50 Prozent verlassen sich primär auf herstellerseitige Regelsätze. 40 Prozent entwickeln eigene Logik.
Ein großer Teil der von Unternehmen erfassten Telemetriedaten fließt nicht in die Echtzeit-Erkennung ein, wie der aktuelle Kaspersky-Report „Anatomy of a Cyber World“ [1] zeigt. So liegt die Abdeckung durch aktive Erkennungslogik durchschnittlich bei 43 Prozent, bei Security Operations Centern (SOCs) mit hoher Quellenvielfalt sogar nur bei rund 30 Prozent. Ohne regelmäßige Überprüfung der Erkennungslogik können blinde Flecken entstehen, die relevante Angriffssignale unentdeckt lassen.
Viele Unternehmen sammeln zwar große Mengen an Sicherheitsdaten, nutzen diese aber nur unzureichend für die aktive Bedrohungserkennung – wodurch relevante Angriffssignale unentdeckt bleiben können. Laut aktueller Kaspersky-Umfrage liegt die durchschnittliche Abdeckung durch Korrelationsregeln bei 43 Prozent; die aktive Erkennungslogik deckt damit im Durchschnitt weniger als die Hälfte aller erfassten Datenquellen von Unternehmen ab. Die übrigen Daten verbleiben zwar in der Plattform für nachträgliche Untersuchungen, Threat Hunting oder Compliance, fließen jedoch nicht in die Echtzeit-Erkennung ein. Diese Tendenz verstärkt sich mit der Komplexität der überwachten Infrastruktur: Die aktive Erkennungslogik deckt bei SOCs mit der größten Quellenvielfalt nur rund 30 Prozent der Quellen ab.
Während die Hälfte (50 Prozent) der bewerteten SOCs sich primär auf herstellerseitig bereitgestellte Regelsätze stützt, bauen 40 Prozent ihre eigene Logik von Grund auf neu auf. SOCs, die sich primär auf herstellerseitige Regelsätze verlassen, sehen sich jedoch häufig mit erhöhten False-Positive-Raten sowie mit Erkennungslücken durch unzureichende Feinabstimmung konfrontiert. Bei denjenigen, die sich auf EDR stützen, entstehen Lücken durch die fehlende Querkorrelation zwischen Quellen. Des Weiteren legen Unternehmen den Erkennungsumfang ihres SOC oft bereits bei der ersten Konzeption fest, ohne ihn später erneut zu überprüfen.
Externe Bewertung durch Kaspersky deckt Lücken auf
Um diese Herausforderungen zu adressieren, bietet Kaspersky Unternehmen den Service Kaspersky SOC Consulting [2] an. Dieser unterstützt sie dabei, ein internes SOC von Grund auf aufzubauen, den Reifegrad eines bestehenden SOC zu bewerten oder einzelne SOC-Fähigkeiten wie Erkennungs- und Reaktionsfähigkeiten gezielt weiterzuentwickeln. Im vergangenen Jahr führten die Kaspersky-Experten am häufigsten SOC Technical Assessment (23 Prozent), SOC Framework Development (20 Prozent) sowie SOC Maturity Assessment und SIEM Quality Assurance (je 12 Prozent) durch.
„Selbst wenn KPIs definiert sind, ist und bleibt die interne Bewertung der SOC-Effektivität durch die Insider-Perspektive unvollständig“, kommentiert Roman Nazarov, Head of SOC Consulting bei Kaspersky. „Daher ziehen Unternehmen externes SOC-Consulting hinzu, um zu verstehen, was tatsächlich erkannt wird – durch eine Bewertung der Erkennungslogik und die Analyse von Ereignisabläufen sowie Angriffssimulationen. Im Allgemeinen sollten Unternehmen einen strukturierten Detection-Engineering-Prozess aufbauen, also ein wiederholbares Verfahren für Entwicklung, Validierung und regelmäßige Überprüfung der Erkennungslogik.“
Der vollständige Kaspersky-Report „Anatomy of a Cyber World: Global Report by Kaspersky Security Services“ ist verfügbar unter https://www.kaspersky.com/enterprise-security/resources/reports/mdr-ir-analyst-reports?utm_source=press-release&utm_medium=referral&utm_campaign=Global-Report_26_MDR-IR&utm_content=5637437839
[1] https://www.kaspersky.de/enterprise-security/resources/reports/mdr-ir-analyst-reports
[2] https://www.kaspersky.com/enterprise-security/soc-consulting
Nützliche Links:
- Kaspersky-Report „Anatomy of a Cyber World: Global Report by Kaspersky Security Services“: https://www.kaspersky.de/enterprise-security/resources/reports/mdr-ir-analyst-reports
- Kaspersky SOC Consulting: https://www.kaspersky.com/enterprise-security/soc-consulting
