Studie

Palo Alto Networks veröffentlicht Studie zur Reaktion auf Cybersicherheitsvorfälle

, München, Pao Alto Networks | Autor: Herbert Wieler

Palo Alto Networks veröffentlicht Studie zur Reaktion auf Cybersicherheitsvorfälle

The State of SOAR Report 2020

Für die vierte in seiner jährlichen Reihe von Berichten über den aktuellen Status von SOAR (Security Orchestration, Automation, and Response) befragte Palo Alto Networks Hunderte von Security-Experten in verschiedenen Rollen in großen Unternehmen. Palo Alto Networks wollte deren Meinung über den Stand der Reaktion auf Vorfälle (Incident Response, IR) sowie nach ihren Erkenntnissen über ihren gegenwärtigen und zukünftigen Einsatz von SOAR als Teil ihrer Sicherheitsstrategien und -operationen erfahren.

Dieser vierte jährliche State of SOAR Report beleuchtet die sich rasch verändernde Natur der Cyber Security. Die Bedrohungen sind ernster, denn die SOCs sehen sich mit nationalstaatlichen Akteuren konfrontiert, die extrem raffinierte Angriffe durchführen. In diesem Umfeld finden Analysten trotz der Fortschritte in bestimmten SecOps-Bereichen den IR-Prozess insgesamt immer noch überfordernd. Es gibt zu viele Warnungen, mit denen sie umgehen müssen, und zu viele Bedrohungsdaten-Feeds, die es zu überwachen gilt. Manuelle Verfahren sind nach wie vor aufwändig, verlangsamen die Reaktionen und lenken die Benutzer von Warnmeldungen ab, die wirklich Aufmerksamkeit benötigen.

Einige Highlights aus dem Bericht:

Sicherheitsanalytiker sehen sich mit einer zunehmend ernsthaften Cyberbedrohungsumgebung konfrontiert. Die Angriffe sind vielfältig und umfangreich, wobei 63 Prozent der Unternehmen Angriffe abwehren, die von mutmaßlichen nationalstaatlichen Akteuren ausgehen.

Der IR-Prozess überfordert die Personalressourcen. Die Analysten müssen durchschnittlich 6,8 Bedrohungsintelligenz-Feeds verfolgen und eine übermäßige Anzahl von Warnmeldungen manuell bearbeiten. IR-Prozesse haben ihren Ursprung in einer Vielzahl von Systemen, und der sich daraus ergebende Arbeitsaufwand überfordert die Personalressourcen der Unternehmen.

COVID-19 hat die Dinge noch schlimmer gemacht. Die Pandemie verschärft die IR-Herausforderungen durch neue Bedrohungen und negative Auswirkungen auf die Zusammenarbeit zwischen den Mitgliedern des SOC-Teams. 40 Prozent der Umfrageteilnehmer sind der Meinung, dass die Pandemie zu einer stärkeren Einschränkung der Ressourcen führt.

Security-Analysten wissen, was sie brauchen, um in der IR-Disziplin besser zu werden. Sie wünschen sich:

  • Mehr Automatisierung, um die IR zu beschleunigen und den Stress manueller Tätigkeiten zu reduzieren. Fünfundsechzig Prozent der Befragten räumen der Automatisierung der IR in den nächsten zwölf Monaten eine hohe Priorität ein.
  • Integration von SOC-Tools in Drittsysteme, so dass sie problemlos mit anderen Abteilungen und IR-Prozessen verbunden werden können. 30 Prozent der Befragten geben an, dass sie sich eine gemeinsame Plattform für funktionsübergreifende Teamreaktionen wünschen.
  • Mehr Playbooks, auch von Drittanbietern, und eine Community zum Austausch, damit sie das bewährte Fachwissen anderer Teams nutzen können. 78 Prozent der Befragten wünschen sich einen gemeinsamen Rahmen und eine gemeinsame Gemeinschaft für die gemeinsame Nutzung von Playbooks und Integrationen.
  • In SecOps-Tools integrierte Bedrohungsanalyse. Es gilt die Herausforderung zu verringern, zu viele Bedrohungsinformationen zu überwachen, um ernsthaften Bedrohungen einen Schritt voraus zu sein. 52 Prozent der Befragten sagen, dass ihre Arbeitsabläufe bei Sicherheitsoperationen von einer stärkeren Integration von Bedrohungsinformationen profitieren würden.

SOC-Teams müssen die Alarmmüdigkeit verringern. Gefragt ist ein Tool, das entweder die Anzahl der Warnungen reduziert oder den Prozess des Warnungsmanagements beschleunigt. SOAR bietet eine Antwort auf viele dieser Herausforderungen. Die Technologie hilft SOC-Teams, Zeit zu sparen, die Triage zu beschleunigen und die Anzahl der für IR-Prozesse erforderlichen Schritte zu reduzieren.

  • 45 Prozent der SOC-Teams verwenden SOAR zur Erkennung und Reaktion. Weitere aktuelle Anwendungsfälle sind die Priorisierung von Schwachstellen (37 Prozent), Compliance-Prüfungen (30 Prozent) und Sicherheits-Audits (30 Prozent).
  • Zukünftige SOAR-Anwendungsfälle, die von SOC-Teams ins Auge gefasst werden, umfassen IoT-Management (23 Prozent der Befragten), Red-Team-Workflows (17 Prozent) und Cloud-Sicherheit (38 Prozent).
  • 43 Prozent der Befragten geben an, dass sie planen, die Ausgaben für SOAR-Tools im Jahr 2020 zu erhöhen. Weitere 24 Prozent planen, SOAR in den nächsten zwölf Monaten einzuführen.
  • Die COVID-19-Pandemie hat 47 Prozent der Befragten veranlasst, SOAR verstärkt einzusetzen.

Sicherheitsanalysten wissen, was zur Verbesserung der Situation erforderlich ist. Sie wünschen sich eine stärkere Automatisierung der IR-Prozesse und weniger zu bearbeitende Warnmeldungen. SOC-Tools müssen in Drittsysteme integriert werden. Ein breiteres Sortiment an Playbooks, insbesondere solche, die von Anbietern zertifiziert sind, wird dazu beitragen, das SOC effizienter zu gestalten. Auch die Bedrohungsintelligenz muss enger in die SecOps-Tools integriert werden.

SOAR bietet eine Lösung für viele dieser Herausforderungen. Entsprechende Plattformen ermöglichen es SOC-Teams, Zeit zu sparen, die Triage zu beschleunigen und die Anzahl der für IR-Prozesse erforderlichen Schritte zu reduzieren. Wie die Ergebnisse der Studie zeigen, wird die Nutzung von SOAR im kommenden Jahr voraussichtlich zunehmen, da die SOC-Teams neue, innovative Einsatzmöglichkeiten für die Technologie planen. Auch wenn COVID-19 das SOC stressiger gemacht hat, ist es ein günstiger Zeitpunkt, SOAR in Betracht zu ziehen, um die Effizienz und Produktivität des SOC zu verbessern.