Startseite > Security > Studie zeigt aktuelle Security-Entwicklungen auf

Cybereason: SOC-Modernisierung gefragt

Studie zeigt aktuelle Security-Entwicklungen auf

9. Dezember 2024, 13:25 Uhr | Jörg Schröper

Fortsetzung des Artikels von Teil 1

SOC-Analysten verlieren viel Zeit mit Datenabfragen

SOC-Analysten haben noch mit einem weiteren zeitaufwendigen Problem zu kämpfen. Die Studie hat gezeigt, dass sie bis zu 75 Prozent ihrer Zeit damit verbringen, Beweise für einen Vorfall zu sammeln. Diese Suche wird traditionell mit SIEM durchgeführt. Im Rahmen der Studie zeichnet sich das Ergebnis ab, dass in der Regel zwei bis drei SIEM-Abfragen erforderlich sind, um einen Alarm zu bestätigen. Dabei dauert jede Abfrage im Durchschnitt zwischen zwei und zehn Minuten, bis die Ergebnisse vorliegen. Wenn Unternehmen nicht auf Cloud-Lösungen zurückgreifen, um die Skalierbarkeit und Geschwindigkeit zu erhöhen, oder wenn die Datensätze zu groß sind, können diese Abfragen sogar noch länger dauern. Laut der Studie kann die Neuerstellung einer Abfrage zwischen einer und 24 Stunden in Anspruch nehmen, je nachdem, wie komplex die Analyse ist und über welche Fähigkeiten die Analysten verfügen. Liegt bereits eine Suchanfrage vor, die lediglich einer Anpassung bedarf, lässt sich der Zeitaufwand reduzieren.

„Das Schreiben komplexer Abfragen erfordert jahrelange Erfahrung. Da heutzutage durchschnittlich 16 bis 30 Prozent der Stellen in Security Operations Centern unbesetzt sind, suchen Unternehmen nach neuen, intelligenten Wegen, um Informationen zusammenzuführen und einen Überblick über den gesamten Malware-Prozess zu erhalten. Künstliche Intelligenz bietet hier einen möglichen Lösungsansatz. Dafür müssen die Daten aber nicht einfach nur vorhanden sein, sondern auch in einen Zusammenhang gebracht und maschinenlesbar aufbereitet werden“, so Day.

Mehr Tools, mehr Daten, mehr Komplexität

Unternehmen setzen heute eine Vielzahl von Sicherheitsprodukten ein – eine Liste, die mit zunehmender Zahl an Bedrohungen weiterwächst. Für Security Operations Center erhöht sich damit auch die Komplexität, all diese Einzellösungen in Falle eines schadhaften Angriffs zusammenzuführen. Um Vorgänge zu verstehen werden mehr Beweismittel, Informationen und SIEM-Abfragen benötigt.

In der Regel haben Unternehmen fünf bis sechs verschiedene Tools wie SOAR, TIM, EDR und SIEM im Einsatz. Allzu oft stammen diese von verschiedenen Anbietern, die unterschiedliche Datenmodelle verwenden – was die Abläufe für SOC-Analysten zusätzlich verkompliziert. Diese müssen demnach zwischen drei oder mehr verschiedenen Schlüsselkonsolen hin- und herwechseln, um einen Vorfall zu bewerten.

„Je mehr Tool eingesetzt werden, desto mehr Daten fallen auch an. Kein Wunder also, dass viele Unternehmen ständig auf der Suche nach Optimierungs- und Modernisierungsmöglichkeiten sind“, so Day abschließend.