Cybereason: SOC-Modernisierung gefragt
Studie zeigt aktuelle Security-Entwicklungen auf
Cybereason hat mehr als 1.200 Unternehmen mit mindestens 500 Mitarbeitenden in den USA, Großbritannien, Frankreich, Deutschland, den Vereinigten Arabischen Emiraten und Saudi-Arabien danach befragt, wo Unternehmen heute in Bezug auf ihr SOC und Cyberangriffe stehen.
Ein Ergebnis der Untersuchung ist, dass zweifellos jedes Unternehmen eine effektive operative Widerstandsfähigkeit gegen Cyberangriffe anstrebt. Alle Vorfälle sollen entweder verhindert oder identifiziert und behoben werden, während die Auswirkungen auf die Kernprozesse des Unternehmens so gering wie möglich sein sollen. Wie weit Unternehmen heute von diesem Ziel entfernt sind, zeigen weitere Ergebnisse der Studie.
Der Schlüssel zur SOC-Modernisierung
Die durchschnittliche MTTR (Mean Time To Resolution) in den befragten Unternehmen liegt zwischen zwei und vier Stunden. In den meisten Fällen wird hier das sogenannte Service Level Objective (SLO) erreicht. Außerdem verfügt die überwiegende Anzahl der Befragten über eine 24 x 7 x 365 SOC-Abdeckung. Dies gelingt entweder durch eigene Kapazitäten oder durch Services von Drittanbietern. Viele Unternehmen sind jedoch noch weit davon entfernt, alle Sicherheitswarnmeldungen am selben Tag zu bearbeiten.
Laut der Umfrage verarbeitet die Mehrheit der Befragten nur zwischen 50 und 80 Prozent pro Tag. Wobei die Qualität der bearbeiteten Alerts stark variiert: Bei zehn Prozent der Unternehmen sind 90 Prozent der Warnmeldungen falsch-positiv, im Durchschnitt liegt dieser Wert bei 20 bis 40 Prozent.
Da die Anforderungen an SOCs in Zukunft noch weiter steigen werden, wird es bei einer SOC-Modernisierung zwingend erforderlich sein, die beiden Messgrößen SLO und Qualität der Alerts zu priorisieren, so Cybereason.
„Unternehmen konzentrieren sich derzeit zu sehr auf ergebnisbasierte Metriken wie MTTD und MTTR. Also zum Beispiel darauf, was ein akzeptables Maß an Fehlalarmen ist und wie diese reduziert werden können. Der Fokus sollte jedoch auf einem ganzheitlichen Ansatz liegen, der mit der Datengrundlage beginnt, über optimierte Prozesse führt und schließlich die passenden Tools integriert, die zur Erreichung dieser Ziele eingesetzt werden sollten“, erläuterte Greg Day, Vice President and Global Field CISO bei Cybereason.
Dabei gilt es zu beachten, dass nicht alle Vorfälle gleich sind. Bei der Suche nach Verbesserungen lohnt es sich zu überlegen, an welcher Stelle im Unternehmen angesetzt werden sollte. Eine der größten Herausforderungen aktuell ist zum Beispiel der Fachkräftemangel. Durch die automatisierte Bearbeitung von einfachen Bedrohungen können sich Mitarbeitende auf komplexere und zeitaufwändigere Vorfälle konzentrieren. Aspekte, die aufgrund des Umfangs oder der Komplexität nicht skalierbar sind, sollten ausgelagert werden.
Herausforderungen bei der Datenspeicherung
Im Durchschnitt werden sicherheitsrelevante Daten ein bis sechs Monate in Gewahrsam gehalten. Nur ein Prozent der Befragten bewahrt sie länger als ein Jahr auf. Die jüngste Studie von Cybereason über die Auswirkungen von Ransomware auf Unternehmen hat aufdeckt, dass mehr als die Hälfte aller Vorfälle erst nach drei bis zwölf Monaten entdeckt werden.
„Hier besteht eindeutig eine Datenlücke. Angesichts des zunehmenden regulatorischen Drucks würde man erwarten, dass mehr Unternehmen ihre Sicherheitsdaten länger aufbewahren. Dennoch wollen 96 Prozent der Befragten die Anzahl der Daten in ihrem SIEM reduzieren, um die Kosten für Cybersicherheit zu senken“, gab Day zu Bedenken.
Neben dem Problem der Datenspeicherung wurde in der Studie auch das Problem der Datenfragmentierung angesprochen. Bei der Mehrheit der Unternehmen sind die Daten auf zwei oder mehr Data Lakes verteilt, wobei 67 Prozent nur die Warnmeldungen, nicht aber die Rohdaten speichern. Dort ist jedoch Vorsicht geboten: Alerts sind nur ein erster Hinweis auf einen Vorfall, während die Rohdaten die umfassenderen Informationen dazu enthalten.
- Studie zeigt aktuelle Security-Entwicklungen auf
- SOC-Analysten verlieren viel Zeit mit Datenabfragen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
