Das Dilemma der Verteidiger - Ein Gespräch mit SANS über die Spirale von mehr

9. Oktober 2023
Mark Wojtasiak
VP für Produktforschung und Strategie
Das Dilemma der Verteidiger - Ein Gespräch mit SANS über die Spirale von mehr

In meinem letzten Beitrag sprachen wir über das Dilemma der Verteidiger und nannten die Herausforderungen, denen sich SOC-Teams in unserer kürzlich veröffentlichten Studie "State of Threat Detection 2023" stellen müssen. In Anbetracht der gemeinsamen Themen, die wir in den letzten Jahren von Kunden, Kollegen und Sicherheitsexperten gehört haben, waren die Ergebnisse für uns erwartbar. Sie bestätigten vor allem, was wir bereits wussten: Die meisten aktuellen Ansätze zur Erkennung und Abwehr von Bedrohungen sind fehlerhaft, und zwar aus folgenden Gründen:  

  • SOC-Teams erhalten durchschnittlich 4.484 Warnmeldungen pro Tag, zwei Drittel (67 %) davon werden ignoriert, 83 % sind Fehlalarme.  
  • Fast drei Viertel (71 %) der Analysten geben zu, dass das Unternehmen, in dem sie arbeiten, möglicherweise kompromittiert wurde und sie noch nichts davon wissen.  
  • Die meisten (97 %) der Analysten befürchten, dass sie ein relevantes Sicherheitsereignis verpassen, weil es in der Flut von Sicherheitswarnungen untergeht.  
  • Dennoch sagen 90 % der SOC-Analysten, dass ihre Erkennungs- und Reaktionstools effektiv sind.  

Ich weiß nicht, wie es Ihnen geht, aber warum ist die Definition von effektiv auf die Fähigkeit beschränkt, einen Alarm zu erzeugen? Das scheint der Maßstab zu sein, den 90 % der SOC-Analysten verwenden, obwohl sie glauben, dass sie bereits gefährdet sind und echte Angst haben, einen echten Angriff zu verpassen. Verwirrende Fragen - und um einige Antworten zu finden, nahmen Kevin Kennedy, SVP of Product bei Vectra AI und Matt Bromiley, Lead Solutions Engineer bei LimaCharlie und SANS Instructor, kürzlich an einem Webinar mit SANS teil, in dem sie den Fehdehandschuh auslegten: "Es ist an der Zeit, dass Sicherheitsanbieter für die Wirksamkeit ihrer Signale zur Rechenschaft gezogen werden."

Wir haben uns in die Untersuchung vertieft und Kevin, der die Stimme des Anbieters vertrat, und Matt, der die Stimme des Praktikers vertrat, drei einfache Fragen gestellt:  

  • Mehr Angriffsfläche, mehr Warnmeldungen, mehr Fehlalarme - was ist das Problem, das es zu lösen gilt?  
  • Mehr blinde Flecken, mehr Kompromisse, mehr Umsatz - wo sollten wir ansetzen, um das Problem anzugehen?
  • Mehr Sichtbarkeit, mehr Entdeckungen, mehr Signale - was macht einen SOC-Analysten bei seiner Arbeit am effektivsten?  

Nachfolgend finden Sie einige Highlights aus dem Gespräch. Sie können das gesamte Gespräch mit Kevin und Matt hier ansehen.  

F1: Mehr Angriffsfläche, mehr Warnmeldungen, mehr Fehlalarme - was ist das Problem, das es zu lösen gilt?

Matt: "Ich denke, dass sich aus der Sicht der Werkzeuge und der Technologie einige Dinge getan haben, die diese Möglichkeit eröffnet haben. Ich denke, wenn wir diese Frage vor 4 oder 5 Jahren gestellt hätten, wären die Ergebnisse ganz anders ausgefallen. Die Angriffsfläche, oder sollte ich sagen, das Verständnis der Angriffsfläche, ist in den letzten Jahren gewachsen. Ich denke, wir haben unser Wissen über unsere Umgebung erweitert. Eines der Probleme ist, dass (die Erweiterung der Angriffsfläche) nicht bedeuten sollte, dass wir einfach mehr Dinge in die Warteschlange der Warnmeldungen einfügen und es dann schon herausfinden werden. Ich glaube, was hier passiert ist, ist, dass Angriffsfläche und Warnmeldungen für einige Unternehmen und für einige SOC-Analysten zu Synonymen geworden sind.  

Es geht darum, wie wir sie klassifizieren (Warnungen). Ich möchte nicht, dass meine anfälligen Anwendungen in genau der gleichen Warteschlange gemeldet werden, in der auch Meldungen über die Ausweitung von Berechtigungen oder die Ausführung von Mimikats oder Ähnliches erscheinen. Ich würde es eher als eine Warteschlange für die Sicherheitslage und nicht als eine Warteschlange für tatsächliche Angreiferaktivitäten oder etwas in dieser Art betrachten. Und diese Klassifizierung könnte die SOCs ein wenig entlasten, weil man nicht mehr davon ausgehen muss, dass eine anfällige Webanwendung ein Notfall ist, der sofort behoben werden muss. Und wissen Sie, wenn wir etwas wie 4.500 Alarme pro Tag hören - diese Zahlen sind einfach atemberaubend (und) dies scheint niedrig im Vergleich zu einigen der SOCs, die ich sehe, die sich gerade noch so über Wasser halten können. Ein weiterer Teil des Problems ist die Frage, wem die Ausschreibungen gehören. Wer ist eigentlich für die Behebung dieser Probleme verantwortlich? Ist der Sicherheitsdienst für die Behebung zuständig, oder ist er für die Weiterverfolgung der Meldungen verantwortlich? Oftmals ist es Letzteres, aber wir verwechseln es mit Ersterem."  

Kevin: "Ich glaube, das Problem ist der Ansatz. Wenn man sich anschaut, wie sich das Ganze entwickelt hat, dann kann man 10 Jahre zurückspulen, und es ging darum, Daten zu sammeln, Regeln zu schreiben und ein Signal zu geben. Bei einigen Organisationen hat das funktioniert, bei den meisten nicht. Und so kam es zu dieser Entwicklung von Angriffsflächen und einem speziellen Tool für die Erkennung und Reaktion. Es gibt EDR. Es gibt NDR, es gibt Identität. Es gibt cloud detection and response. Alles ist also eine Punktlösung, und so gut wie jedes Tool ist auf die Abdeckung und oft auf eine geringe Abdeckung optimiert. Es wird nicht wirklich über Rauschen nachgedacht, und genau hier liegen die Anreize aus Sicht der Anbieter. Aufgrund der Art und Weise, wie die Produkte getestet und bewertet werden, ist die Abdeckung auf niedriger Ebene. Das ist der Antrieb und die Realität. Es ist auch viel billiger, eine Low-Level-Noisy-Coverage zu entwickeln, als eine Single zu verfolgen. Man überschwemmt also die Analysten mit Warnmeldungen, aber man hat eine Abdeckung. Es gibt falsch-positive oder tatsächlich bösartige Aktivitäten, wenn man sie finden kann. Wenn Sie jede einzelne Remotecodeausführung markieren, werden Sie bösartige Aktivitäten finden. Sie werden auch jeden Administrator dazu bringen, seine Arbeit zu tun, und Sie werden es kostengünstig liefern.    

Damit wird das Problem nicht wirklich gelöst. Es trägt zu dem Problem bei. Und das gilt auch für Dinge wie das Testen. Wenn man sich MITRE ansieht, dann ordnen wir alle unsere Erkennungen diesen Methoden zu. Wir halten sie für eine wirklich nützliche Bibliothek in der Sprache. Wenn man sich die Tests anschaut, die sie durchführen und die sich hauptsächlich auf EDRs konzentrieren, dann gibt es 0 Fehlalarme. Es handelt sich lediglich um eine bösartige Methode. Sie wird in der Umgebung abgefeuert. Sie sagen: Wurde dies erkannt oder nicht?  

Es wird nicht überprüft, ob normale Dinge Zehntausende von Alarmen auslösen. Und wenn das die Art und Weise ist, wie Sie testen und evaluieren, wenn das die Art und Weise ist, wie die Anreize gesetzt werden, dann werden Sie Produkte bekommen, die das unterstützen. Und dann sagen Sie: Okay, Sicherheitstechniker, es ist euer Problem, herauszufinden, wie man das sinnvoll macht. Mit diesem Ansatz verheizen wir die Leute. Erstens denke ich, wenn wir Analysten mit durchschnittlich 4.500 Alarmen konfrontieren, bleibt nicht viel Zeit, um ihre kreativen Fähigkeiten zu nutzen, wenn ihre Vorliebe darin besteht, diesen Alarm verdammt schnell abzuschließen und den nächsten zu bearbeiten, weil ich daran gemessen werde, ob ich die Warteschlange durchlaufen habe und wie lange es gedauert hat. Das ist der absolut falsche Weg. Das lässt keine Kreativität zu. Das Wichtigste ist, den Analysten Raum und Zeit zu geben, damit sie ihre Kreativität nutzen können, indem man ihnen die relevanten Informationen, den Kontext und die Daten zur Verfügung stellt, damit sie schnell und effizient die richtige Entscheidung treffen können. Wenn es echt ist, muss der Angriff gestoppt werden. So bringen wir das Beste aus einem Analysten heraus."  

F2: Mehr blinde Flecken, mehr Kompromisse, mehr Fluktuation - wo sollten wir anfangen, das Problem anzugehen?

Kevin: Ich denke, der Umsatz ist das Ergebnis, nicht die Ursache des Problems. Ich denke, wir können dieses Problem mit einem integrierten Signal angehen, das genauer ist. Es geht darum, zu konsolidieren, woher man sein Angriffssignal bekommt. Es wird immer viel über eine einzige Glasscheibe gesprochen, die alles regiert. Das ist ein großartiges Ziel, das man anstreben sollte, aber es ist sehr unwahrscheinlich, dass man es in einem einzigen Schritt mit vielen einzelnen Produkten erreichen kann. Überlegen Sie also, wie Sie im Laufe der Zeit konsolidieren können, und nehmen Sie uns Anbieter wirklich in die Pflicht, was die Qualität der von uns gelieferten Signale angeht. Wenn Sie wissen wollen, wer einen Mehrwert bietet, führen Sie ein Red Team durch, das auf Ihrem Bedrohungsmodell und Ihrem Gegner basiert, und prüfen Sie, ob Ihr Tooling zeigt, dass es passiert ist und dass Sie davon wussten, während es passierte. Wenn wir in der Lage sind, ein integriertes, genaues Signal zu erhalten, und Sie uns dafür zur Rechenschaft ziehen, wird das einen großen Beitrag zur Lösung einiger dieser Kernprobleme leisten."  

Matt: "Und weil es sich darauf konzentriert, dem SOC die Macht zu geben, einen Schritt zurückzutreten und zu sagen: Hey, wisst ihr, die Probleme, die ich sehe, rühren von einem oder zwei Tool-Sets in der Umgebung her. Ich hoffe, dass es in keinem Unternehmen eine Abschlussfrage gibt, die besagt, mit welchem Tool man am schlechtesten zurechtgekommen ist. Setzen Sie sich hin und diskutieren Sie mit Ihrem Team darüber, wie wir den Wert, den wir brauchen, aus dem vorhandenen Stack herausholen können. Sprechen Sie das an und holen Sie den Input des SOC-Teams ein. Wenn man jeden Tag in Warnmeldungen ertrinkt und darüber nachdenkt, das Unternehmen zu verlassen, kann man meiner Meinung nach einige dieser (Schmerzen) auch aus der Managementperspektive angehen. Sie wollen niemanden aus dem Team verlieren, weil Ihre Umgebung einzigartige Nischen hat, die nur Ihr Team kennt. Was sind unsere Schwächen als Organisation? Setzen Sie sich hin und führen Sie dieses Gespräch - das ist ein guter Weg, um diese Probleme anzugehen.  

F3: Mehr Sichtbarkeit, mehr Entdeckungen, mehr Signale - was macht einen SOC-Analysten bei seiner Arbeit am effektivsten?

Matt: Mit dem Gedanken an Burnout geht auch der Gedanke einher, dass meine Stimme nicht zählt. SOC-Analysten zu ertränken, ist einfach der Lauf der Dinge. Und es ist lustig, ich habe diesen Thread in einem Diskussionsforum gelesen, ich glaube gestern oder vorgestern, wo jemand sagte: "Ich bin einfach ausgebrannt. Ich bin einfach fertig. Und das war's. Und es ist witzig, weil sie daraufhin sagten: Ich überlege, den Job zu wechseln. Und die erste Antwort war. Nun, wenn Sie ausgebrannt sind, wo wollen Sie dann hin? Wenn wir uns die Effektivität ansehen, wo kann ich den größten Wert und die größte Effizienz finden? Ich möchte mich hier Kevins Meinung anschließen: Wenn es einen Bereich gibt, in dem Ihre Tools nicht effektiv sind, ich meine, 44 % haben geantwortet und gesagt, ja, wir denken, dass unser Anbieter besser gehalten werden könnte, für Sie, 44 %, raten Sie mal, was Sie morgen tun werden? Sie nehmen Ihren Anbieter für die Signale, die er Ihnen sendet, in die Pflicht und nutzen dies als Grundlage für Ihren weiteren Weg.  

Wenn ich die Effektivität von SOC-Analysten bewerten möchte, dann schaue ich nicht unbedingt auf die Anzahl der abgeschlossenen Tickets. Das sollte ich auch nicht. Was mich interessiert, ist, dass wir gestern für diese Aufgabe zwei Stunden gebraucht haben und heute nur noch eine Stunde und 50 Minuten. Sie haben gerade Zeit gespart. Sie haben uns Produktivität gespart. Wie haben Sie das gemacht?  

Wenn Ihr Ziel nur darin besteht, so viele Tickets wie möglich abzuschließen, dann wird Ihre Voreingenommenheit deutlich. Hier zeigt sich Ihr Mangel an Aufmerksamkeit für Details, und Sie nutzen nicht all die menschlichen Fähigkeiten, die Sie haben - Sie schließen einfach nur Tickets ab, weil das der Anreiz ist, auf dem Sie basieren. Ich habe das Gefühl, dass die Zahlen fast das Gegenteil von dem sind, was wir erwartet haben. Ich hätte mehr Unzufriedenheit erwartet, als wir in (dem Bericht) sehen.    

Kevin: Ich denke, die Effektivität der SOC-Analysten hängt damit zusammen, dass man ihnen Raum und Zeit gibt, um kreativ zu sein - Ihre Stimmen müssen auch im Nachhinein gehört werden, wenn es um die Effektivität von Tools geht. Aber auch bei der Auswahl (eines Tools) ist es wichtig. Wir arbeiten mit vielen SOC-Teams zusammen, und die Sicherheitstechniker haben ein Auge auf die Kriterien für die Auswahl der Tools. Achten Sie darauf, wie es mit anderen Tools zusammenarbeitet, damit Sie mehr automatisieren können. Achten Sie auf die Qualität. Führen Sie ein Red Team durch. Verstehen Sie Ihr Bedrohungsmodell.    

Mitbringsel

Im Laufe dieses einstündigen Gesprächs kamen wir zu dem Schluss, dass das Problem, das es zu lösen gilt, die Warnmeldungen sind, und nicht nur das Warngeräusch - jeder kann behaupten, das Geräusch zu reduzieren. Das Kernproblem ist der Umgang mit Warnmeldungen. Die Verwendung von Warnmeldungen zur Messung. Die Zuständigkeit für Warnmeldungen und die Definition, was eine Warnmeldung rechtfertigt. Was die zu setzenden Prioritäten betrifft, so haben wir über integrierte Signale gesprochen. Die Fähigkeit, Signale zu konsolidieren und ihre Wirksamkeit zu messen. Stellen Sie sicher, dass Sie (SOC-Analysten) ein Mitspracherecht haben, um das Management und die Sicherheitstechnik über die Effektivität des Signals zu informieren, denn wenn es ein ineffektives Signal ist, müssen Sie es jemandem mitteilen. Wir haben darüber gesprochen, dass die SOC-Führungskräfte den SOC-Analysten auf die Schulter klopfen und sie um Input bitten müssen. Was kann getan werden, um die Arbeit besser zu machen?    

Möchten Sie mehr von Kevin und Matt hören? Hören Sie sich ihr vorheriges Gespräch an: "Aus der Spirale des "Mehr" in der Sicherheit ausbrechen - Warum das einzige "Mehr", das die Sicherheit braucht, mehr Attack Signal Intelligence ist", hier.  

Häufig gestellte Fragen