Średnio około 82% specjalistów ds. bezpieczeństwa z Europy i USA uznało, że podstawowe znaczenie w niwelowaniu skutków cyberataku ma czas reakcji. Posiada on istotne znaczenie przy:

• identyfikacji incydentu i czynnościach zapobiegających jego eskalacji (68%)
• analizowaniu sposobu dokonania ataku (55%)
• ocenie strat i skutków ataku (51%).
• Opóźniona reakcja na incydent cybernetyczny może również utrudnić:
• precyzyjne określenie czasu (w którym atak się rozpoczął) i ram czasowych całego incydentu (30%)
• zrozumienie motywacji cyberprzestępcy (19%)
• ulepszenie procedur reagowania na następne możliwe incydenty (17%).

Wśród najważniejszych czynników mających wpływ na podwyższenie bezpieczeństwa cybernetycznego firmy, na drugim miejscu – tuż za poprawą ochrony danych (51%) – wymieniany jest czas potrzebny do wykrycia incydentu i zareagowania na zdarzenie (prawie połowa ankietowanych).

Należy jednak mieć świadomość, że algorytmy EDR nie uwzględniają priorytetów zagrożeń i mogą często wzbudzać fałszywe alarmy o trywialnych bądź nieistotnych zagrożeniach. Takie sytuacje mogą nadmiernie angażować personel IT zajmujący się bezpieczeństwem sieciowym i prowadzić do spowolnienia procesu wykrywania rzeczywistych zagrożeń.

Błażej Pilecki, Bitdefender Product Manager z firmy Marken, twierdzi, że generowane przez EDR alarmy powinny być poddawane wnikliwej analizie, co pomoże wyodrębnić te zdarzenia, które są istotne dla bezpieczeństwa infrastruktury IT. Według tego eksperta tradycyjne narzędzia EDR mogą wydawać się pomocne dla zapewnienia bezpieczeństwa cybernetycznego, jednak w przypadku braku dodatkowej analizy przez wysokokwalifikowanych specjalistów ds. bezpieczeństwa, nie podniosą w znaczącym stopniu poziomu bezpieczeństwa organizacji, a w skrajnym przypadku nawet ten poziom obniżą.

W przeciwdziałaniu procederowi naruszania danych podstawowe znaczenie ma szybkość reakcji. Główną zaletą istotnych alarmów EDR jest to, że prowadzą do wczesnego wykrycia zagrożenia i szybkiego rozpoczęcia przeciwdziałań. W sytuacji spóźnionej reakcji, szkody spowodowane naruszeniem bezpieczeństwa danych mogą eskalować, powodując znacznie większe straty w infrastrukturze organizacji. Niepowodzenie w detekcji zagrożenia natychmiast po jego wystąpieniu może doprowadzić do kompletnego załamania infrastruktury, nieodwracalnej utraty danych i reperkusji finansowych, po których część firm nigdy nie zdoła się podnieść.

Źródło: Bitdefender