоматизируют процессы и внедряют новые продукты и сервисы, что ведет к увеличению числа цифровых активов, которые могут стать уязвимым местом в инфраструктуре.
В этой статье поговорим про зрелость информационной безопасности в российских компаниях, покажем, хорошо ли они справляются с кибератаками, есть ли у них планы по развитию ИБ на ближайшие пять лет и готовы ли они переходить от ручного тестирования на проникновение (пентеста) к автоматизации этого процесса.
В основе статьи – результаты опроса, который мы провели среди представителей российских компаний среднего и крупного бизнеса. Опросили около 300 специалистов из числа директоров по информационной безопасности и информационным технологиям, руководителей SOC, а также других сотрудников, принимающих решения, связанные с ИТ-инфраструктурой и информационной безопасностью компаний из сферы ИТ, транспорта, промышленности, финансового сектора, ритейла и других отраслей.
О компаниях-респондентах
В исследовании принимали участие организации разного размера:
от 1000 до 2000 сотрудников;
с численностью сотрудников более 2000.
Среди специалистов, отвечающих на вопросы: руководители SOC (38%), ИТ-директора (30%) и директора по ИБ (16%).
Основные результаты
За последний год атакам подвергались 55% опрошенных компаний, из них около 25% были атакованы меньше полугода назад. Чаще всего скомпрометированными оказывались удаленные устройства.
Среди опрошенных компаний 79% указали, что изменения в их ИТ-среде происходят чаще, чем раз в квартал. При этом только 21% опрошенных заказывают услуги по ручному тестированию на проникновение, из них регулярные пентесты делают только 64%.
В среднем компании используют от 10 до 30 продуктов для ИБ. При этом планы на закупку новых решений в перспективе до двух лет есть у 63% опрошенных компаний.
Кибератаки в российских организациях
Злоумышленники проникают в инфраструктуру предприятия, используя разные методы: в ход идут и социальная инженерия, и рассылки с вредоносными вложениями, и эксплуатация уязвимостей.
Несмотря на значительные инвестиции в инфраструктуру безопасности, за последний год жертвами кибератак стали 55% опрошенных организаций, из которых каждая четвертая была атакована в последние полгода. Остальные участники опроса отметили, что сталкивались с инцидентами безопасности более полутора лет назад, и только небольшая часть компаний никогда не подвергалась кибератакам.
Последствия кибератак
Восемь из десяти опрошенных компаний столкнулись с серьезными последствиями кибератак в 2024 году, и лишь 13% компаний отметили, что не получили значительного урона от взлома. Четверть организаций сообщили о финансовых потерях — это говорит о том, что одной из главных целей для злоумышленников остаются деньги. Такое же количество компаний (чуть более 25%) сообщили о репутационных потерях. Однако самые большие риски связаны с непрерывностью бизнеса: 48% опрошенных отметили, что атака привела к незапланированным простоям, из-за которых компании были вынуждены приостановить ключевые процессы или потеряли контроль над оборудованием. Влияние атаки на конфиденциальные данные отметили 34% респондентов, а для 18% компаний инцидент привел к юридическим проблемам.
Злоумышленники атакуют по всем направлениям, не ограничиваясь конкретными векторами или отдельными сегментами инфраструктуры компаний. Периметр организации сильно размыт, и хакеры вынуждены тщательно готовиться к кибератаке — изучать инфраструктуру и собирать данные. Исследование показывает, что под угрозой находятся не только удаленные или локальные устройства, но и облачная инфраструктура, которой требуются специальные средства защиты. Можно предположить, что с ростом использования облачных решений число атак на них будет только расти.
Используемые продукты для ИБ
Большинство организаций, участвовавших в опросе, используют от 10 до 30 решений для ИБ, и только 20% компаний используют менее 10 автоматизированных средств защиты. Несмотря на преимущества многоуровневого обеспечения безопасности, на практике такое количество систем не решает проблемы. При неправильной настройке решения производят много уведомлений о потенциальных проблемах и инцидентах, что затрудняет мониторинг и управление инфраструктурой, ограничивая способность организации обнаруживать угрозы и реагировать на них. Кроме того, поддержка работоспособности множества систем и их интеграции между собой требует дополнительных ресурсов, которые не все компании могут себе позволить.
Количество используемых продуктов для ИБ зависит от размера компании: в крупных компаниях в 2,5 раза чаще используется более 30 продуктов. Менее 10 систем чаще используют компании, в которых работает менее 2000 сотрудников. Среди крупных компаний встречаются и такие, которые используют для защиты инфраструктуры более 50 решений.
Мы уточнили у компаний, планируют ли они закупки решений для информационной безопасности в краткосрочной или долгосрочной перспективе.
Результат опроса показывает, что для крупных компаний более характерно долгосрочное планирование: планы на 5 и более лет имеют 13% очень крупных компаний, тогда как среди организаций размером 1000–2000 сотрудников такие планы имеют только 3% компаний. При этом подавляющее большинство компаний (63%) имеет планы по закупкам систем для ИБ только в перспективе ближайших 1–2 лет, что говорит о тактическом уровне планирования. Возможно, для стратегического планирования компаниям не хватает информации о том, на каком уровне безопасности они находятся в данный момент.
Проблема №1
Несмотря на инвестиции в ИБ, компании все еще недостаточно защищены и постоянно сталкиваются с кибератаками, что вынуждает их закупать новые средства защиты. С одной стороны, это говорит о том, что компании выстраивают эшелонированную защиту и многоступенчатую безопасность. С другой стороны — большое количество СЗИ создает много событий безопасности, которые требуют внимательного изучения службой ИБ, затрудняя определение приоритетных инцидентов и потенциальных угроз.
Почему компании все еще уязвимы к кибератакам
Знание собственной инфраструктуры
По данным опроса, каждая третья компания (30%), независимо от числа сотрудников, не уверена, что обладает точной информацией об аппаратном и программном обеспечении, которое формирует основу операционной деятельности. При этом практически любой ИТ-актив компании может стать входной точкой для злоумышленников, и специалисты, отвечающие за безопасность, должны знать, что именно нужно защищать.
Сложность ИТ-инфраструктуры растет во всех компаниях, и они вынуждены внедрять новые решения для управления безопасностью и поддержания киберустойчивости. Развертывание нового ПО, добавление или удаление рабочих станций неизбежно меняют инфраструктуру. Каждое изменение создает новые потенциальные бреши, которые могут использовать злоумышленники. Инфраструктура компаний состоит из дата-центров, ДМЗ, сегментов рабочих станций, географически распределенных офисов с разными часовыми поясами, тестовых сегментов и т. д. Все эти сегменты имеют различный уровень и особые требования к защите ИБ, контролировать которые в моменте очень сложно.
Изменение активов в инфраструктуре
Около 80% опрошенных компаний, независимо от размера, добавляют или отключают активы минимум раз в квартал, что сильно меняет инфраструктуру и может оказать влияние на уровень защищенности. Добавление и отключение активов (серверов, сетевых устройств, ПО, систем управления БД, а также различных видов конфиденциальных данных) может спровоцировать появление дополнительных уязвимостей и незащищенных мест, которые могут быть использованы для проведения атак.
Проблема №2
Сложность инфраструктуры компаний непрерывно растет: постоянно меняется количество активов, увеличивается количество средств защиты — это требует постоянной проверки настроек и состояния СЗИ, источников событий и процессов ИБ (мониторинг, реагирование, харденинг, treat hunting и т. д.). Из-за динамичных изменений инфраструктуры компании не всегда точно знают о состоянии ИТ-активов и том, как настроена их безопасность, что создает дополнительные уязвимые места, которыми могут воспользоваться злоумышленники.
Оценка защищенности
Оценка защищенности инфраструктуры может выявить узкие места и неэффективные процессы, которые необходимо оптимизировать для улучшения киберустойчивости компании. Разнообразие методов анализа защищенности позволяет выбрать наиболее подходящие, в зависимости от ресурсов и уровня зрелости ИБ в компании. По данным исследования «Готовы ли российские компании противостоять кибератакам?», наиболее объективную оценку уровня защищенности можно получить, если проводить анализ, действия которого имеют максимальное сходство с действиями реальных злоумышленников.
Регулярная оценка состояния безопасности
Более 90% компаний проводят оценку безопасности и защищенности, 61% из них делают это регулярно.
Это связано с тем, что многим компаниям необходимо соблюдать требования регуляторов в области защиты информации, несоответствие которым может привести к серьезным штрафам. Кроме того, регулярная оценка инфраструктуры помогает выявлять и устранять слабые места, которые могут быть использованы для проникновения в систему и кражи данных, менять процессы, плейбуки и сценарии реагирования на угрозы, а также сфокусироваться на самых вероятных векторах атак.
Бюджет на тестирование безопасности
Компании, которые инвестируют не только в системы для информационной защиты, но и в их тестирование, имеют меньше шансов столкнуться с кибератаками, утечками данных и другими киберугрозами, что способствует стабильному и успешному развитию бизнеса.
В среднем на оценку защищенности тратится около 10–30% бюджета, в более крупных компаниях затраты несколько выше. Некоторые компании могут неправильно оценивать важность тестирования защищенности, не придавать ему значения и направлять основную часть бюджета на выстраивание процессов защиты инфраструктуры.
Методы проверки безопасности
Мы опросили компании, которые регулярно тестируют защищенность, и выяснили, что самые популярные способы проверки — аудит безопасности и использование сканеров уязвимостей. Почти в два раза реже используются киберучения и специализированные программы. При этом ручной пентест заказывают только 21% компаний, хотя в мире наблюдается устойчивый рост интереса к подобным услугам.
Результаты тестирования
Традиционно во многих отраслях проверка защищенности возникла как необходимость соответствовать требованиям регуляторов. Нет сомнений в том, что эти требования, даже если они навязаны регулирующими органами, по-прежнему в некоторой степени стимулируют компании проводить тестирование на безопасность.
Однако основной причиной для проверки защищенности является необходимость приоритизации закупок и выбора действительно нужных решений. Кроме того, немаловажным фактором называют демонстрацию результатов топ-менеджменту для информирования о рисках кибербезопасности как внутри компании, так и за ее пределами. Из опрошенных специалистов по ИБ 48% сообщили, что делятся результатами с высшим руководством, так как с увеличением числа громких нарушений приходит осознание важности кибербезопасности, понимание бизнес-рисков и возможного финансового ущерба от последствий атак. Экспертные знания в области ИБ становятся все более распространенными среди топ-менеджмента. Вполне вероятно, что управленцы все чаще будут запрашивать отчеты для оценки состояния безопасности, поэтому важно, чтобы эти отчеты были исчерпывающими и понятными. Результаты проверки также выходят за пределы организаций. В связи с ростом рисков от третьих лиц и возможности компрометации через цепочку поставок 20% опрошенных компаний делятся результатами со своими клиентами.
Частота заказа ручного пентеста
Среди всех опрошенных компаний 79% сообщают, что их инфраструктура меняется не реже одного раза в квартал, однако услуги по ручному тестированию на проникновение заказывают только 21%.
Периодичность проведения регулярных пентестов очень важна, так как чем меньше интервал между проверками, тем более актуальную информацию о наличии уязвимостей и потенциальных действиях злоумышленника будет получать отдел ИБ. Каждый день хакеры совершенствуют тактики и техники атак, появляется информация о ранее неизвестных уязвимостях, динамично изменяется инфраструктура — все это значительно влияет на состояние защищенности. Для оперативного реагирования на угрозы необходимо регулярно проверять безопасность критически важных узлов и ключевых систем.
Частота проведения пентеста зависит от множества факторов, включая тип организации, характеристики информационной системы и изменение ландшафта угроз. Не всегда есть возможность проводить тестирование при внесении изменений в цифровые активы, например при внедрении новых технологий, обновлении ПО или изменении бизнес-процессов. Зачастую компании проводят пентест для соблюдения отраслевых стандартов и требований регуляторов. Например, согласно положению 683-П Центрального банка РФ, банки и НКО обязаны проводить тестирование на проникновение ежегодно.
По результатам исследования, только 11% компаний проводят непрерывный пентест, а 14% заказывают пентест ежемесячно. Проверяют защищенность тестированием на проникновение раз в квартал 39% компаний. Остальные заказывают такие услуги гораздо реже и делают это нерегулярно либо по запросу.
Контроль и проверка кибербезопасности, а также оценка эффективности работы средств защиты информации — две основные мотивации для проведения тестирования на проникновение, кроме выполнения требований регуляторов. Пентест также используется для оценки потенциального ущерба от атак и для выбора стратегии инвестирования в обеспечение безопасности. Это говорит о том, что компании начинают использовать пентест не только для выполнения требований регулирующих органов, но и для оценки реального состояния киберустойчивости инфраструктуры.
Барьеры для пентеста
Двумя главными препятствиями для заказа регулярного тестирования на проникновение являются отсутствие бюджета, а также угроза нарушения непрерывности бизнес-процессов. Прежде всего, перед службой ИБ стоит задача обеспечить безопасность ИТ-среды и бесперебойность бизнес-операций. Руководители ИТ и ИБ с осторожностью относятся к пентестам, поскольку многие сталкивались с простоями в работе. Это говорит о том, что компаниям необходимо работать только с самыми опытными командами, которые имеют хорошую репутацию и многолетний опыт работы по оказанию таких услуг и могут обеспечить высокий уровень проверки безопасности с минимальным риском для процессов. Немало компаний, особенно представители небольшого бизнеса, также озадачены необходимостью принятия мер по исправлению обнаруженных проблем безопасности.
Кто отвечает за проверку безопасности
Только в 10% крупных компаний есть своя команда пентестеров (red team). Примерно в половине опрошенных компаний есть специалисты, которые отвечают исключительно за организацию оценки безопасности, а у 41% опрошенных этой задачей занимаются специалисты со смежными обязанностями.
Очевидно, есть определенная нехватка квалифицированных кадров, которые отвечали бы за выстраивание процессов тестирования безопасности и были поглощены только этими задачами.
Проблема №3
С одной стороны, компании хотели бы проверять киберустойчивость не только для выполнения требований регулятора, но и для понимания реальной ситуации с безопасностью в своих инфраструктурах. С другой — на рынке есть дефицит квалифицированных команд для проведения качественного пентеста, а внутри компаний недостаточно собственных ресурсов для выстраивания процесса тестирования. Кроме того, российские компании испытывают недостаток бюджета на проведение регулярных проверок и опасаются нарушения бизнес-процессов.
Как обеспечить регулярную проверку безопасности
Российские компании вынуждены работать в условиях изменений IT-инфраструктуры и постоянно меняющегося ландшафта киберугроз. Возможность проводить регулярный ручной пентест есть не у всех компаний, но есть потребность минимизировать риски безопасности, выявлять проблемы защиты и тщательно планировать закупки решений для ИБ с учетом возможностей и потребностей ИТ-инфраструктуры.
Обеспечить регулярное тестирование защищенности могут инструменты, которые проводят автоматические пентесты так, как это делают настоящие хакеры. Такая система проверяет защищенность инфраструктуры с использованиям инструментария злоумышленников.
