Cyber Risk Index сравниваем компании по уровню киберзащищённости

Процесс изучения защищённости компаний от киберугроз осложняется тем, что отсутствуют какие-либо объективные критерии, по которым можно произвести сравнение. Чтобы решить эту проблему, Trend Micro совместно с Институтом Понемона (Ponemon Institute) разработали индекс киберриска (Cyber Risk Index, CRI) методику оценки защищённости, которая помогает руководителям и командам безопасности сравнить свой уровень защищённости с компаниями-конкурентами. Вэтом посте расскажем о том, как рассчитывается CRI и какие данные необходимы для его расчёта, а также приведём данные CRI за2020год.

Методика

Поскольку объективных критериев, показывающих уровень защищённости компании от кибератак, пока не разработано, для построения индекса киберриска мы используем опрос, который проводится среди профессионалов в области ИТ и ИБ. В 2020 году в состав включили респондентов из стран Европы и Азиатско-Тихоокеанского региона, что позволяет говорить о том, что CRI2020 стал глобальным. Результаты опроса и стали основой индекса, который отражает готовность компаний реагировать на кибератаки.

Для построения индекса мы использовали ответы 2795респондентов, что составляет 4,1% от общего числа опрошенных в рамках выборки 67679человек. Ответы 211респондентов были исключены из окончательной выборки из-за недостаточной надёжности.

33%ответов мы получили от компаний, в которых работает менее 100человек. Ещё 33% ответов от компаний со штатом от100 до999работников, а остальные 35% из более крупных компаний, в которых трудится 1000 и более человек.

Отраслевая классификация респондентов включает 15секторов. Наиболее крупные из них:

финансовые услуги 13%,
здравоохранение и фармацевтика 10%,
услуги 9%,
промышленность/производство 9%,
розничная торговля 9%,
технологии и программное обеспечение 9%.

Сектора экономики компаний, вошедших в CRI. Источник: Trend Micro.

Расчёт CRI

Индекс киберриска рассчитывается как разность между индексом киберготовности (cyber preparedness index) и индексом киберугроз (cyber threat index). При этом индекс киберготовности показывает, каков уровень подготовленности организации к защите от кибератак, а индекс киберугроз представляет состояние ландшафта угрозы на момент расчёта CRI.

Индекс киберготовности

Для его расчёта используются ответы респондентов на 31вопрос относительно различных связанных с безопасностью факторов в организации. Примеры вопросов:

Каков бюджет организации на безопасность достаточен для защиты активов данных и IT-инфраструктуры?
Обладает ли персонал организации, отвечающий за IT безопасность, достаточными знаниями, навыками и опытом для защиты информационных активов и IT-инфраструктуры?
Рассматривают ли руководители организации IT-безопасность как главный бизнес-приоритет?
Отчитывается ли руководитель отдела IT-безопасности организации перед высшим руководством?
Принимают ли генеральный директор и Совет директоров организации активное участие в управлении безопасностью?
Тратит ли организация значительные средства на обучение сотрудников требованиям безопасности?
Тратит ли организация значительные ресурсы на оценку рисков безопасности третьих сторон, включая облако и всю цепочку поставок?
Способна ли ИБ-служба моей организации обнаруживать атаки нулевого дня?

Ответы на вопросы оцениваются так:

Совершенно согласен = 10 баллов;
Согласен = 7,5 балла;
Не уверен в ответе = 5 баллов;
Не согласен = 2,5 балла;
Сильно не согласен = 0 баллов.

Индекс киберугроз

Учитывает ответы на 10 вопросов, относящихся к происходившим в компании в течение года событиям. Примеры вопросов:

Q1. Сколько отдельных инцидентов, связанных с утерей или кражами данных о клиентах, произошло в вашей организации за последние 12 месяцев?
Q2. Сколько отдельных случаев нарушения безопасности данных, связанных с утечкой информационных активов, произошло в вашей организации за последние 12 месяцев?
Q3. Сколько успешных кибератак с проникновением в сети и/иликорпоративные системы вашей организации произошло за последние 12месяцев?

Часть вопросов в составе индекса киберугроз позволяют оценить риски, связанные с используемыми в компании данными, наиболее вероятные для компании угрозы, последствия киберинцидентов и наиболее уязвимые области инфраструктуры компании.

Ограничения методики

Поскольку и индекс готовности, и индекс киберугроз основаны на результатах опросов, имеются характерные для таких исследований ограничения, которые необходимо учитывать. Наиболее характерные для опросов ограничения:

Предвзятость в ответах. Текущие результаты основаны на выборке результатов опросов. Мы разослали опросы репрезентативной выборке, в результате чего было получено 2795пригодных для использования ответов, однако всегда остаётся возможность, что другие сотрудники организаций имеют существенно отличное от мнения респондента мнение.
Смещение рамки выборки. Точность основана на контактной информации и степени репрезентативности списка респондентов, которые являются практикующими специалистами в области ИТ или ИТ-безопасности. Результаты могут быть не вполне объективными в связи с внешними событиями, а также из-за того, что мы собирали данные через интернет. Возможно, что опрос по телефону даст совсем другие результаты.
Субъективность результатов. Качество опроса основано на достоверности конфиденциальных ответов, полученных от субъектов. Несмотря на то, что вопросы составлены так, чтобы уравновешивать субъективность, всегда существует вероятность того, что субъект не предоставил точные ответы.

Основные выводы CRI 2020

Несмотря на имеющиеся ограничения индекс киберриска позволяет получить достаточно объективную картину уровня защищённости компаний в различных регионах.

Все регионы, участвовавшие в исследовании, показали повышенный риск уязвимости к кибератакам, который отражает отрицательное значение CRI. Самый высокий уровень риска по сравнению с другими регионами наблюдается в США. Это связано с тем, что США имели более низкий уровень киберготовности по сравнению с другими регионами. Основные факторы риска в области кибербезопасности, с которыми сталкиваются предприятия, можно разделить на пять категорий

Риски кибербезопасности:

фишинг и социальная инженерия,
клик-джек,
вымогатели,
бесфайловые атаки,
ботнеты,
атаки типа человек посередине.

Риски, связанные с данными:

невозможность обнаружить атаки нулевого дня,
неспособность остановить большинство кибератак.

Риски, связанные с персоналом:

руководство компании не рассматривает безопасность как конкурентное преимущество,
ИБ-руководитель организации (CISO) не имеет достаточных полномочий и ресурсов для повышения уровня защищённости компании.

Инфраструктурные риски:

ИТ и ИБ-службы не владеют сведениями о физическом расположении критически важных для бизнеса данных и приложений,
ИТ и ИБ-службы не участвует в определении приемлемого использования потенциально уязвимых технологий (таких как мобильные, облачные, социальные сети, IoT-устройства) на рабочем месте.

Операционный риск:

неготовность к борьбе с утечками данных,
задержки в тестировании и установке исправлений безопасности.

Индексы киберготовности и киберугроз в 2020 году. Источник: Trend Micro

Наши результаты показывают, что у мирового бизнеса очень высокие шансы быть затронутым кибератакой:

вероятность утечки данных клиентов в ближайшие 12 месяцев: 75%;
вероятность компрометации критически важных данных в ближайшие 12 месяцев: 77%;
вероятность одной или нескольких успешных кибератак в ближайшие 12 месяцев: 83%.

Рекомендации по защите бизнеса от киберугроз

Принимая во внимание текущую ситуацию с угрозами и основываясь на выводах, полученных в процессе расчёта CRI, глобальный бизнес всё ещё может значительно минимизировать свои риски, внедряя лучшие методы обеспечения безопасности. Кним относятся:

построение системы безопасности на основе критических данных путём сосредоточения внимания на управлении рисками и угрозах, которые могут быть направлены на эти данные;
минимизация сложности инфраструктуры и улучшение согласованности по всему стеку безопасности;
смена позиции высшего руководства компаний в части восприятия безопасности как конкурентного преимущества;
улучшение защиты бизнес-среды, включая надлежащую защиту BYOD, устройств IoT и промышленных устройств IoT, а также облачной инфраструктуры;
инвестирование в новых талантливых сотрудников и в существующий персонал службы безопасности, чтобы помочь им идти в ногу с быстро меняющимся ландшафтом угроз, а также улучшить показатели удержания персонала;
проверка существующих решений безопасности с использованием новейших технологий для обнаружения актуальных угроз, таких как программы-вымогатели и бот-сети;
формирование функциональной, масштабируемой и динамичной архитектуры безопасности ИТ.

База знаний MITRE ATT&CK чрезвычайно ценный инструмент. Она помогает стимулировать развитие всей отрасли кибербезопасности и формализовать описание подходов, которыми пользуются злоумышленники в ходе своих атак. На основе этой базы эксперты MITRE проводят тестирование продуктов по безопасности. В последнем имитировались тактики двух популярных киберпреступных группировок Carbanak и FIN7, а модельными целями стали крупный ба

Одно из обязательных свойств современных целевых атак их способность проникнуть в ИТ-инфраструктуру жертвы незаметно для защитных систем. Передовое вредоносное ПО использует методы маскировки, которые превращают его в невидимку. Помочь в таких случаях может динамический анализ, который выполняется в специализированной среде песочнице. Технологии песочниц занимают центральное место в концепции киберзащиты Trend Micro, получившей

Пандемия COVID-19 перевела в онлайн миллионы людей. Необходимость уменьшить физический контакт привела к тому, что большая часть жизни перешла в интернет, увеличив зависимость человечества от онлайн-платформ. На росте доверия к интернет-платформам расцвели массовые мошеннические кампании. Одним из наиболее популярных инфоповодов для этих кампаний стали вакцины. Вэтом посте расскажем о вредоносных программах, спаме, фишинговых схема

Киберкриминалитет нашёл для себя практически идеальную схему получения сверхдоходов: проникнуть в корпоративную сеть, скопировать все данные, до которых получилось добраться, а затем зашифровать информацию на всех скомпрометированных ресурсах и потребовать выкуп. Слитая информация может быть продана, если жертва откажется платить. А с зашифрованными системами особо не поработаешь, как показывает пример с Norsk Hydro или более с

Cреди обычных пользователей и даже ИТ-сотрудников распространено убеждение в повышенной безопасности ОС семейства Linux по сравнению с дырявой виндой и попсовой макосью. Однако, как показало наше исследование, открытость исходников не изб

Большую часть своей жизни я жил и работал в Москве. Занимался тем, что менял здоровье на деньги. Правда, на очень хорошие, поэтому под занавес пятого десятка купил квартиру в тихом приморском городке, далеко от столичной суеты и ежедневной нервотрёпки.

Особой необходимости в работе у меня не было. Дети уже стали самостоятельными настолько, что запросто могут содержать нас с женой. Да и скопить удалось прилично. Однако, были

Слово Анонимус уже давно стало нарицательным его часто употребляют в отношении пользователей интернета, не желающих лишний раз светить своими персональными данными. В то же время термин Anonymous имеет вполне конкретное значение так называется международное движение хактивистов, прославившееся целым рядом громк

Компания Bolid лидер в разработке интегрированных систем безопасности - то, что вы услышите, если позвоните им по телефону. Это своего рода российский Apple в сфере

Exchange довольно мощный и популярный почтовый сервер в мире энтерпрайза. Против угроз малварей и фишинга он имеет как встроенные механизмы защиты, так и возможность использования сторонних продуктов. Но в реальности этих возможностей не всегда достаточно для отлова всех вредоносных писем: малвари проходят к пользователям до того, как их сигнатуры попадут в антивирусные базы, а URL-адреса в репутационные списки. Поэтому мы разработ

Наверное, все разработчики слышали, что нужно писать чистый код. Но не менее важно писать и использовать безопасный код.

Python-разработчики обычно устанавливают модули и сторонние пакеты, чтобы не изобретать велосипеды, а использовать готовые и проверенные решения. Но проблема в том, что они не в

Цель статьи - собрать интересные инструменты, техники и команды, которые можно использовать для выполнения задач при проведении тестирования на проникновение. Краткий список того, что будет в этой статье:

Что такого с DNSAdmins?

Команда Хабра и ЭКОПСИ начинает второе исследование IT-брендов работодателей. Оно будет полезно кадровым и маркетинговым департаментам компаний, которые вливаются (или уже влились) в IT-сообщество, а также айтишникам, которые хотят анонимно донести свои пожелания до работода

Ни один атакующий не хочет, чтобы его инструменты обнаружили и раскрыли раньше времени. Поэтому, как правило, в чистом виде никто вредоносные программы не распространяет. Например, пользователю прилетело фишинговое письмо от имени известной транспортной компании и просят проверить документы во вложении. Подобные письма достаточно часто являются началом атаки, так было и в этом раз. Внутри архива находился исполняемый файл Cassandra

Раньше я думал, что мне не нужны комментарии, если я пишу самодокументированный код. Однако я понял, что пишу комментарии и считаю их действительно полезными. Чтобы увидеть, сколько комментариев я пишу и какие они есть, я написал скрипт для анализа моих коммитов git за

Нехватка электронных чипов от процессоров до модулей связи отражается на многих сферах. Поставщики десктопных компьютеров и ноутбуков не могут отгрузить требуемый объем продукции, автомобильная промышленность отказывается от некоторых моделей маш

О том, что чипы и железо продолжает дорожать, на Хабре писали не раз и не два. И действительно, дорожают чипы памяти, видеочипы и даже жесткие диски с SSD. Сначала причиной были майнеры, сейчас они продолжают поддерживать стабильный

Каким образом в нулевые в России случился бум IT? Дело вовсе не в высоких ценах на нефть. Если посмотреть на биографии и возраст лидеров движения это сплошь математики и физики, получившие, очевидно, очень фундаментальное образование в

Современные системы контроля доступа научились узнавать сотрудников по лицу. Это удобно: не нужно носить на шее бейдж с RFID-чипом и прикладывать его к считывателю у каждой закрытой двери. Кажется, что будущее наступило: можно ходить по офису с гордо поднятой головой, а двери будут сами открываться, узнавая тебя. Мы изучили несколько популярных систем контроля доступа с распознаванием лиц и обнаружили целый букет уязви

Привет, Хабр! Команда ВТБ запустила серию подкастов о передовых решениях финтеха Деньги любят техно. Журналист, технологический обозреватель Марина Эфендиева будет обсуждать с экспертами банка, рынка, учеными и бизнесменами перспективы и сложности финтеха: внедрения техноло

Вашингтон (Рейтер) Министерство юстиции США считает расследования атак с использованием программ-вымогателей таким же важным, как и терроризм. После взлома Colonial Pipeline и увеличения ущерба, нанесенного киберпреступниками, сообщил Reuters высокопоставленный чиновник ведомства.

В статье хотим рассказать про технологию TLS fingerprinting, про которую недостаточно материалов в русскоязычном сегменте. Попробуем это исправить. Статья частично переводит тематические материалы авторов описываемых методов (тут и

Коллеги всем привет, меня зовут Александр Дворянский и я директор по стратегическим коммуникациям Infosecurity a Softline company, и сегодня мы будем говорить про актуальные сейчас тренды в области кибербезопасности, причем как со стороны защищающихся так и с позиции атакующих. Все предыдущие года я готовил аналогичный текст в начале года и рассказывал о трендах развития кибербезопасности на 2018 г., 2019 г., 2020 г. О

Количество хорошо подготовленных целевых кибератак на критическую информационную инфраструктуру предприятий и целых городов в разных странах растёт с каждым годом. Причём в некоторых случаях постра

Один из факторов успеха любого онлайн-бизнеса использование надёжной и устойчивой инфраструктуры: иметь онлайн-бизнес значит быть онлайн. Это справедливо как для легального бизнеса, так и для киберпреступного. Наш свежий отчёт завершает серию исследований о рынке нелегального хостинга. В

Пандемия в очередной раз продемонстрировала, что индустрия кибербезопасности это не застывший в тиши дата-центров поединок хороших и плохих. Отрасль меняется вместе с реальным миром и реагирует на происходящие в нём события. Мы изучили наиболее значимые тенденции киберугроз 2020 года, чтобы понять, чего ожидать от новой реальности. В этом посте самые интересные цифры и факты из

В сфере безопасности легко либо недосмотреть, либо, наоборот, потратить слишком много сил в никуда. Сегодня мы пригласим в наш вебкаст топ-автора из хаба Информационная безопасность Луку Сафонова (LukaSafonov) и Джабраила Матиева (djabra

	Русский
	English

Cyber Risk Index сравниваем компании по уровню киберзащищённости

Методика

Расчёт CRI

Ограничения методики

Основные выводы CRI 2020

Рекомендации по защите бизнеса от киберугроз

Сейчас читают

Блог компании trend micro

MITRE ATTampCK 2021 Trend Micro снова в тройке лидеров

Технология песочниц для защиты отвредоносногоПО

Инъекция обмана вакцины от COVID-19 в мошеннических кампаниях

Ryuk как устроен топовый вымогатель

Уязвимости неуязвимого Linux