A Ponemon Institute nemrégiben publikálta The State of Threat Hunting and the Role of the Analyst elnevezésű tanulmányát (PDF), amely kifejezetten arra kereste a választ, miként monitorozzák a szervezetek a vállalati rendszerek biztonságát veszélyeztető lehetséges veszélyforrásokat, illetve hogy ezek elemzéséből milyen következtetésekre jutnak.  

A felmérés megállapításai közel 1800 informatikai és információbiztonsági szakember válaszain alapulnak. A kutatásban részt vevő vállalatok köre Észak- és Latin-Amerikától az Egyesült Királyságon át a kontinentális Európáig nyúlik. Méretükre jellemző adat, hogy éves átlagban 117 millió dollárt (nagyjából 35 milliárd forintot) költenek informatikára. Ennek mintegy ötöde megy el kifejezetten biztonsággal kapcsolatos kiadásokra, fejlesztésekre.

A kutatásba bevont nagyvállalatok mindegyikénél létezik kiberbiztonsági veszélyforrásokra figyelmeztető, azokat elemző, felderítő rendszer, ám ezek működésén, az innen származó információk jobb felhasználásán bizonyosan van még mit dolgozni. Legalábbis ezt sejteti néhány, elsőre igen mellbevágó eredmény.

Addig jár a korsó a kútra... ameddig akar

A válaszok alapján az elmúlt két évben a szervezetek felét érte olyan kiberbiztonsági incidens, amelynek következtében súlyos problémák keletkeztek az informatikai és üzleti folyamatokban. Ennél az alapból is igen magas aránynál is problémásabbnak tűnik, hogy a kárt szenvedett cégek felénél mindezt egy olyan szereplő követte el, aki már korábban is "tiszteletét tette" a vállalatnál. A helyzetet azonban lehet fokozni: az ugyanattól a hekkertől, vagy csoporttól eredeztethető újabb támadások ugyanis azért lehettek sikeresek, mivel a kompromittált szervezetek közel kétharmadánál "elfelejtették" befoltozni az akció során kihasznált biztonsági rést, támadási felületet.

A legkomolyabb fejfájást okozó fenyegetettségek között a nagyvállalatoknál jelenleg a cloudhoz kötődő sérülékenységek állnak 65 százalékos említéssel, de nem sokkal kisebb arányban (60%) hozták fel a szakemberek a szolgáltatásmegtagadással járó támadásokat (Denial-of-service attack). Az öt legégetőbb problémakört az adathalász és social engineering támadások (52%), a szervezeten belülről érkező kártékony fenyegetések (45%), illetve a DNS-alapú akciók (44%) teszik teljessé.

Ami a szervezetek működésével, üzemeltetésével kapcsolatban felmerülő legnagyobb kihívásokat illeti, az egyik technikai, a másik pedig humán jellegű. A szakemberek 69 százaléka említette ugyanis, hogy a biztonsági csapat hatékonyságát rendkívül megnehezíti a túl nagy számban érkező, alacsony veszélyességi szintű riasztási esemény. Miközben ezek elárasztják a monitorokat, nem feltétlenül sikerül időben kiszűrni az azonnali beavatkozást igénylő üzeneteket. Mindez megfelelően kalibrált automatizált folyamatokkal azonban viszonylag könnyen javítható lenne.

A másik fő kihívást viszont a szükséges szakmai képességek házon belüli felmutatása jelenti. Az informatikai és különösen a biztonsági szakmában globálisan jelentkező szakemberhiány miatt nem csoda, hogy ez a kutatásba bevont nagyvállalatok 60 százalékánál okoz gondokat. Pedig jó szakemberekre láthatóan szükség lenne: a megkérdezettek bő kétharmada állította ugyanis, hogy egy felkészültebb, nagyobb felderítő csapat megléte jelentősen javíthatná a cég védelmi képességeit a kiberfenyegetésekkel szemben.