Лучшие футбольные тренеры никогда не одержимы победой. Взамен они настойчиво рекомендуют изо всех сил сосредоточиться на самом процессе, а не на его результате. Вместо того чтобы предвкушать будущее чемпионство, они поощряют своих игроков думать лишь о тренировке, матче или игровом моменте. Тренеры считают, что придерживаться такого плана просто необходимо, чтобы добиться успеха.

Так сложилось, что корпоративный мир не рассматривал кибербезопасность под этим углом. Взлом или утечка данных — вещь неприятная, но достаточно вероятная, и традиционно ее стараются избежать любой ценой.

Как считалось до недавнего времени, главной причиной того, что реагирование по факту атаки не обладает рыночным потенциалом, был слепой оптимизм. Фирмы предполагали, что борьба с попытками взлома — это лишь вопрос наличия достаточных ресурсов.

За последние несколько лет с этой точкой зрения произошли кардинальные изменения. Теперь вместо того чтобы бросить все силы на предотвращение атак, лучше направить ресурсы на подготовку к этому бедствию и проведение учений (в духе лучших тренеров) для минимизации возможных последствий.

Одной из составляющих этого подхода является обнаружение угроз (breach detection) — практика, подразумевающая, что атаки злоумышленников уже состоялись, и направленная на поиск угроз, которые еще не удалось обнаружить. Другая составляющая — меры реагирования по факту атаки (post-attack incident response), которые также применяются исходя из предположения, что кибератака уже свершилась, и сосредоточиваются на действиях по устранению ее последствий.

Реагирование по факту атаки было недостаточно хорошо представлено на рынке

Что конкретно представляет собой реагирование по факту атаки? Если вы работаете в по-настоящему крупной компании, скорее всего ваш ИТ-отдел уже запасся планом оперативного смягчения технического, юридического и делового ущерба от атак злоумышленников. Крупные компании могут себе позволить бросить на решение этих проблем арсенал технических специалистов, адвокатов и консультантов. У компаний среднего звена до недавних пор такой возможности не было.

Теперь же на рынке появились решения, направленные на реагирование после совершения атаки. Некоторые из этих мер призваны вооружить организации на случай неизбежных атак посредством готовых решений. Во многих зданиях имеются пожарные шланги за стеклом, которое нужно разбить «в случае крайней необходимости», так вот готовые решения основаны на том же принципе.

Обратите внимание: я пишу «неизбежных атак». Как считалось до недавнего времени, главной причиной того, что реагирование по факту атаки не обладает рыночным потенциалом, был слепой оптимизм. То есть, корпоративная Америка была уверена в том, что если бросить на подавление потенциальной кибератаки достаточно ресурсов, можно уберечь свою компанию.

В реальности же вероятность совершения кибератак растет большими темпами год от года. Symantec обнаружила, что количество вредоносного ПО в 2014 г. увеличилось на 26%, а число атак программ-вымогателей (с помощью которых хакеры блокируют файлы и отдают их только в обмен на выкуп) за этот же период выросло на 113%.

Вдобавок, компании зачастую и не подозревают о том, что на них была совершена атака, до тех пор пока уже не станет слишком поздно. Согласно данным другого отчета, составленного подразделением Mandiant фирмы FireEye, в 2014 г. только 31% случаев взломов были обнаружены компаниями самостоятельно. В среднем на обнаружение каждого такого случая в том году ушло 205 дней.

Даже если не принимать в расчет намеренный взлом данных, представим, что сотрудник оставил где-то незащищенный смартфон или ноутбук. Такие вот «ошибки сотрудников» в прошлом году стали главной причиной утечек данных, в общей сложности спровоцировав около 30% подобных происшествий, согласно ассоциация корпоративных юристов Association of Corporate Counsel.

Такая мрачная статистика в последнее время повлияла на ход мыслей в отношении безопасности. Это, в частности, проявляется в том, что больше внимания стали уделять обнаружению угроз, подразумевая, что атака злоумышленников уже состоялась и необходимо сконцентрироваться на ее ликвидации.

Рынки начинают понемногу воспринимать эту идею. Пару лет назад категории услуг реагирования по факту происшествия просто не существовало. Теперь же можно выбрать из нескольких вариантов.

Некоторых эта новость обрадует, но она же фактически является признанием нашего поражения в битве с киберпреступностью. Тревожная реальность заключается в том, что даже если ваш бизнес еще не стал жертвой кибератаки, рано или поздно это все-таки произойдет.

Лучшим выходом из ситуации будет заранее проработать меры по надежной защите. Это значит, нужно собраться с духом и встретиться лицом к лицу с катастрофой, чтобы выйти из нее более или менее невредимыми или, возможно, даже более закаленными.