Security Operations Center

Forrester veröffentlicht Studie zur Lage des IT-Sicherheitsbetriebs

, München/Wien/Zürich, Palo Alto Networks | Autor: Herbert Wieler

Forrester veröffentlicht Studie zur Lage des IT-Sicherheitsbetriebs

Palo Alto Networks beleuchtet Folgen für Security Operations Center

Palo Alto Networks beauftragte im Frühjahr 2020 Forrester Consulting mit der Durchführung der Studie „The State of Security Operations“. Weltweit 315 Entscheidungsträger im Bereich des Sicherheitsbetriebs wurden befragt, um ihre Herausforderungen und Investitionsprioritäten zu verdeutlichen.

Die diesjährige Studie „The State of Security Operations“ von Forrester Consulting kommt zu dem Ergebnis, dass das Thema Cyber Security die Unternehmen weiterhin in Atem hält. Sicherheitsteams auf der ganzen Welt haben mit dem wachsenden Tempo, Umfang und der Raffinesse von Cyberangriffen zu kämpfen. Die Umfrage unter mehr als 300 Sicherheitsexperten in Unternehmen im Auftrag von Palo Alto Networks zeigt, dass nur 46 Prozent der Unternehmen mit ihrer Fähigkeit, Cybersicherheitsbedrohungen zu erkennen, zufrieden sind. Seit Beginn der COVID-19-Krise ist die Rate der Angriffe in die Höhe geschnellt. Ein FBI-Sprecher wurde mit den Worten zitiert, dass Meldungen bezüglich der Cyber Security beim Internet Crime Complaint Center des FBI seit Beginn der Pandemie um 200 bis 300 Prozent zugenommen haben.

Palo Alto Networks erläutert die kritischen Erkenntnisse der Studie, darunter:

  • Die Herausforderungen, vor denen das moderne SOC (Security Operations Center) heute steht.
  • Die Auswirkungen dieser Herausforderungen auf die Geschäftsergebnisse.
  • Möglichkeiten und bewährte Verfahren zur Optimierung des SOC.

Jedes Unternehmen ist anfällig für einen Cyberangriff

Trotz all ihrer Ressourcen sind im Jahr 2020 eine Reihe branchenführender globaler Unternehmen Opfer von spektakulären Cyberangriffen geworden. Laut der Forrester-Studie haben satte 79 Prozent der Unternehmen im vergangenen Jahr und fast 50 Prozent in den vergangenen sechs Monaten einen Cybersicherheitsvorfall erlebt. Dies war trotz der Tatsache der Fall, dass die meisten Unternehmen über ein internes Sicherheitsbetriebszentrum (SOC) oder eine Form der 24×7-Überwachung verfügen.

Cyberangreifer sind unerbittlich und werden raffinierter. Unternehmen sind ständigen Angriffen ausgesetzt. Ein Sicherheitsbetriebsteam erhält pro Tag im Schnitt elf Sicherheitswarnungen. Der Bericht kommt zu dem Ergebnis, dass die Mehrheit der Unternehmen nicht in der Lage ist, auf die meisten oder alle Sicherheitswarnungen, die sie an einem einzigen Tag erhalten, zu reagieren. Die Sicherheitsteams sind durch isolierte Anwendungen und manuelle Prozesse gelähmt. 28 Prozent der Alarme werden schlicht nie bearbeitet, was nicht gerade beruhigend ist.

Dies hat zur Folge, dass Sicherheitsanalysten in Alarmmeldungen ertrinken, was tiefgreifende Auswirkungen auf ihre Gesundheit, ihr Wohlbefinden und die allgemeine Arbeitszufriedenheit hat. Dieser reaktive Ansatz der Cybersicherheit hat auch zur Folge, dass Entscheidungsträger frustriert und unzufrieden sind. Da Forrester Research die Kosten eines durchschnittlichen Datensicherheitsvorfalls auf bis zu sieben Millionen Dollar schätzt, ist ein proaktiverer Ansatz erforderlich, um Cyberbedrohungen schnell zu verhindern, zu identifizieren und zu bekämpfen.

Sicherheitsteams stehen vor erheblichen Herausforderungen

Sicherheitsanalytiker sind verständlicherweise frustriert, dass sie so viel Zeit damit verbringen, falschen Hinweisen nachzugehen und manuelle Prozesse durchzuführen. Sie arbeiten länger, übernehmen mehr Verantwortung und stehen zunehmend unter Druck, das Unternehmen zu schützen. Trotz ihrer Bemühungen sind die Sicherheitsbetriebsteams nicht in der Lage, entscheidende Vorgaben wie die mittlere Untersuchungszeit, die Anzahl der bearbeiteten Vorfälle, die mittlere Reaktionszeit, die Bedrohungsbewertung und die Anzahl der Warnungen einzuhalten. Weniger als 50 Prozent der Teams geben an, dass sie diese Metriken in den meisten Fällen erfüllen.

Auf der Grundlage der Umfrage fand Forrester Consulting zwei Hauptgründe für diese Diskrepanz:

  • Lücken bei den Ressourcen: IT-Entscheider sagen, dass es eine große Herausforderung ist, erfahrene Mitarbeiter für den Sicherheitsbetrieb und genügend Analysten zu finden und zu halten, um die Arbeitslast zu bewältigen.
  • Technologische Lücken: SecOps-Teams verwenden im Durchschnitt über zehn verschiedene Kategorien von Sicherheitstools, darunter Firewalls, E-Mail-Sicherheit, Endpunktsicherheit, Bedrohungsanalyse, Schwachstellenmanagement und mehr. Diese Tools sind jedoch in der Regel isoliert, und die Implementierung ist oft mangelhaft.

Die breite Palette von Tools, in die Unternehmen zur Bekämpfung von Sicherheitsbedrohungen investieren, schafft eine Reihe von Problemen, darunter:

  • Schwierigkeiten bei der Einstellung, Schulung und Bindung von Mitarbeitern, die die gesamte Palette der Sicherheitstechnologie beherrschen.
  • Zu viele Warnmeldungen mit niedriger Priorität, die den Blick auf die tatsächlichen Bedrohungen verstellen und den Sicherheitsanalysten wenig Zeit für die Bedrohungsjagd und Prozessverbesserungen lassen.
  • Isolierte Arbeitsabläufe, die die Sicherheitsprozesse komplexer und zeitaufwändiger machen.

Das moderne SOC erfordert Automatisierung und Sichtbarkeit

Laut den Ergebnissen der Studie nutzen nur 13 Prozent der befragten Unternehmen den Wert von Automatisierung und maschinellem Lernen zur Triage, Analyse und Reaktion auf Bedrohungen. Gleichzeitig finden versierte Cyberangreifer rasch neue Wege, um dieselben Instrumente zur Skalierung des Umfangs und der Auswirkungen ihrer Operationen einzusetzen.

Laut Forrester Consulting gibt es Möglichkeiten und Lösungen, die Unternehmen nutzen können, um die Kontrolle und Sichtbarkeit der gesamten Infrastruktur zu erhöhen. Beispielsweise kann eine erweiterte Erkennungs- und Reaktionslösung (Extended Detection and Response, XDR) helfen, was die Ermüdung von Analysten, die Ineffizienz von Tools und die allgemeinen Sicherheitsergebnisse betrifft:

  • Verbesserung der Sichtbarkeit durch einheitliche Technologie, die Telemetrie aus verschiedenen Quellen nahtlos integriert.
  • Nutzung von Sicherheitsanalysefähigkeiten wie maschinelles Lernen, um verborgene Angriffstechniken an die Oberfläche zu bringen.
  • Automatisierung der Ursachenanalyse.