Die Cybersicherheit ist kaputt.
Genauer gesagt, versagt die Erkennung und Reaktion auf hybride Angriffe. Einem IBM-Bericht aus dem Jahr 2022 zufolge erleiden 83 % der Unternehmen jedes Jahr mehrere Sicherheitsverletzungen. Es ist klar, dass ein neuer Ansatz dringend erforderlich ist. Entgegen dem aktuellen Trend ist es jedoch nicht die Lösung, mehr Tools hinzuzufügen, die mehr Warnungen erzeugen. (Quelle: IBM Security Cost of a Data Breach Report 2022.)
Ertrinken in einer Flut von Warnungen
Laut dem Vectra-Bericht "2023 State of Threat Detection" messen SOC-Analysten die Effektivität eines Tools in der Regel daran, ob es ein Bedrohungsereignis markiert und einen Alarm auslöst.
Aber ist das der Standard, an den wir uns als Branche halten wollen, wenn SOC-Teams mit fast 4.500 Alarmen aus zahlreichen Tools jeden Tag überfordert sind?
Wer hat die Zeit oder das Team, um ein solch lächerliches Alarmaufkommen zu bewältigen?
Keiner.
Ja, die Aufgabe Ihres SOC-Teams ist es, die hybride IT-Umgebung zu schützen, aber Ihre Analysten in Tausenden von Warnmeldungen zu ertränken, die sie unmöglich bearbeiten können, ist NICHT der richtige Weg, um diesen Auftrag zu erfüllen.
SOC-Analysten haben kein Vertrauen in ihre Tools
In demselben Bericht machen sich 97 % der Analysten Sorgen, dass sie ein Ereignis verpassen, das durch zwei Drittel der Sicherheitswarnungen, für deren Überprüfung sie an einem bestimmten Tag nie die Zeit haben, unbemerkt bleibt.
Diese Vertrauenskrise ist nicht nur inakzeptabel, sie ist auch unhaltbar. Wie kann ein SOC-Team seine Aufgaben bei einer so hohen Anzahl von Signalen, Warnungen und falsch-positiven Meldungen erfüllen?
Das ist eine Katastrophenformel sowohl für SOC-Analysten als auch für die hybriden Unternehmen, die sie zu schützen versuchen.
Die verschwundenen SOC-Analysten
Und übrigens, "Katastrophe" ist keine Übertreibung. Wie bereits in einem früheren Beitrag erwähnt, ziehen 67 % der SOC-Analysten in Erwägung, die Branche zu verlassen oder verlassen sie aktiv, was das anhaltende weltweite Defizit von 3,4 Millionen hochqualifizierten Sicherheitskräften erklärt.
Diese hohe Fluktuation und der Mangel an Analysten sind auf die tägliche Arbeitsbelastung zurückzuführen, die mit Stress und Frustration verbunden ist.
Aber es spricht auch für eine Vertrauenskrise der Sicherheitsanalysten in Bezug auf das gesamte Paradigma der Cybersicherheit. Wenn wir nicht neu definieren, wie wir die Effektivität von Sicherheitstools messen, wird sich die Integrität Ihrer IT-Umgebung weiter verschlechtern, da die Anzahl der Warnungen steigt und Analysten weiterhin massenhaft aus der Branche aussteigen.
Ein klügerer Ansatz ist hier
Unsere Untersuchungen zeigen, dass Ihr SOC-Team die Situation verbessern kann, indem es Tools vermeidet, die die Analyse nur behindern und die Arbeitslast erhöhen. Außerdem muss ein Weg gefunden werden, um die Verwendung von Tools im Hinblick auf die Sichtbarkeit von Bedrohungen, die Erkennungsgenauigkeit und die Effektivität der Analysten zu bewerten.
Ein kluger erster Schritt wäre es, die Art und Weise zu ändern, wie Analysten die Effektivität messen. Derzeit messen die meisten die SOC-Reife anhand von Faktoren wie verringerte Ausfallzeiten (65 %), Zeit für Erkennung, Untersuchung und Reaktion (61 %), verhinderte Sicherheitsverletzungen (61 %) und die Anzahl der bearbeiteten Tickets (60 %).
Aber sind solche Metriken wirklich nützlich oder sogar relevant, wenn unbemerkte Angriffe und Sicherheitsverletzungen weiterhin die Norm sind?
Konzentrieren Sie sich auf das, was Sie kontrollieren können
Für die Branche ist es nicht der richtige Weg, den Weg der Verbreitung von Werkzeugen und des Scheiterns fortzusetzen, denn dadurch wird die Spirale, die uns in diese missliche Lage gebracht hat, nur noch weiter angeheizt.
Ein zweiter Schritt zum Erfolg besteht darin, sich auf das zu konzentrieren, was Sie kontrollieren können, und nicht auf das, was Sie nicht kontrollieren können. Sie können zum Beispiel die Angriffsfläche Ihres Unternehmens nicht kontrollieren. Sie wird mit den digitalen Investitionen weiter wachsen und sich verändern. Sie können auch nicht kontrollieren, wann, wo und wie Angreifer versuchen werden, Ihren Schutz zu durchbrechen.
Aber Sie können das Signal und die Burnout-Herausforderungen kontrollieren, die Ihre SOC-Analysten jeden Tag betreffen.
Wie können diese wichtigen Ziele erreicht werden?
Die unübertroffenen Vorteile von Signal Clarity
Sie beginnen damit, neu zu definieren, was effektive Sicherheit ist - und was sie nicht ist. Es nützt nichts, Tausende von möglichen Bedrohungen zu erkennen, wenn Sie die dringenden nicht von den harmlosen unterscheiden können.
Aber die schnelle Identifizierung und Priorisierung von Angriffen durch ein integriertes Signal, das Klarheit über die dringendsten Angriffe auf der gesamten Angriffsfläche schafft?
Das ist ein entscheidender Faktor.
Die Vorteile einer solchen Signalklarheit sind unbestreitbar. Je effektiver das Angriffssignal ist, desto widerstandsfähiger, effizienter und effektiver wird das SOC und desto besser können Sie das Unternehmen verteidigen. Darüber hinaus werden verbesserte Erfolgsquoten dazu beitragen, die Abwanderung von Analysten aus der Branche einzudämmen.
Klarheit über die Signale zu erlangen, fängt bei den Werkzeugen in Ihrem Tech-Stack an. Wir sind der Meinung, dass Sicherheitsanbieter für die Wirksamkeit ihrer Signale verantwortlich gemacht werden sollten, nicht nur für die Anzahl der von ihnen erzeugten Warnmeldungen. Sie sollten auch für die mangelnde Transparenz ihrer Tools in Bezug auf die Angriffsfläche und die Erkennungsgenauigkeit sowie für die negativen Auswirkungen dieser Fehler auf die Produktivität der Analysten verantwortlich gemacht werden.
Wenn Sie in der Zwischenzeit mehr über Vectra und integrierte Signalklarheit erfahren möchten, kommen Sie vorbei und sehen Sie sich einen klaren Weg in die Zukunft an.