По данным ежегодного отчета Cisco по кибербезопасности* чтобы сократить время обнаружения злоумышленников, специалисты по кибербезопасности начинают все больше применять (и закупать) средства, использующие искусственный интеллект (ИИ) и машинное самообучение (МС).
С одной стороны, шифрование помогает усилить защиту, с другой — рост объемов как легитимного, так и вредоносного шифрованного трафика (50% по состоянию на октябрь 2017 г.) множит проблемы для защищающихся в процессе выявления потенциальных угроз и мониторинга их активности. За прошедшие 12 месяцев зафиксироваy более чем трехкратный рост шифрованного сетевого трафика от инспектируемых образцов вредоносного ПО.
Применение машинного самообучения помогает повысить эффективность защиты сети и с течением времени позволит автоматически выявлять нестандартные паттерны в шифрованном веб-трафике, в облачных и IoT-средах. Некоторые из опрошенных директоров по ИБ заявили, что доверяют таким инструментам, как МС и ИИ, и хотели бы их использовать, но они разочарованы большим количеством ложных срабатываний. Технологии МС и ИИ, которые сейчас находятся в самом начале своего развития, с течением времени усовершенствуются и научатся определять «нормальную» активность сетей, мониторинг которых они осуществляют.
Финансовый ущерб от атак все более реален. По данным респондентов, более половины всех атак нанесли финансовый ущерб в размере свыше 500 млн долл., включая в том числе потерю доходов, отток заказчиков, упущенную выгоду и прямые издержки.
Атаки на цепочки поставок усложняются. Такие атаки способны масштабно поражать компьютеры, при этом их действие может продолжаться месяцы и даже годы. В 2017 г. две подобные атаки заражали пользователей вирусами Nyetya и Ccleaner через доверенное ПО.
Необходимо помнить о потенциальных рисках использования программного и аппаратного обеспечения организаций, которые не воспринимают серьезно вопросы ИБ. Для снижения рисков атаки необходимо пересматривать процедуры сторонних организаций для тестирования эффективности технологий информационной безопасности.
Уязвимости становятся разнообразнее. Для своей защиты организации используют комплексные сочетания продуктов от различных производителей. Такое усложнение при расширяющемся разнообразии уязвимостей отрицательно сказывается на способность организаций к отражению атаки и ведет в том числе к увеличению рисков финансовых потерь. В 2017 г. 25% специалистов по ИБ сообщили, что используют продукты от 11—20 вендоров, в 2016 г. так ответили 18%. Специалисты по ИБ сообщили, что 32% уязвимостей затронули более половины систем, в 2016 г. так ответили 15%.
Растет использование облачных технологий. В этом году 27% специалистов по ИБ сообщили об использовании внешних частных облаков (показатель 2016 г. — 20%). Из них 57% размещают сеть в облаке ради лучшей защиты данных, 48% — ради масштабируемости, 46% — ради удобства эксплуатации. Хотя облако и обеспечивает повышенную безопасность данных, атакующие пользуются тем, что организации не очень хорошо справляются с защитой развивающихся и расширяющихся облачных конфигураций. Эффективность защиты таких конфигураций повышается с использованием сочетания передовых методик, таких продвинутых технологий безопасности, как машинное самообучение, и таких средств защиты первой линии, как облачные платформы ИБ.
Время обнаружения атак падает. Чем меньше время обнаружения, тем быстрее отражается атака. Среднее время обнаружения (time to detection, TTD) за период с ноября 2016 г. по октябрь 2017 г. составило около 4,6 ч. В ноябре 2015 г. этот показатель был на уровне 39 ч, а за период с ноября 2015 по октябрь 2016 г. он составлял 14 ч.
* Об отчете Annual Cybersecurity Report 2018 В одиннадцатом выпуске отчета приводятся результаты анализа и тенденции в сфере кибербезопасности за последние 12-18 месяцев на основе исследовательской информации и данных, полученных от компаний-партнеров Anomali, Lumeta, Qualys, Radware, SAINT и TrapX. Отчет также содержит результаты ежегодного исследования решений безопасности Security Capabilities Benchmark Study (SCBS), подготовленного на основе анкетирования 3600 главных директоров по ИБ и менеджеров по обеспечению ИБ из 26 стран, которые отвечали на вопросы о состоянии кибербезопасности в своих организациях.