Как подчеркивают в Cisco, при этом современные атаки зачастую очень трудно остановить: их особенностью стала повышенная скрытность, нередко они остаются необнаруженными в течение длительного времени. В течение всего этого времени критичная информация и интеллектуальная собственность находятся под прямой угрозой компрометации, что создает огромные риски для активов, ресурсов и репутации компании.
От того, насколько быстро сотрудники служб информационной безопасности обнаружат и устранят угрозу, зависит, ограничится ли дело еще одной проблемой или закончится катастрофой. В последние годы наметился сдвиг от традиционных средств, основанных на концепции реагирования на события, к упреждающему аналитическому подходу. Ситуация напоминает то, как общество защищается от обычных преступников. Налицо тенденция смещения от трудоемких, экстенсивных мер локального характера к высокотехнологичным, масштабным методам обеспечения безопасности.
Основная проблема заключается в том, чтобы обеспечить непрерывный и тщательный сбор нужной информации. Кроме того, очень важно правильно управлять полученными данными, проверять их, выявлять закономерности и взаимосвязи. Только так можно получить полноценную информацию о современных атаках, позволяющую успешно противодействовать им.
В результате успешной атаки злоумышленники могут похитить важные данные за считанные минуты. Таким образом, главными факторами эффективности систем ИБ становятся, во-первых, сокращение времени, затрачиваемого на обнаружение инцидента, а во-вторых, времени на реагирование. Аналитическая информация об угрозах жизненно важна для эффективной работы систем защиты и реагирования.
При этом данные об угрозах нельзя изучать как автономные элементы. Они рассматриваются в совокупности, а для адекватной их интерпретации необходимо знание общего контекста. Этот контекст может включать в себя сведения о расположении, масштабе или специфике деятельности предприятия.
Важным дополнением к глобальной аналитике угроз следует назвать аналитику локального характера. Она предоставляет данные об особенностях и функционировании внутренней вычислительной инфраструктуры организации. Такая информация предоставляет дополнительный уровень контекста и является необходимой основой для принятия конкретных решений в области безопасности. Чтобы получать такую информацию в полном объеме, необходимо осуществлять всеобъемлющий мониторинг вычислительной сети. Это сопряжено с определенными сложностями, ведь современные сетевые инфраструктуры вышли далеко за пределы традиционных периметров локальных сетей.