Málo spolupracující bezpečnostní systémy, špatné škálování, nedostatečná automatizace, to vše znamená pro podniky zvýšené riziko úspěšného útoku. Lidé v podnikových centrech SOC (bezpečnostní provozní centra) a u poskytovatelů řízených služeb zabezpečení jsou přetížení, takže často vypínají některé výstrahy čistě proto, aby dokázali reagovat na zbylé a zvládli zpracovat jejich objem.
Dalším problémem je to, že, jak řada analytiků bezpečnosti uvádí, jejich úkol je především každý incident uzavřít, nikoliv zkoumat jeho širší příčiny (odkud útok přicházel, jak zabránit, aby se tento typ hrozby již neopakoval apod.). Uzavření pak může znamenat třeba to, že nedošlo k úniku dat nebo že malware se podařilo odstranit ze systémů, ovšem bez dalších podrobností a kontextu. Útoky příslušného typu se pak s větší pravděpodobností mohou opakovat.
K těmto závěrům alespoň vedl průzkum CriticalStart. Ještě v loňském roce 70 % dotazovaných bezpečnostních specialistů v podnicích uvádělo, že za svůj hlavní úkol pokládají analýzu hrozeb a řešení zranitelností. Letos takto odpovědělo už jen 41 %. Celých 70 % respondentů v průměru zpracovávalo více než 10 bezpečnostních incidentů denně, loni to bylo 45 %; většina incidentů se vyřeší do 10 minut, může to ale znamenat i ono výše zmíněné zametání problémů pod koberec. Přetížení je i důsledkem falešně pozitivních hlášení incidentů, jejich množství meziročně vzrostlo o více než 50 %. 40 % bezpečnostních analytiků uvádí, že v reakci na přetížení a neschopnost zpracovat frontu incidentů pak některé bezpečnostní výstrahy prostě vypínají, takže o nich v systému dále vůbec neexistuje žádný záznam. Někteří si výstrahy nechávají posílat na e-mail a třídí je pomocí předdefinovaných pravidel, tj. vytvářejí si složku výstrah, které jsou ignorovány. Netřeba dodávat, že pravidla pro třídění e-mailů nejsou pro tento účel obvykle dostatečně jemná/spolehlivá. Další reakcí na příliš velký objem incidentů bývá změna prahových hodnot, tj. zvýšení hodnoty ukazatele, při níž dochází k výstraze, označení situace za bezpečnostní událost.
To všechno samozřejmě zvyšuje rizika, že se organizace stane obětí útoku. Podle průzkumu CriticalStart je dalším následkem přetížení a stresu fluktuace zaměstnanců – téměř polovina respondentů uvádí fluktuaci na pozicích bezpečnosti IT ročně 10–25 %. Studie Ponemon Institute předpokládá, že problém se bude zhoršovat. Jeho hlavní příčinu vidí tato studie v nedostatečné škálovatelnosti a interoperabilitě jednotlivých bezpečnostních systémů. Organizace mají mnohdy více bezpečnostních nástrojů, než opravdu potřebují, jako celek ale dobře nefungují. Výsledkem není jen nedostatečná prevence, ale také pomalá detekce útoků a dlouhá doba potřebná k vyřešení incidentu.
Možným řešením je větší automatizace úloh na co nejnižší úrovni a přesun některých nebo všech činností center SOC k poskytovatelům cloudu nebo řízených bezpečnostních služeb. Dlužno však dodat, že podobné problémy a přetížení hlásí bezpečnostní specialisté i zde. Větší míra outsourcingu podnikového zabezpečení ale asi stejně bude nevyhnutelná, uzavírá Kelly Jackson Higgins na DarkReading.com.
