W walce firm z cyberprzestępcami najczęściej przeszkadza brak aktualnej wiedzy na temat bezpieczeństwa (75 proc.) oraz ograniczony budżet (66 proc.). Sophos ogłosił wyniki globalnego badania The ImpossiblePuzzle of Cybersecurity, które odsłania wyzwania stojące przed menedżerami IT.
Według wyników badania The Impossible Puzzle of Cybersecurity, przeprowadzonego na zlecenie Sophos, zespoły IT spędzają 26 procent czasu na zarządzaniu bezpieczeństwem, ale wciąż zmagają sięz brakiem wiedzy, ograniczonymi budżetami i niedostatkiem nowoczesnej technologii. – Menedżerowie IT często mają trudności ze znalezieniem wykwalifikowanych pracowników lub nie dysponują odpowiednim systemem bezpieczeństwa, który pozwoliłby im szybko i skutecznie reagować na ataki. Odpowiedzią na te wyzwania jest spójne rozwiązanie, pozwalające zaoszczędzić czas i ograniczyć wydatki na usprawnienie bezpieczeństwa – mówi Mariusz Rzepka, Territory Manager Sophos w Europie Wschodniej. Badanie Impossible Puzzle of Cybersecurity zostało przeprowadzone na zlecenie Sophos przez Vanson Bourne, niezależnego specjalistę ds. badań rynkowych, w grudniu 2018 roku i styczniu 2019 roku. W trakcie badania przeprowadzono wywiady z 3100 menadżerami IT z firm średniej wielkości z: Australii, Brazylii, Francji, Indii, Japonii, Kanady, Kolumbii, Meksyku, Niemiec, RPA, Stanów Zjednoczonych i Wielkiej Brytanii. Wszyscy respondenci reprezentowali firmy zatrudniające od 100
do 5000 pracowników.
Kluczowe wnioski z badania:
Cyberprzestępcy stosują nowoczesne rodzaje ataków, aby zmaksymalizować ich skuteczność:
- Luki w oprogramowaniu były przyczyną 23 proc. incydentów i zostały wykorzystane w kolejnych 35 proc. cyberataków.
- Ponad 50 proc. ataków było zrealizowanych za pomocą wiadomości phishingowych, podczas gdy ransomware odpowiadał za 30 proc. cyberataków.
- Niemalże połowa (41 proc.) cyberataków doprowadziła do wycieku szczególnie wrażliwych danych.
16 proc. firm zauważyło, że łańcuch dostawy może być najbardziej podatny na cyberataki, w ten sposób stanowiąc kolejny słaby punkt zabezpieczeń w firmie:
- Hackerzy działający na zlecenie państw pokazali, że atakując łańcuchy dostaw, można odnieść wymierne rezultaty. To oznacza, że zwykli cyberprzestępcy, wzorując się na nich, mogą zaadaptować tę metodę w swoich działaniach.
- Udany atak na łańcuch dostaw stanowi punkt wyjścia dla kolejnych zautomatyzowanych ataków typu active adversary.
Zespoły IT spędzają 26 procent czasu na zarządzaniu bezpieczeństwem, ale wciąż zmagają się z brakiem wiedzy, ograniczonymi budżetami i niedostatkiem nowoczesnej technologii:
- 79 proc. badanych stwierdziło, że rekrutacja osób z pożądanymi umiejętnościami z zakresu bezpieczeństwa cybernetycznego stanowi wyzwanie.
- 66 proc. stwierdziło, że budżet przeznaczony na cyberbezpieczeństwo w ich organizacji jest mniejszy niż powinien być.
- 75 proc. respondentów uważa, że bycie na bieżąco z technologiami bezpieczeństwa cybernetycznego jest sporym wyzwaniem.
Różne metody ataków, maksymalna skuteczność
Badanie pokazuje, jak zróżnicowane i wieloetapowe są techniki cyberataku, co utrudnia obronę sieci. Jeden na pięciu ankietowanych menedżerów IT nie wiedział, w jaki sposób przeprowadzono skuteczny cyberatak na sieć jego firmy. – Cyberprzestępcy rozwijają swoje metody ataków i często wysyłają dane fragmentarycznie, aby zmaksymalizować skuteczność ofensywy. Luki w oprogramowaniu były pierwotną przyczyną 23 proc. incydentów, ale zostały wykorzystane również w 35 proc. cyberataków. Tym samym zobaczyliśmy w jaki sposób można wykorzystać luki w oprogramowaniu na różne sposoby podczas różnych etapów ataku. Organizacje, które naprawiają wyłącznie zewnętrzne błędy na szczególnie podatnych serwerach, są narażone na ataki wewnętrzne. Cyberprzestępcy nie wahają się korzystać ani z tego, ani z innych niedociągnięć w zakresie ochrony – dodaje ekspert. Szeroki zasięg, wieloetapowość i skala dzisiejszych ataków przekładają się na ich skuteczność. 53 proc. osób, które padły ofiarą cyberataku, zostało oszukanych przez phishingowego e-maila, a 30 proc. było zaatakowanych przez ransomware. 41 proc. ofiar mierzyło się z wyciekiem danych. Brak wiedzy, budżetu i technologii Według wyników badania Sophos, przeciętnie 26 proc. czasu pracy w zespole ds. IT jest poświęcane na zarządzanie bezpieczeństwem. 86 proc. IT menadżerów zgadza się, że wiedza na temat cyberbezpieczeństwa mogłaby zostać pogłębiona, a 80 proc. wolałoby dysponować mocniejszym zespołem do wykrywania, badania i reagowania na incydenty związane z bezpieczeństwem. Według 79 proc. kierowników branży IT, sporym wyzwaniem jest rekrutacja nowych osób, które posiadają pożądane umiejętności w zakresie cyberbezpieczeństwa. 66 proc. respondentów stwierdziło wprost, że budżet na cyberbezpieczeństwo w ich organizacji (w tym zasoby ludzkie oraz technologie) jest zbyt niski, podczas gdy trzy czwarte ankietowanych przyznało, że bycie na bieżąco z branżowymi nowinkami jest wyzwaniem dla ich organizacji. Brak wiedzy wynikający z ubogiego budżetu ogranicza menadżerów IT do reaktywnych działań w obszarze
lipiec 2019
cyberbezpieczeństwa, nie pozwalając na proaktywne planowanie i przewidywanie nadchodzących zagrożeń. – Bycie na bieżąco z zagrożeniami wymaga specjalistycznej wiedzy, ale menedżerowie IT często mają trudności ze znalezieniem wykwalifikowanych pracowników lub nie dysponują odpowiednim systemem bezpieczeństwa, który pozwoliłby im szybko i skutecznie reagować na ataki – mówi Mariusz Rzepka – Gdy organizacje są w stanie wdrożyć system bezpieczeństwa ze zintegrowanymi produktami, które współpracują ze sobą, dzieląc się informacjami i automatycznie reagując na zagrożenia, wówczas zespoły bezpieczeństwa IT mogą uniknąć pułapki konieczności ciągłego nadrabiania zaległości po wczorajszym ataku, a w zamian lepiej bronić się przed tym, co wydarzy się jutro. Posiadanie spójnego systemu bezpieczeństwa umożliwia zwalczenie problemu braku kompetencji dotyczących cyberbezpieczeństwa, przed którym stoją menedżerowie IT. Takie rozwiązanie zaoszczędzi sporo czasu i wydatków na usprawnienie bezpieczeństwa. Niemożliwa zagadka cyberbezpieczeństwa?