Об исследовании
В мире использование Threat Intelligence (TI) постепенно входит в набор привычных инструментов SOC, однако в России применение этого инструмента только набирает популярность. Эксперты компании R-Vision решили разобраться, как российские компании используют данные TI, каким образом их обрабатывают и с какими сложностями сталкиваются. Опрос проводился среди ИБ- и ИТ-специалистов посредством онлайн-анкетирования.
Результаты исследования
В исследовании приняли участие 92 респондента, из которых больше половины (61%) используют данные Threat Intelligence в своей работе.
Распределение опрошенных по отраслям
Почти треть опрошенных (32%), использующих TI, работают в сфере информационной безопасности, 21% в финансовом секторе, 19% в сфере ИТ, 7% респондентов работают в телекоммуникационных компаниях, по 5% в ТЭК, промышленности и государственном секторе, 3% в области здравоохранения.
Частота использования Threat Intelligence
На вопрос «Как часто Вы используете TI?» подавляющее большинство респондентов (62%) ответили, что применяют TI почти каждый день. 16% респондентов сообщили, что используют TI несколько раз в неделю. Вариант ответа «один-два раза в месяц» выбрали также 16% респондентов. При этом всего лишь 6% опрошенных используют TI несколько раз в год.
Какие инструменты используются
Наибольшей популярностью у опрошенных пользуются коммерческие платформы, открытые TI-платформы, а также работа вручную.
Источники TI
Наиболее популярными источниками TI стали открытые фиды и TI-отчеты – это отметили порядка 70% респондентов. Чуть менее популярны коммерческие фиды и отраслевые новости. 42% аналитиков обращаются к отраслевым сообществам и группам как к источникам данных Threat Intelligence. Дополнительно в качестве источника TI респонденты отметили инфраструктуру организации.
Применение Threat Intelligence
В первую очередь ИБ-специалисты используют TI в качестве аналитической базы знаний – по обнаружению угроз, обработке и формированию рекомендаций по реагированию. Такой вариант ответа выбрали 75% опрошенных. Более половины респондентов используют данные TI также в процессе разведки и сбора данных об уязвимостях и угрозах.
Половина опрошенных среди задач, решаемых с помощью TI, выделяют следующие:
- Реагирование на инциденты;
- Понимание контекста текущего ландшафта угроз – ключевые техники и тактики, которые используют злоумышленники;
- Использование информации об угрозах, которые пока не детектированы средствами защиты;
- Проактивный поиск угроз (Threat Hunting).
Лишь 19% опрошенных считают, что с помощью TI можно решать стратегические задачи, а также проводить оценку средств защиты информации.
Среди задач, решаемых с помощью данных threat Intelligence, 3% респондентов отметили управление жизненным циклом уязвимостей в инфраструктуре организации и контроль устранения уязвимостей.
Наиболее полезная информация о киберугрозах
Одинаково ценными для российских ИБ-специалистов стала информация об уязвимостях, актуальных для их сферы деятельности, а также индикаторы компрометации, в контексте которых присутствуют данные о злоумышленниках, вредоносном ПО, TTP, других связанных индикаторах. Чуть менее важной респонденты посчитали общую информацию о ландшафте угроз.
Проблемы при работе с Threat Intelligence
Одной из основных проблем, с которыми сталкиваются специалисты при работе с TI, является обработка информации в ручном режиме, на которую уходит много времени, что отметили 48% респондентов. Второй по важности проблемой является недостаток специалистов для работы по направлению Threat Intelligence - такую проблему отметили 45% опрошенных. 32% респондентов считают немаловажной проблемой отсутствие экспертизы, что напрямую влияет на качество обработки и использования данных TI. 22% опрошенных отмечают, что проблемой также является невозможность приобрести платформу для работы с данными Threat Intelligence по причине отсутствия денежных средств.
Кроме того, некоторые эксперты выделили следующие проблемы:
- плохое качество фидов и, как результат, ложные срабатывания;
- низкое качество атрибуции, неактуальные данные в открытых источниках;
- большое количество новых уязвимостей и, как следствие, сложность определения их применимости к инфраструктуре организации.
Выводы
Использование Threat Intelligence в России пока только набирает свою популярность. Сейчас данные TI в большинстве случаев применяются компаниями, специализирующимися на информационной безопасности. Но нельзя не отметить, что это направление также нашло активное применение в финансовом секторе, что говорит о зрелости ИБ-процессов в отрасли.
Позитивная тенденция наблюдается и по частоте использования данных: больше 60% пользователей обращаются к данным TI на ежедневной основе.
Отдельно отметим, что половина респондентов уже являются активными пользователями коммерческих платформ, а около трети опрошенных указали отсутствие денежных средств на приобретение коммерческой платформы, как проблему. Следовательно, в будущем возможно повышение спроса на данные продукты.
Кроме того, важными проблемами, по мнению опрошенных, также являются обработка информации в ручном режиме, на которую уходит много времени, и недостаток специалистов для работы по этому направлению.
Одинаково ценными для российских ИБ-специалистов стала информация об уязвимостях, актуальных для их сферы деятельности, а также индикаторы компрометации.
