Sicherheitswarnungen: 70 Prozent der Unternehmen mit Menge überfordert

Fast drei von vier Unternehmen (70 Prozent) haben Schwierigkeiten, mit der Menge an Warnungen, die von ihren Sicherheitsanalysetools generiert werden, Schritt zu halten. Dies wirkt sich in einem Mangel an Ressourcen für wichtige strategische Aufgaben aus und führt dazu, dass sich Organisationen Prozessautomatisierung und Outsourcing zuwenden, wie die aktuelle ESG-Studie „SOC Modernization and the Role of XDR“, die von Kaspersky in Auftrag gegeben wurde, zeigt [1].

Zusätzlich zu der Menge an Warnmeldungen stellt jedoch auch die Vielfalt derselben für mehr als zwei Drittel (67 Prozent) der in einem Security Operations Center (SOC) Beschäftigten eine Herausforderung dar. Beide Faktoren erschweren es SOC-Analysten, sich auf komplexere und wichtigere Aufgaben zu konzentrieren. In jedem dritten Unternehmen (34 Prozent) haben Cybersicherheitsteams, die durch Warnungen und Notfallsicherheitsprobleme überlastet sind, nicht genug Zeit, sich mit Strategie- und Prozessoptimierungen zu beschäftigen.

Die Studie zeigt zudem, dass Unternehmen diesen Zustand jedoch nicht auf einen Personalmangel zurückführen. 83 Prozent sind der Meinung, dass ihr SOC über genügend Mitarbeiter verfüge, um ein Unternehmen ihrer Größe effektiv zu schützen. Allerdings glauben sie, dass es notwendig wäre, Prozesse zu automatisieren und externe Dienste in Anspruch zu nehmen. Mehr als die Hälfte der Befragten (55 Prozent) sieht den Hauptgrund für die Nutzung von Managed Services darin, ihrem Personal mehr Raum zu geben, um sich auf strategischere Initiativen zu konzentrieren, anstatt Zeit mit Security-Operation-Aufgaben zu verbringen.

„Anstatt proaktiv nach komplexen Bedrohungen und Evasive Threats in der Infrastruktur zu suchen, können SOC-Analysten derzeit nur auf Notfälle reagieren“, erklärt Yuliya Andreeva, Senior Product Manager bei Kaspersky. „Die Reduzierung der Anzahl an Warnungen, die Automatisierung ihrer Konsolidierung und Korrelation in Vorfallketten sowie die Verkürzung der Gesamtreaktionszeit sollten für Unternehmen im Mittelpunkt stehen, um die Leistungsfähigkeit ihres SOC zu verbessern. Dies können sie durch entsprechende Automatisierungslösungen und externe Experten erreichen.“

Kaspersky-Empfehlungen zur Optimierung der SOC-Vorgänge

• Organisieren von Arbeitsschichten im SOC, um eine Überlastung des Personals zu vermeiden. Die Hauptaufgaben wie Überwachung, Untersuchung, IT-Architektur und -Engineering, Verwaltung und SOC-Management auf alle Mitarbeiter verteilen.
• Einen umfassenden Threat-Intelligence-Service [2] nutzen, der die Integration maschinenlesbarer Intelligence in vorhandene Sicherheitskontrollen, wie beispielweise ein SIEM-System, ermöglicht. Dadurch kann der anfängliche Triage-Prozess automatisiert und genügend Kontext generiert werden, um zu entscheiden, ob eine Warnung sofort untersucht werden soll.
• Um das SOC von routinemäßigen Triage-Aufgaben für Warnungen zu befreien, können Unternehmen auf bewährte Managed-Detection-and-Response-Dienste setzen. Kaspersky Managed Detection and Response [3] kombiniert KI-basierte Erkennungstechnologien mit umfassender Expertise in der Bedrohungssuche und der Vorfallreaktion von professionellen Einheiten, darunter das Kaspersky Global Research & Analysis Team (GReAT).

Weitere Ergebnisse des Reports „SOC Modernization and the Role of XDR“ sind verfügbar unter https://kas.pr/xdr_report

[1] https://kas.pr/xdr_report

[2] https://www.kaspersky.de/blog/soc-burnout/25463/ https://www.kaspersky.de/enterprise-security/threat-intelligence

[3] https://www.kaspersky.de/enterprise-security/managed-detection-and-response

Nützliche Links:

• Report „SOC Modernization and the Role of XDR“: https://kas.pr/xdr_report
• Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
• Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response