Основной вывод, сделанный по результатам опроса, обнаружил глубокую неудовлетворенность респондентов существующими возможностями по обнаружению и расследованию угроз. Только 24% компаний, принимавших участие в опросе, отметили, что они удовлетворены своими способностями. При этом только 8% уверены, что они могут обнаруживать угрозы быстро, и лишь 11% могут их быстро расследовать. И это при том, что скорость обнаружения и расследования является критически важным фактором, сужающим окно действий атакующего, минимизируя тем самым урон и потери от кибератак.
На сегодняшний день наблюдается ощутимый дисбаланс между организациями, собирающими свои данные на периметре (88%), и получающими их из сетевого трафика, средств управления учетными записями и конечных устройств. Однако те компании, которые уже встроили несколько источников данных в свою стратегию обнаружения угроз, считают их очень ценными.
Интеграция данных также является проблемой. Четверть респондентов вообще не интегрировали какие-либо данные, и только 21% сделали все свои данные доступными из одного источника. Превалирование разрозненных данных не позволят отслеживать их взаимосвязь, замедляет расследования и ограничивает прозрачность всего спектра действий в рамках атаки. Только 10% считают свою способность отслеживать активность атакующего из разных источников данных, как «очень хорошую».
При этом участники опроса не сочли какие-либо из используемых технологий обнаружения и расследования действительно эффективными, отметив их как «частично эффективные». И хотя системы управления событиями безопасности (Security Information and Event Management, SIEM) внедрены более, чем у двух третей респондентов, более эффективные инструменты, такие как перехват сетевых пакетов, мониторинг конечных точек и поведенческая аналитика для пользователей, пока недостаточно распространены.
Как констатируют аналитики, результаты исследования подтвердили опасения, что организации не предпринимают, и в значительном количестве случаев – не планируют предпринимать необходимых действий для защиты. Они не собирают нужные данные, не интегрируют их, а также фокусируются на старых технологиях предотвращения угроз.