Траты компаний на последствия кибератак занимают вдвое больше средств, чем их предотвращение

Компании сталкиваются с ситуацией, когда кибератаки становятся неизбежными, а восстановление после инцидентов осложняется задержками в реагировании, недостатком квалифицированных специалистов и неполной картиной происходящего внутри ИТ-среды. Эти проблемы проявляются в снижении качества расследований, росте финансовых потерь и повторяемости одних и тех же атак. Такие выводы представлены в отчете Binalyze «The State of Cybersecurity Investigations 2025», основанном на опросе 200 директоров по информационной безопасности (CISO) США в сентябре 2025 года.

Неизбежность атак и растущая сложность угроз

Помимо роста числа инцидентов компании отмечают, что атаки становятся все труднее предотвращать из-за расширяющейся поверхности атаки и использования злоумышленниками инструментов на базе ИИ. В отчете отмечается, что новые технологии помогают автоматизировать и масштабировать атаки, а сложность корпоративных ИТ-сред делает защиту менее предсказуемой.

По данным исследования, 84% опрошенных CISO считают успешную кибератаку неизбежной, а 79% компаний распределяют бюджеты в пользу превентивных мер, тратя на предотвращение инцидентов почти вдвое больше, чем на реагирование. При этом средний бюджетный перекос составляет 3,02 млн долл на предотвращение против 1,54 млн долл на анализ и восстановление после атак.

Авторы отчета отмечают, что при такой структуре расходов риск состоит в том, что, столкнувшись с реальным инцидентом, компании оказываются не готовы к оперативному и глубокому расследованию. Это приводит к повторяемости одних и тех же атак: 75% CISO считают, что после первого инцидента нет гарантии, что аналогичный сценарий не сработает снова.

Роль расследований и значение скорости реагирования

В исследовании подчеркивается, что качество расследования напрямую влияет на ущерб: быстрый анализ помогает изолировать скомпрометированные активы, корректно информировать руководство и предотвращать повторные атаки. Однако компании признают, что результаты часто остаются неполными: 65% CISO говорят, что организация «не всегда» делает правильные выводы, а 75% считают, что аналогичный инцидент может повториться при недостаточной глубине анализа.

На скорость реагирования влияет позднее подключение специалистов: среднее время начала расследования — 8,6 часа, и каждый час задержки обходится компаниям в 114 000 долл. Только 49% организаций подключают расследование сразу, тогда как остальные делают это спустя от 12 до 72 часов и позже, что повышает вероятность большего ущерба и неполной картины атаки.

Ограничения кризис-менеджмента и нехватка ключевых элементов реагирования

Компании отмечают, что даже при наличии формальных процедур реагирования они не всегда отражают реальное состояние инфраструктуры и специфику современных атак. Из-за этого командам сложно быстро подтвердить ключевые факты инцидента — остается ли доступ у злоумышленника, как произошел вход и какие данные могли быть скомпрометированы.

По данным исследования, лишь 40% CISO полностью уверены в эффективности своих кризисных процессов, и только 37% организаций имеют все необходимые элементы — планы действий, распределенные роли, процедуры проверки и механизмы предоставления информации. При этом половина респондентов может уверенно ответить на базовые вопросы атаки: 50% знают, сохранил ли злоумышленник доступ, 55% — как он проник в систему, 52% — какие данные были украдены. Недостаток такой информации усложняет восстановление и мешает корректно взаимодействовать с регуляторами, страховщиками и руководством.

Объем инцидентов и ограниченность ресурсов расследований

На фоне роста числа атак компании не успевают анализировать все инциденты и вынуждены выбирать, какие случаи расследовать глубоко, а какие оставлять без детального разбора. Такая ситуация приводит к накоплению невыявленных уязвимостей и снижает способность предотвращать повторные атаки.

По данным исследования, организации проводят в среднем девять углубленных расследований в год. При этом атаки распределяются неравномерно: инциденты приходят «волнами», что создает повышенную нагрузку на команды. Последнее серьезное расследование у респондентов в среднем было 10,5 недель назад. Одновременно в отчете отмечается, что 64% обнаруженных атак не получают детального разбора — часть инцидентов фиксируется, но не проходит глубокое расследование из-за нехватки специалистов и времени.

Авторы подчеркивают, что без понимания причин и механики большинства инцидентов компании не могут улучшить защиту, корректно обновлять планы реагирования и формировать качественный обмен информацией с другими организациями и регуляторами.

Цена задержек и влияние ограниченной видимости ИТ-среды

Компании сталкиваются с тем, что расследования начинаются слишком поздно, а ограниченная видимость инфраструктуры делает анализ неполным. В среднем расследование завершается через 8,5 дня, и в 43% случаев длится более трех суток, при этом каждый час задержки обходится в 114 тыс долл.

Дополнительную сложность создает то, что компании видят лишь 57% своей ИТ-среды: наибольшие пробелы связаны с системами поставщиков, личными устройствами и облачными сервисами. Из-за этого 75% CISO отмечают нехватку ключевой информации, 68% сообщали регуляторам неполные данные, а 74% — получали меньшие страховые выплаты. В отчете также указано, что 72% организаций закрывали расследования без установления причин или масштаба атаки, что повышает риск повторения инцидентов.

Инструменты расследований и сложность их применения

Компании используют широкий набор решений для анализа инцидентов, но их разрозненность усложняет работу и нередко приводит к фрагментарной картине атаки. В среднем применяется около 11 инструментов — от систем сетевого мониторинга и платформ XDR (extended detection and response, расширенное обнаружение и реагирование) и EDR (endpoint detection and response, контроль и анализ активности на конечных устройствах) до SIEM-решений (security information and event management, управление событиями безопасности) и DFIR-платформ (digital forensics and incident response, цифровая криминалистика и реагирование на инциденты), а также сканеров уязвимостей, анализа соцсетей и собственных скриптов. Такой набор повышает нагрузку на команды и затрудняет сопоставление данных между системами, особенно при отсутствии единого контура корреляции.

При этом даже большое количество инструментов не компенсирует нехватку компетенций. В среднем компании располагают 18 специалистами по расследованию, однако объем инцидентов и рост ИТ-сред делают многие задачи нерешенными. В отчете отмечается, что эффективность расследований зависит не столько от числа инструментов, сколько от квалификации команд и отлаженности процессов реагирования.

Дефицит компетенций и риск выгорания команд расследований

Недостаток квалифицированных специалистов остается одним из главных факторов, снижающих качество и скорость расследований. По данным исследования, 90% CISO уже сталкивались с ситуацией, когда нехватка компетенций мешала анализу инцидентов, а лишь 32% считают, что располагают нужным набором навыков внутри команды. В среднем 5,5% бюджета уходит на аутсорс расследований — около 252 000 долларов в год, и компаниям пришлось бы увеличить расходы примерно на 14%, чтобы покрыть дефицит экспертизы.

Дополнительную нагрузку создают кадровые ограничения. 71% организаций передавали задачи сотрудникам без нужной квалификации, 70% делали это из-за занятости экспертов, а у 67% расследования откладывались или прекращались из-за нехватки людей. На фоне таких перегрузок 68% CISOs опасаются выгорания и ухода специалистов, что приводит к потере опыта, росту затрат на привлечение новых кадров и повышенной уязвимости перед сложными атаками.

Быстрые расследования как фактор снижения ущерба

Авторы исследования отмечают, что в условиях неизбежности атак устойчивость компаний определяется не только качеством защиты, но и тем, насколько быстро и полно проводится расследование. Скорость, согласованность и прозрачность анализа становятся ключевыми факторами восстановления и предотвращения повторных инцидентов.

При этом простое увеличение числа инструментов не решает проблему: компаниям нужны более широкий охват ИТ-среды, согласованная работа команд и единая платформа для предотвращения разрозненности данных. В документе подчеркивается, что каждое расследование помогает улучшить защиту, а сочетание компетентных специалистов и подходящих технологий позволяет удерживать контроль над инцидентами и снижать их последствия.

Отчет Binalyze «The State of Cybersecurity Investigations 2025» доступен по ссылке.