SOC-Teams in permanenter Angst

Vectra-Studie zeigt: Fast alle SOC-Analysten befürchten, relevante Sicherheitsereignisse zu verpassen.

Die heutigen Security Operations (SecOps)-Teams haben die Aufgabe, immer ausgefeiltere und schnellere Cyberangriffe abzuwehren. Doch die Komplexität der ihnen zur Verfügung stehenden Experten, Prozesse und Technologien macht die Cyberabwehr zunehmend schwierig. Die immer größer werdende Angriffsfläche in Kombination mit den sich weiterentwickelnden Methoden der Angreifer und der zunehmenden Arbeitsbelastung der SOC-Analysten führt zu einem Teufelskreis, der die Sicherheitsteams daran hindert, ihr Unternehmen effektiv zu schützen. 

4.500 Warnmeldungen pro Tag

Die manuelle Sichtung von Warnmeldungen kostet Unternehmen allein in den USA jährlich 3,3 Milliarden Dollar. Sicherheitsanalysten sind mit der gewaltigen Aufgabe betraut, Bedrohungen so schnell und effizient wie möglich zu erkennen, zu untersuchen und darauf zu reagieren, während sie gleichzeitig mit einer wachsenden Angriffsfläche und Tausenden von täglichen Sicherheitswarnungen konfrontiert sind. So geben 63 Prozent an, dass die Größe ihrer Angriffsfläche in den letzten drei Jahren zugenommen hat. SOC-Teams erhalten im Durchschnitt fast 4.500 Warnmeldungen pro Tag und verbringen fast drei Stunden pro Tag mit der manuellen Bearbeitung von Warnmeldungen. 83 Prozent sagen, es handele sich oft um Fehlalarme, die ihre Zeit nicht wert sind.

Angriffsanzeichen werden häufig nicht erkannt

Obwohl die Mehrheit der SOC-Analysten angibt, dass ihre Tools effektiv sind, hindert die Kombination aus blinden Flecken und einer hohen Anzahl falsch positiver Alarme Unternehmen und ihre SOC-Teams daran, Cyberrisiken erfolgreich einzudämmen. Ohne Einblick in die gesamte IT-Infrastruktur sind Unternehmen nicht einmal in der Lage, die häufigsten Anzeichen eines Angriffs zu erkennen, zum Beispiel Seitwärtsbewegungen, Ausweitung von Berechtigungen und das Hijacking mit Hilfe von Cloud-Angriffen. Daher machen sich fast alle Befragten (97 %) der SOC-Analysten Sorgen, dass sie ein relevantes Sicherheitsereignis verpassen könnten, weil es unter einer Flut von Warnmeldungen begraben ist, dennoch hält die große Mehrheit ihre Tools insgesamt für effektiv. Erschreckend: Mehr als ein Drittel geben an, dass Sicherheitstools nur gekauft werden, um Compliance-Anforderungen zu erfüllen.

Zwei Drittel der Analysten denken über Abschied nach

Trotz des zunehmenden Einsatzes von KI und Automatisierungstools ist in der Sicherheitsbranche immer noch eine beträchtliche Anzahl von Mitarbeitern erforderlich, um Daten zu interpretieren, Untersuchungen einzuleiten und Abhilfemaßnahmen auf der Grundlage der ihnen zur Verfügung gestellten Informationen zu ergreifen. Angesichts der Überlastung mit Warnmeldungen und sich wiederholenden, banalen Aufgaben geben zwei Drittel der Sicherheitsanalysten an, dass sie darüber nachdenken, ihren Arbeitsplatz zu verlassen, oder dies bereits tun. Dies obwohl drei Viertel  der Befragten angeben, ihre Position würde den Erwartungen entsprechen. Jedoch sagen mehr als die Hälfte (55 %) der Analysten, dass sie so viel zu tun hätten, dass sie das Gefühl haben, die Arbeit mehrerer Personen zu erledigen.

“Übermaß an unterschiedlichen, isolierten Tools”

“Da Unternehmen zu hybriden und Multi-Cloud-Umgebungen übergehen, sind Sicherheitsteams ständig mit mehr konfrontiert – mehr Angriffsfläche, mehr Angreifermethoden, die sich der Verteidigung entziehen, mehr Lärm, mehr Komplexität und mehr hybride Angriffe”, sagt Kevin Kennedy von Vectra AI. “Der derzeitige Ansatz zur Erkennung von Bedrohungen ist nicht mehr zeitgemäß, und die Ergebnisse dieses Berichts zeigen, dass das Übermaß an unterschiedlichen, isolierten Tools zu viel Erkennungsrauschen erzeugt hat, mit dem SOC-Analysten nicht mehr erfolgreich umgehen können, und stattdessen eine laute Umgebung fördert, die für Angreifer ideal ist, um einzudringen. Als Branche dürfen wir die Spirale nicht weiter anheizen, und es ist an der Zeit, die Anbieter von Sicherheitslösungen für die Wirksamkeit ihrer Signale zur Rechenschaft zu ziehen. Je effektiver das Bedrohungssignal ist, desto widerstandsfähiger und effektiver wird das SOC.”

Für den “2023 State of Threat Detection Research Report” von Vectra wurden weltweit 2.000 SOC-Analysten befragt.