Согласно Tufin, 75% организаций верят, что существующие процессы управления
изменениями могут привести к уязвимостям в системе безопасности. Опросив 100
профессионалов в области безопасности, напрямую вовлеченных в процесс аудита и
управления файрволом, исследователи пришли к выводу, что в этом году ручные
процессы – и время, необходимое на их выполнение – самая большая проблема, с
которой сталкиваются профессионалы в области безопасности.
Несмотря на подтверждение того, что операции по безопасности подчиняются
требованиям корпоративных и официальных требований, типа SOX, PCI DSS и ISO
27001, только 7% автоматизируют процесс проверки брандмауэра. В результате 40%
организаций тратят больше месяца в год на то, чтобы провести аудит брандмауэра.
85% респондентов сообщают, что до 50% изменений правил в файрволах требуют
модификации из-за недоработок, поэтому неудивительно, что 67% считают, что
процессы внесения изменений могут подвергнуть системы большому риску.
Возможно лучшим индикатором того, что проблема является критической является
то, что 22% опрошенных были свидетелями пренебрежениями аудита с целью экономии
времени. Еще одним волнующим моментом является то, что многие организации не
проводят аудит вообще – почти четверть (23%) никогда не производили такую
проверку.
Опрос выявил интересные тенденции в трех направлениях Security Lifecycle
Management: работе файрвола, управлении рисками и соблюдении требований,
автоматизации изменений безопасности. Ниже приведены основные моменты.
Управление брандмауэром/Управление рисками/Соблюдение правил:
- Помимо того, что некоторые управляющие безопасностью не проводят аудит
файрволов, 11% не имеют представления о том, сколько времени может занять
одна проверка. - 84% опрошенных не могут определить в каких случаях необходимо провести
повторную проверку правил или из выключение (41%), или проделать необходимые
операции вручную (43%). - Почти половина респондентов (47%) выполняют избыточные процедуры
вручную; а почти 20% не делают и этого. - В то время как невыполнение аудита системы объясняется в основном
отсутствием времени, есть еще две причины: 1. Параметры аудита нерелевантны
бизнесу (30%), 2. Боязнь команды по безопасности выглядеть не в лучшем свете
(также 30%).
Автоматизация изменений безопасности
- 28% респондентов ответили, что в среднем на проверку изменений уходит от
нескольких часов до нескольких дней. - Несмотря на временные затраты, 85% сообщили, что до 50% изменений
требуют модифицирования в будущем, поскольку изначально они были разработаны
неправильно. - 66% опрошенных считают, что процессы управления изменениями могут
подвергнуть организации риску. Главная причина, на которую многие ссылаются
– отсутствие формальных процессов (56%), другие считают, что ручная работа
требует проведения слишком большого количества операций или вовлечения
слишком большого количества людей (29%).
