Предприятия подвергаются значительному риску нарушений кибербезопасности из-за незрелых методов обеспечения безопасности и управления состоянием


Endeavor Technique Crew (ESG), ведущая ИТ-аналитическая, исследовательская и стратегическая фирма, а также подразделение TechTarget, Inc., объявила сегодня о новом исследовании в области гигиены безопасности и управления состоянием — фундаментальной части надежной программы безопасности. Исследование показывает, что многие аспекты кибербезопасности управляются независимо и с помощью устаревших инструментов, что оставляет организации с ограниченной видимостью и слабой защитой от постоянно меняющегося ландшафта угроз. Поскольку надежная кибербезопасность начинается с основ, таких как информация обо всех развернутых ИТ-активах, эта ситуация делает организации уязвимыми для сложных угроз среди стратегических, но часто поспешных инициатив по облачной и цифровой трансформации.

В новом отчете Safety Hygiene and Posture Control обобщается опрос 398 специалистов в области ИТ и кибербезопасности, отвечающих за оценку, приобретение и использование продуктов и услуг для гигиены безопасности и управления состоянием, включая управление уязвимостями, управление активами, управление зонами атак и безопасность. инструменты тестирования. Данные показывают, что организации должны стремиться к дальнейшей оценке процессов управления состоянием безопасности, изучению требований поставщика к управлению рисками и более частому тестированию инструментов и процессов безопасности.

Среди наиболее тревожных выводов этого исследования:

  • 73% организаций признают, что электронные таблицы остаются ключевым аспектом гигиены безопасности и управления состоянием. Сегодняшний ландшафт угроз слишком динамичен, чтобы с ним можно было справиться с помощью таких элементарных методов.
  • 69 % организаций признают, что они испытали по крайней мере одну кибератаку, начавшуюся из-за использования неизвестного, неуправляемого или плохо управляемого ресурса, подключенного к Интернету (например, веб-сервера, веб-приложения, VPN-шлюза или открытого порта). Киберпреступники легко обходят ИТ-организации, оставляя активы беззащитными.
  • 40 % специалистов по безопасности говорят, что противоречивые данные затрудняют получение точной картины активов, а 39 % сообщают, что им сложно уследить за тысячами меняющихся активов. Организации не могут управлять этими ресурсами и защищать их без точного представления о том, что они из себя представляют и где находятся.
  • 57 % согласились с тем, что их организации иногда трудно понять, какие активы имеют решающее значение для бизнеса. Это отсутствие прозрачности означает, что специалисты по кибербезопасности и ИТ-специалисты вынуждены расставлять приоритеты в своих усилиях по защите систем, которые наиболее важны для бизнес-операций.

В качестве ответа на эти вопросы исследование приходит к выводу, что в ближайшие несколько лет появятся инновации вокруг новой категории платформ, которую ESG называет наблюдаемостью, приоритизацией и проверкой безопасности (SOPV). SOPV будет объединять данные о гигиене безопасности и управлении состоянием, вычислять оценки риска, определять приоритеты действий по исправлению на основе риска и критичности активов, тесно согласовываться с платформой MITRE ATT&CK и даже тестировать средства и процессы безопасности. По мере развития инструментов SOPV они станут де-факто инструментальной панелью CISO для информирования бизнеса о киберрисках.

«Хотя гигиена безопасности и управление состоянием имеют решающее значение, это исследование показывает, что организации не имеют четкого представления о своих технологических активах и имеют ограниченное представление о состоянии этих устройств, систем и приложений», — говорит старший главный аналитик & Товарищ ESG Джон Олтсик. «Это подвергает организации риску, поскольку им не хватает нужной информации, необходимой для обоснованных решений по снижению киберрисков. Хотя эта ситуация является критической, я вижу некоторые многообещающие разработки и инновации, связанные с технологиями SOPV, в течение следующих 12–18 месяцев. Директорам по информационной безопасности следует активно заниматься гигиеной безопасности и управлением положением, а также как можно скорее исследовать решения SOPV».

Для получения дополнительной информации об этом новом исследовании посетите веб-сайт ESG.

Чтобы узнать больше об охвате рынка кибербезопасности Джона Олтсика, нажмите здесь или подпишитесь на его страницу в Твиттере. @joltsik.

О ESG

Endeavor Technique Crew (ESG) — компания, занимающаяся комплексным технологическим анализом, исследованиями и разработкой стратегии, предоставляющая глобальному технологическому сообществу информацию о рынке, полезную информацию и контент-услуги для выхода на рынок. Она получает все большее признание как одна из ведущих мировых аналитических фирм, помогающих поставщикам технологий принимать стратегические решения в рамках их программ выхода на рынок с помощью основанных на фактах исследований. ESG является подразделением TechTarget, Inc. (Nasdaq: TTGT), мирового лидера в сфере маркетинговых услуг и услуг по продажам, ориентированных на покупательское намерение, направленных на оказание влияния на бизнес компаний, занимающихся корпоративными технологиями.


https://cyberxhack.org/