Mit einer wachsenden Zahl an Sicherheits-Tools, Angriffsvektoren und Alarmmeldungen sehen sich IT-Sicherheitsteams konfrontiert. Eine Studie verdeutlicht, wie gut bzw. schlecht sie damit umgehen.
Um dieser Frage nachzugehen hat Vectra die Studie „2023 State of Threat Detection Research Report“ von März bis April 2023 durchführen lassen. Dazu befragten die Marktforscher von Sapio 2.000 IT-Sicherheitsanalysten in Unternehmen mit mehr als 1.000 Mitarbeitern in den USA (200), Großbritannien (200), Frankreich (200), Deutschland (200), Italien (200), Spanien (200), Schweden (200), den Niederlanden (200), Australien und Neuseeland (200) sowie Saudi-Arabien und den Vereinigten Arabischen Emiraten (200).
Dabei hat sich eine klare Diskrepanz ergeben: Die Security Operations Teams im SOC (Security Operations Center) glauben zwar Eindringlinge schnell zu erkennen, aber sie fürchten zugleich Bedrohungen zu übersehen. In genauen Zahlen: 90 Prozent der SOC-Analysten glauben, dass ihre aktuellen Tools zur Erkennung von Bedrohungen effektiv sind, obwohl 97 Prozent angeben, dass sie befürchten, ein relevantes Sicherheitsereignis zu verpassen
Heutzutage haben SecOps-Teams die Aufgabe, immer ausgefeiltere und schnellere Cyber-Angriffe abzuwehren. Doch die Komplexität der ihnen zur Verfügung stehenden Experten, Prozesse und Technologien macht die Cyber-Abwehr zunehmend schwierig. Die immer größer werdende Angriffsfläche in Kombination mit den sich weiterentwickelnden Methoden der Angreifer und der zunehmenden Arbeitsbelastung der SOC-Analysten führt zu einem Teufelskreis, der die Sicherheitsteams daran hindert, ihr Unternehmen effektiv zu schützen.
Die manuelle Sichtung von Warnmeldungen kostet Unternehmen allein in den USA jährlich 3,3 Milliarden Dollar, und Sicherheitsanalysten sind mit der gewaltigen Aufgabe betraut, Bedrohungen so schnell und effizient wie möglich zu erkennen, zu untersuchen und darauf zu reagieren, während sie gleichzeitig mit einer wachsenden Angriffsfläche und Tausenden von täglichen Sicherheitswarnungen konfrontiert sind.
Weitere Ergebnisse der Untersuchung lauten:
- 63 Prozent geben an, dass die Größe ihrer Angriffsfläche in den letzten drei Jahren zugenommen hat.
- SOC-Teams erhalten im Durchschnitt 4.484 Warnmeldungen pro Tag und verbringen fast drei Stunden pro Tag mit der manuellen Bearbeitung von Warnmeldungen.
- Sicherheitsanalysten sind nicht in der Lage, 67 Prozent der täglich eingehenden Warnungen zu bearbeiten. 83 Prozent geben an, dass es sich bei den Warnungen um Fehlalarme handelt, die ihre Zeit nicht wert sind.
SOC-Analysten brauchen die richtigen Tools
Obwohl die Mehrheit der SOC-Analysten angibt, dass ihre Tools effektiv sind, hindert die Kombination aus blinden Flecken und einer hohen Anzahl falsch positiver Alarme Unternehmen und ihre SOC-Teams daran, Cyber-Risiken erfolgreich einzudämmen. Ohne Einblick in die gesamte IT-Infrastruktur sind Unternehmen nicht einmal in der Lage, die häufigsten Anzeichen eines Angriffs zu erkennen, wie z. B. Seitwärtsbewegungen, Ausweitung von Berechtigungen und das Hijacking mit Hilfe von Cloud-Angriffen. Generell verdeutlicht der Report:
- 97 Prozent der SOC-Analysten machen sich Sorgen, dass sie ein relevantes Sicherheitsereignis verpassen könnten, weil es unter einer Flut von Warnmeldungen begraben ist, dennoch hält die große Mehrheit ihre Tools insgesamt für effektiv.
- 41 Prozent glauben, dass eine Überlastung mit Warnmeldungen die Norm ist, weil die Anbieter Angst haben, ein Ereignis zu übersehen, das sich als wichtig erweisen könnte.
- 38 Prozent geben an, dass Sicherheitstools nur gekauft werden, um die Compliance-Anforderungen zu erfüllen, und 47 Prozent wünschen sich, dass die IT-Mitarbeiter sie konsultieren, bevor sie in neue Produkte investieren.
Burnout von Analysten droht
Trotz des zunehmenden Einsatzes von KI und Automatisierungs-Tools ist in der Sicherheitsbranche immer noch eine beträchtliche Anzahl von Mitarbeitern erforderlich, um Daten zu interpretieren, Untersuchungen einzuleiten und Abhilfemaßnahmen auf der Grundlage der ihnen zur Verfügung gestellten Informationen zu ergreifen. Angesichts der Überlastung mit Warnmeldungen und sich wiederholenden, banalen Aufgaben geben zwei Drittel der Sicherheitsanalysten an, dass sie darüber nachdenken, ihren Arbeitsplatz zu verlassen, oder dies bereits tun. (rhh)