Cybereason (https://www.cybereason.com/) hat mehr als 1.200 Unternehmen mit mindestens 500 Mitarbeitenden in den USA, Großbritannien, Frankreich, Deutschland, den Vereinigten Arabischen Emiraten und Saudi-Arabien befragt, um zu verstehen, wo Unternehmen heute in Bezug auf ihr SOC und Cyberangriffe stehen. Ein Ergebnis ist, dass zweifellos jedes Unternehmen eine effektive operative Widerstandsfähigkeit gegen Cyberangriffe anstrebt. Alle Vorfälle sollen entweder verhindert oder identifiziert und behoben werden, während die Auswirkungen auf die Kernprozesse des Unternehmens so gering wie möglich gehalten werden. Wie weit Unternehmen heute von diesem Ziel entfernt sind, zeigen weitere Ergebnisse der Studie.
Der Schlüssel zur SOC-Modernisierung
Die durchschnittliche MTTR (Mean Time To Resolution) in den befragten Unternehmen liegt zwischen zwei und vier Stunden. In den meisten Fällen wird hier das Service Level Objective (SLO) erreicht. Außerdem verfügt die überwiegende Anzahl der Befragten über eine 24x7x365 SOC-Abdeckung, entweder durch eigene Kapazitäten oder durch Services von Drittanbietern. Viele Unternehmen sind aber noch weit davon entfernt, alle Sicherheitswarnmeldungen am selben Tag zu bearbeiten. Laut der Umfrage verarbeitet die Mehrheit der Befragten nur zwischen 50 und 80 Prozent pro Tag. Wobei die Qualität der bearbeiteten Alerts stark variiert: Bei zehn Prozent der Unternehmen sind 90 Prozent der Warnmeldungen falsch-positiv, im Durchschnitt liegt dieser Wert bei 20 bis 40 Prozent.
Da die Anforderungen an SOCs in Zukunft noch weiter steigen werden, wird es bei einer SOC-Modernisierung zwingend erforderlich sein, die beiden Messgrößen SLO und Qualität der Alerts zu priorisieren.
„Unternehmen konzentrieren sich derzeit zu sehr auf ergebnisbasierte Metriken wie MTTD und MTTR. Also zum Beispiel darauf, was ein akzeptables Maß an Fehlalarmen ist und wie diese reduziert werden können. Der Fokus sollte jedoch auf einem ganzheitlichen Ansatz liegen, der mit der Datengrundlage beginnt, über optimierte Prozesse führt und schließlich die passenden Tools integriert, die zur Erreichung dieser Ziele eingesetzt werden sollten“, erläutert Greg Day, Vice President & Global Field CISO bei Cybereason.
Dabei gilt es zu beachten, dass nicht alle Vorfälle gleich sind. Bei der Suche nach Verbesserungen lohnt es sich zu überlegen, an welcher Stelle im Unternehmen angesetzt werden sollte. Eine der größten Herausforderungen aktuell ist zum Beispiel der Fachkräftemangel. Durch die automatisierte Bearbeitung von einfachen Bedrohungen können sich Mitarbeitende auf komplexere und zeitaufwändigere Vorfälle konzentrieren. Aspekte, die aufgrund des Umfangs oder der Komplexität nicht skalierbar sind, sollten ausgelagert werden.
Herausforderungen bei der Datenspeicherung
Im Durchschnitt werden sicherheitsrelevante Daten ein bis sechs Monate in Gewahrsam gehalten. Nur ein Prozent der Befragten bewahrt sie länger als ein Jahr auf. Die jüngste Studie von Cybereason über die Auswirkungen von Ransomware auf Unternehmen hat aufdeckt, dass mehr als die Hälfte aller Vorfälle erst nach drei bis zwölf Monaten entdeckt werden.
„Hier besteht eindeutig eine Datenlücke. Angesichts des zunehmenden regulatorischen Drucks würde man erwarten, dass mehr Unternehmen ihre Sicherheitsdaten länger aufbewahren. Dennoch wollen 96 Prozent der Befragten die Anzahl der Daten in ihrem SIEM reduzieren, um die Kosten für Cybersicherheit zu senken“, gibt Greg Day zu Bedenken.
Neben dem Problem der Datenspeicherung wurde in der Studie auch das Problem der Datenfragmentierung angesprochen. Bei der Mehrheit der Unternehmen sind die Daten auf zwei oder mehr Data Lakes verteilt, wobei 67 Prozent nur die Warnmeldungen, nicht aber die Rohdaten speichern. Hier ist jedoch Vorsicht geboten: Alerts sind nur ein erster Hinweis auf einen Vorfall, während die Rohdaten die umfassenderen Informationen dazu enthalten.
SOC-Analysten verlieren viel Zeit mit Datenabfragen
SOC-Analysten haben noch mit einem weiteren zeitaufwändigen Problem zu kämpfen. Die Studie (https://www.cybereason.com/de/ransomware-die-wahren-kosten-2024) hat gezeigt, dass sie bis zu 75 Prozent ihrer Zeit damit verbringen, Beweise für einen Vorfall zu sammeln. Diese Suche wird traditionell mit SIEM durchgeführt. Im Rahmen der Studie zeichnet sich das Ergebnis ab, dass in der Regel zwei bis drei SIEM-Abfragen erforderlich sind, um einen Alarm zu bestätigen. Dabei dauert jede Abfrage im Durchschnitt zwischen zwei und zehn Minuten, bis die Ergebnisse vorliegen. Wenn Unternehmen nicht auf Cloud-Lösungen zurückgreifen, um die Skalierbarkeit und Geschwindigkeit zu erhöhen, oder wenn die Datensätze zu groß sind, können diese Abfragen sogar noch länger dauern. Laut der Studie kann die Neuerstellung einer Abfrage zwischen einer und 24 Stunden in Anspruch nehmen, je nachdem, wie komplex die Analyse ist und über welche Fähigkeiten die Analysten verfügen. Liegt bereits eine Suchanfrage vor, die lediglich einer Anpassung bedarf, lässt sich der Zeitaufwand reduzieren.
„Das Schreiben komplexer Abfragen erfordert jahrelange Erfahrung. Da heutzutage durchschnittlich 16 bis 30 Prozent der Stellen in Security Operations Centern unbesetzt sind, suchen Unternehmen nach neuen, intelligenten Wegen, um Informationen zusammenzuführen und einen Überblick über den gesamten Malware-Prozess zu erhalten. Künstliche Intelligenz bietet hier einen möglichen Lösungsansatz. Dafür müssen die Daten aber nicht einfach nur vorhanden sein, sondern auch in einen Zusammenhang gebracht und maschinenlesbar aufbereitet werden“, so Greg Day.
Mehr Tools, mehr Daten, mehr Komplexität
Unternehmen setzen heute eine Vielzahl von Sicherheitsprodukten ein – eine Liste, die mit zunehmender Zahl an Bedrohungen weiterwächst. Für Security Operations Center erhöht sich damit auch die Komplexität, all diese Einzellösungen in Falle eines schadhaften Angriffs zusammenzuführen. Um Vorgänge zu verstehen werden mehr Beweismittel, Informationen und SIEM-Abfragen benötigt.
In der Regel haben Unternehmen fünf bis sechs verschiedene Tools wie SOAR, TIM, EDR und SIEM im Einsatz. Allzu oft stammen diese von verschiedenen Anbietern, die unterschiedliche Datenmodelle verwenden – was die Abläufe für SOC-Analysten zusätzlich verkompliziert. Diese müssen demnach zwischen drei oder mehr verschiedenen Schlüsselkonsolen hin- und herwechseln, um einen Vorfall zu bewerten.
„Je mehr Tool eingesetzt werden, desto mehr Daten fallen auch an. Kein Wunder also, dass viele Unternehmen ständig auf der Suche nach Optimierungs- und Modernisierungsmöglichkeiten sind“, erwähnt Greg Day abschließend.
Cybereason ist ein weltweit führendes Unternehmen für Cybersicherheit. Cybereason bietet Schutz vor Angriffen mit modernsten EDR- und XDR-Technologien sowie branchenweit anerkannte Beratungsdienste, um Unternehmen in jeder Phase eines Cybersicherheits-vorfalls zu unterstützen. Cybereason setzt die besten Technologien auf dem Markt und branchenführende Experten ein, um seine Kunden in die Lage zu versetzen, Cyberbedrohungen in einer sich ständig verändernden Bedrohungslandschaft zu antizipieren, ihnen zu widerstehen, sich von ihnen zu erholen und sich an sie anzupassen. Cybereason ist ein internationales Unternehmen in Privatbesitz mit Hauptsitz in Kalifornien und Kunden in über 40 Ländern.
Firmenkontakt
Cybereason Germany GmbH
Andre Grau
Theresienhöhe 28
80339 München
+49 89 419599-10
https://www.cybereason.com/de/
Pressekontakt
Maisberger GmbH
Jasmin Altmann
Claudius-Keller-Str. 3c
81669 München
+49 89 419599-10
www.maisberger.com