У 2023 році відділи безпеки повинні більш цілеспрямовано працювати над управлінням уразливістю та безпекою ланцюга поставок. Це центральний результат дослідження «Стан готовності безпеки 2023», опублікованого постачальником послуг безпеки Ivanti.
На відміну від своїх міжнародних колег, ступінь зрілості німецьких відомств безпеки є посередньою. Це особливо очевидно в критично важливих бізнес-питаннях, таких як усунення слабких місць, і під час навчання безпеки для ділових партнерів у власному дистриб’юторському ланцюгу компанії.
Німецьким командам безпеки є що надолужити
Згідно з дослідженням Ivanti, ступінь зрілості німецьких відділів ІТ-безпеки значно нижчий, ніж у сусідніх європейських країнах і в усьому світі. Лише 19% респондентів оцінюють свою команду як передову та перевірену, коли йдеться про дотримання національних і глобальних правил безпеки, політики та процедур. В Англії, Франції та в середньому по всьому світу близько 30% компаній мають цей найвищий рівень захисту. За їхньою власною оцінкою, більшість німецьких команд служби безпеки (36%) знаходяться лише на «середньому рівні» в цьому питанні.
Підтверджено слабку самооцінку
Ця самооцінка підтримується методами, які ІТ-команди використовують для оцінки своїх кіберпрограм. Якість цих методів може служити індикатором того, наскільки обґрунтовані програми створені та реалізовані. Моделі зрілості кібербезпеки відіграють лише незначну роль у Німеччині порівняно з міжнародним середнім показником. Лише 1/3 компаній у цій країні працює з цими моделями, у світі – 2/3. Подібна ситуація, коли йдеться про оцінку ризику, якому піддаються відповідні фінансові дані. 1/3 опитаних фахівців з безпеки з Німеччини визначають свою позицію в сфері безпеки на основі оцінки ризиків фінансових даних (FinDRA). Однак майже вдвічі більше їхніх однолітків працюють над цим показником у Великобританії та США (61%, 62%).
Здатність організації точно визначати власний рівень безпеки залежить не в останню чергу від розуміння систем і рішень, які використовуються в компанії. З цієї точки зору також помірно падає самооцінка німецьких менеджерів з безпеки. Більшість із них (54%) мають лише помірний огляд своїх активів і лише 15% постійно відстежують користувачів, пристрої, додатки та служби, які ввійшли в корпоративну мережу.
Управління вразливістю: Ви хочете виправити все?
«Результати нашого дослідження показують, що німецькі фахівці з безпеки хочуть закрити майже кожну вразливість із пріоритетом або високим пріоритетом. Таке ставлення відповідає зрозумілому бажанню закрити якомога більше потенційних шлюзів. Однак це навряд чи можна реалізувати в звичайній роботі ІТ-відділу з наявними ресурсами команд», – говорить Йоганнес Карл, експерт-менеджер з передпродажів – UEM & Security. «Значна кількість відкритих уразливостей робить майже неможливим створити повну захисну стіну навколо компанії. Набагато ефективніше визначити пріоритети для усунення тих вразливостей, які становлять реальний ризик для окремої компанії».
Дослідження Ivanti показує, що ці знання ще недостатньо поширилися серед команд безпеки в Німеччині. Половина експертів із безпеки (48%) віддають перевагу стратегічним вразливостям, які мають безпосереднє відношення до їх компанії, що є хорошим показником у міжнародному порівнянні. Однак помітно, що включено непропорційно велику кількість слабких місць.
Незалежно від того, чи йдеться про вразливості, які перераховані в NVD (Національна база даних уразливостей), які зараз використовуються або ідентифікуються самою командою, більшість німецьких спеціалістів із безпеки надають їм найвищу терміновість. На міжнародному рівні існує набагато більше диференціації з цього питання. Одна з причин такого рейтингу може полягати в тому, що 40% респондентів або не використовують конкретний метод визначення пріоритетності вразливостей, або, якщо він доступний, він не задокументований окремо. Це ускладнює для команд застосування узгоджених правил для управління вразливістю на основі ризиків.
Атаки на ланцюг поставок з першого погляду - але під контролем?
Оцінка потенційних векторів атак також дозволяє провести цікавий аналіз. 40% німецьких спеціалістів із безпеки бачать лише помірний рівень загрози в атаках на ланцюг розподілу та через нього. Враховуючи зростання такого роду атак за останній рік, така оцінка є досить вражаючою. Цікаво, однак, твердження майже кожного другого респондента (48%), що вони дуже добре підготовлені до атаки на ланцюг поставок.
Це збігається з високою здатністю ІТ-відділів Німеччини в порівнянні з країнами мати можливість за короткий термін заблокувати доступ для сторонніх компаній. 51% здатні зробити це протягом дня. Інше твердження є набагато критичнішим: лише трохи більше, ніж кожен другий фахівець із безпеки в Німеччині (57%) також зобов’язує партнерів із ланцюга постачання проходити обов’язкове навчання з кібербезпеки. Середнє значення для всіх країн становить 67%.
фон дослідження
Для дослідження «State of Security Preparedness 2023» у жовтні 2022 року було опитано понад 6.500 керівників, експертів з кібербезпеки та офісних працівників у всьому світі. Мета опитування, проведеного Ravn Research, полягає в тому, щоб зрозуміти, як корпоративні ІТ-фахівці сприймають сучасні загрози безпеці та як організації готуються до ще невідомих загроз у майбутньому.
Більше на Ivanti.com
Про Іванті Сильна сторона Unified IT. Ivanti поєднує ІТ-технології з операційною системою безпеки підприємства, щоб краще керувати та захищати цифрове робоче місце. Ми ідентифікуємо ІТ-активи на ПК, мобільних пристроях, у віртуалізованих інфраструктурах або в центрі обробки даних – незалежно від того, локальні вони чи хмарні. Ivanti покращує надання ІТ-послуг і знижує бізнес-ризики завдяки експертизі та автоматизованим процесам. Використовуючи сучасні технології на складі та в усьому ланцюжку постачання, Ivanti допомагає компаніям покращити свою здатність доставляти – без зміни серверних систем.