73 відсотки опитаних у Німеччині осіб, які приймають рішення в галузі ІТ, вважають, що тема кібербезпеки та кіберризиків минулого року відійшла на другий план у цифрових бізнес-ініціативах. Це ключовий висновок нового дослідження CyberArk.
Нове глобальне дослідження «Ландшафт загроз безпеки ідентифікації», проведене експертами з безпеки CyberArk, показує, що компанії все частіше використовують ідентифікаційні дані людей і машин. Він часто досягає сотень тисяч. Це неминуче створює більші ризики для кібербезпеки для бізнесу.
Еволюція ризиків кібербезпеки
Кожна комплексна ІТ-чи цифрова ініціатива призводить до більшої кількості взаємодій між людьми, програмами та процесами – і, отже, до більшої цифрової ідентифікації. Якщо ними не керувати належним чином і вони не захищені, вони можуть становити значний ризик для кібербезпеки. Цифри опитаних німецьких компаній підтверджують цю небезпеку:
- 74% нелюдей або ботів мають доступ до конфіденційних даних і ресурсів.
- У середньостатистичного працівника є доступ до понад 25 додатків і облікових записів.
- Зараз у компанії в одинадцять разів більше ідентифікаторів машин, ніж ідентифікаторів людей.
- 85% організацій зберігають секрети в різних місцях у середовищах DevOps.
- 71% вважають, що розробники зазвичай мають більше дозволів, ніж їм потрібно для виконання своєї роботи.
Поверхня атаки 2022
Такі тенденції, як цифрова трансформація, хмарна міграція та нові методи атак, все більше ставлять під загрозу ІТ-безпеку. Відповідальні за безпеку в Німеччині бачать такі кіберзагрози:
- Найвищим ризиком для респондентів є обхід засобів захисту (39%), за яким йдуть доступ до облікових даних (37%) і підвищення привілеїв (37%).
- Минулого року 69% опитаних компаній постраждали від атак програм-вимагачів.
- 59% нічого не зробили, щоб захистити свій ланцюжок постачання програмного забезпечення після атаки SolarWinds, а 66% визнають, що компрометація постачальника програмного забезпечення означатиме, що атаку на їхню організацію неможливо буде зупинити.
Погані інвестиції в кібербезпеку
Експерти з безпеки сходяться на думці, що цифрові ініціативи в масштабах підприємства недостатньо підтримуються програмами та інструментами безпеки. 73% заявляють, що протягом останніх 52 місяців їхня компанія надала пріоритет безперервності бізнесу, а не забезпеченню надійної кібербезпеки. Крім того, XNUMX% кажуть, що не мають засобів контролю безпеки ідентифікаційних даних для своїх критично важливих програм.
Звіт про загрози безпеці ідентифікаційної інформації за 2022 рік (Зображення: CyberArk).
«Сьогодні компанії піддаються дедалі більшій площі атаки, оскільки кількість, типи та взаємопов’язаність ідентифікаторів у бізнес-додатках, хмарних середовищах і технічних компонентах постійно зростають», — пояснює Майкл Клейст, регіональний віце-президент DACH у CyberArk. «Отже, організаціям необхідно прийняти нові стратегії, які ставлять безпеку ідентифікаційної інформації в основу. Наше дослідження показує, що, хоча зростаючі ризики безпеці часто визнаються, необхідних інвестицій у кібербезпеку бракує. Багато компаній все ще потребують термінових дій. Просто сподіватися на те, що ви самі врятуєтеся від кібератаки, не має бути можливості».
Можливі заходи для кращої оборони
Які заходи можуть вжити компанії з огляду на цю ситуацію з безпекою? Цитується респондентами опитування CyberArk:
- Реалізація стратегії керування конфіденційним доступом: Дуже важливими респонденти вважають три заходи. 55% назвали застосування принципів найменших привілеїв і нульової довіри, 51% - моніторинг облікових записів і доступу користувачів SaaS, а 45% - впровадження процесів, які ізолюють критично важливі для бізнесу програми від Інтернету.
- Використання засобів контролю безпеки ідентифікаційної інформації для забезпечення дотримання принципів нульової довіри: Рішення для безпеки ідентифікації (59%), безпеки робочого навантаження (54%) і безпеки даних (45%) є одними з ключових основних заходів для респондентів.
- Збільшення прозорості: 81% стверджують, що інвентаризація програмного забезпечення зменшить ризик компромісу через ланцюжок постачання програмного забезпечення.
Про слідство
Звіт про загрози безпеці ідентифікаційної інформації за 2022 рік висвітлює результати дослідження, проведеного дослідницькою компанією Vanson Bourne від імені CyberArk. Було опитано 1.750 осіб, які приймають рішення щодо ІТ-безпеки в Німеччині, Франції, Великобританії, Італії, Іспанії, Австралії, Бразилії, Мексиці, Ізраїлі, Японії, Сінгапурі та США.
Більше на CyberArk.com
Про CyberArk CyberArk є світовим лідером у сфері захисту ідентифікаційних даних. Завдяки керуванню привілейованим доступом як основному компоненту CyberArk забезпечує комплексну безпеку для будь-якої ідентифікаційної інформації – людини чи не людини – у бізнес-додатках, розподілених робочих середовищах, гібридних хмарних робочих навантаженнях і життєвих циклах DevOps. Провідні світові компанії покладаються на CyberArk для захисту своїх найважливіших даних, інфраструктури та програм. Близько третини компаній DAX 30 і 20 компаній Euro Stoxx 50 використовують рішення CyberArk.