Vectra AI geht in einer aktuellen Studie der Frage nach, wie gut/schlecht IT-Sicherheitsteams mit der wachsenden Zahl an Sicherheitstools, Angriffsvektoren und Alarmmeldungen umgehen. Dieser Bericht basiert auf einer von Vectra in Auftrag gegebenen Studie von März bis April 2023. Sapio befragte 2.000 IT-Sicherheitsanalysten in Unternehmen mit mehr als 1.000 Mitarbeitern.
Der Cybersecurity-Spezialist Vectra AI veröffentlicht die Ergebnisse des “2023 State of Threat Detection Research Report”, der Einblicke in die "Spirale des Mehr" gibt, die Security Operations Center (SOC)-Teams daran hindert, ihre Organisationen effektiv vor Cyberangriffen zu schützen. Die heutigen Security Operations (SecOps)-Teams haben die Aufgabe, immer ausgefeiltere und schnellere Cyberangriffe abzuwehren. Doch die Komplexität der ihnen zur Verfügung stehenden Experten, Prozesse und Technologien macht die Cyberabwehr zunehmend schwierig. Die immer grösser werdende Angriffsfläche in Kombination mit den sich weiterentwickelnden Methoden der Angreifer und der zunehmenden Arbeitsbelastung der SOC-Analysten führt zu einem Teufelskreis, der die Sicherheitsteams daran hindert, ihr Unternehmen effektiv zu schützen. Der Bericht basiert auf einer Umfrage unter 2.000 SecOps-Analysten und zeigt auf, warum der derzeitige Ansatz für sicheren IT-Betrieb dauerhaft nicht funktionieren kann.
Eine Spirale des Mehr bedroht die Fähigkeit der Sicherheitsteams, ihre Organisation zu verteidigen
Die manuelle Sichtung von Warnmeldungen kostet Unternehmen allein in den USA jährlich 3,3 Milliarden Dollar, und Sicherheitsanalysten sind mit der gewaltigen Aufgabe betraut, Bedrohungen so schnell und effizient wie möglich zu erkennen, zu untersuchen und darauf zu reagieren, während sie gleichzeitig mit einer wachsenden Angriffsfläche und Tausenden von täglichen Sicherheitswarnungen konfrontiert sind.
Die Untersuchung von Vectra AI zeigt:
- 63 % geben an, dass die Grösse ihrer Angriffsfläche in den letzten drei Jahren zugenommen hat.
- SOC-Teams erhalten im Durchschnitt 4.484 Warnmeldungen pro Tag und verbringen fast drei Stunden pro Tag mit der manuellen Bearbeitung von Warnmeldungen.
- Sicherheitsanalysten sind nicht in der Lage, 67 % der täglich eingehenden Warnungen zu bearbeiten. 83 % geben an, dass es sich bei den Warnungen um Fehlalarme handelt, die ihre Zeit nicht wert sind.
SOC-Analysten haben nicht die richtigen Tools, um ihre Arbeit effektiv zu erledigen
Obwohl die Mehrheit der SOC-Analysten angibt, dass ihre Tools effektiv sind, hindert die Kombination aus blinden Flecken und einer hohen Anzahl falsch positiver Alarme Unternehmen und ihre SOC-Teams daran, Cyberrisiken erfolgreich einzudämmen. Ohne Einblick in die gesamte IT-Infrastruktur sind Unternehmen nicht einmal in der Lage, die häufigsten Anzeichen eines Angriffs zu erkennen, wie z. B. Seitwärtsbewegungen, Ausweitung von Berechtigungen und das Hijacking mit Hilfe von Cloud-Angriffen.
Der Report verdeutlicht:
- 97 % der SOC-Analysten machen sich Sorgen, dass sie ein relevantes Sicherheitsereignis verpassen könnten, weil es unter einer Flut von Warnmeldungen begraben ist, dennoch hält die große Mehrheit ihre Tools insgesamt für effektiv.
- 41 % glauben, dass eine Überlastung mit Warnmeldungen die Norm ist, weil die Anbieter Angst haben, ein Ereignis zu übersehen, das sich als wichtig erweisen könnte.
- 38 % geben an, dass Sicherheitstools nur gekauft werden, um die Compliance-Anforderungen zu erfüllen, und 47 % wünschen sich, dass die IT-Mitarbeiter sie konsultieren, bevor sie in neue Produkte investieren.
Burnout von Analysten stellt ein erhebliches Risiko für die Sicherheitsbranche dar
Trotz des zunehmenden Einsatzes von KI und Automatisierungstools ist in der Sicherheitsbranche immer noch eine beträchtliche Anzahl von Mitarbeitern erforderlich, um Daten zu interpretieren, Untersuchungen einzuleiten und Abhilfemassnahmen auf der Grundlage der ihnen zur Verfügung gestellten Informationen zu ergreifen. Angesichts der Überlastung mit Warnmeldungen und sich wiederholenden, banalen Aufgaben geben zwei Drittel der Sicherheitsanalysten an, dass sie darüber nachdenken, ihren Arbeitsplatz zu verlassen, oder dies bereits tun.
Die Studie zeigt:
- Obwohl 74 % der Befragten angeben, dass ihre Position den Erwartungen entspricht, erwägen 67 %, ihre Stelle zu verlassen oder verlassen sie in Kürze.
- Von den Analysten, die erwägen, ihre Stelle zu verlassen oder aktiv aufgeben, geben 34 % an, dass sie nicht über die notwendigen Instrumente verfügen, um ihre Organisation zu sichern.
- 55 % der Analysten geben an, dass sie so viel zu tun haben, dass sie das Gefühl haben, die Arbeit mehrerer Personen zu erledigen, und 52 % sind der Meinung, dass die Arbeit im Sicherheitssektor keine langfristige Karriereoption darstellt.
"Da Unternehmen zu hybriden und Multi-Cloud-Umgebungen übergehen, sind Sicherheitsteams ständig mit mehr konfrontiert - mehr Angriffsfläche, mehr Angreifermethoden, die sich der Verteidigung entziehen, mehr Lärm, mehr Komplexität und mehr hybride Angriffe", sagt Kevin Kennedy, Senior Vice President of Products bei Vectra AI. "Der derzeitige Ansatz zur Erkennung von Bedrohungen ist nicht mehr zeitgemäss, und die Ergebnisse dieses Berichts zeigen, dass das Übermass an unterschiedlichen, isolierten Tools zu viel Erkennungsrauschen erzeugt hat, mit dem SOC-Analysten nicht mehr erfolgreich umgehen können, und stattdessen eine laute Umgebung fördert, die für Angreifer ideal ist, um einzudringen. Als Branche dürfen wir die Spirale nicht weiter anheizen, und es ist an der Zeit, die Anbieter von Sicherheitslösungen für die Wirksamkeit ihrer Signale zur Rechenschaft zu ziehen. Je effektiver das Bedrohungssignal ist, desto widerstandsfähiger und effektiver wird das SOC."