Studie: SOC-Teams misstrauen ihren Tools zur Bedrohungserkennung
60 Prozent der SOC-Teams sagen, dass Sicherheitsanbieter sie mit sinnlosen Warnmeldungen überfluten, um für Sicherheitsverletzungen nicht zur Verantwortung gezogen werden zu können. Und 47 Prozent haben kein Zutrauen, dass ihre Tools so funktionieren, wie es für ihre Arbeit erforderlich wäre.
Vectra AI hat die Ergebnisse seines neuen Forschungsberichts 2024 State of Threat Detection: The Defenders‘ Dilemma vorgestellt. Wie der Bericht zeigt, befürchten die Mitarbeiter von Security Operations Centern (SOC, SOC-Teams sagen), dass sie beim Kampf um die Erkennung und Priorisierung realer Bedrohungen ins Hintertreffen geraten – wegen zu vieler isolierter Tools sowie fehlender präziser Angriffssignale. Die Befragten sprechen von wachsendem Misstrauen gegenüber den Anbietern und glauben, dass deren Tools für die Erkennung echter Angriffe eher hinderlich als hilfreich sein können. Dem entgegen stehen ein wachsendes Vertrauen in die Fähigkeiten ihrer Teams und der Optimismus, den die Potenziale der künstlichen Intelligenz (KI) wecken.
Während die hybride Angriffslandschaft weiter wächst, greifen Unternehmen zunehmend auf GenAI-gestützte Tools zurück, um Prozesse zu vereinfachen und ihre Arbeit zu optimieren. Dadurch tun sich allerdings auch neue Möglichkeiten für Angreifer auf, was zusätzliche Herausforderungen für die Sicherheitsteams schafft, die ohnehin schon mit unzähligen Sicherheitswarnungen und Fehlalarmen zu kämpfen haben. Die SOC-Teams haben zwar mehr Vertrauen auf ihre Abwehrfähigkeit als noch vor einem Jahr, doch zugleich haben viele das Gefühl, nicht über die richtigen Tools zu verfügen, um echte Bedrohungen effektiv erkennen und priorisieren zu können. Basierend auf einer Umfrage unter 2.000 Sicherheitsexperten, schlüsselt der neue Forschungsbericht von Vectra AI auf, woher diese Diskrepanz rührt. Er zeigt, inwiefern die aktuellen Lösungen zur Bedrohungserkennung unzureichend sind und wie KI den Prozess verbessern kann, indem sie ein präzises Angriffssignal bereitstellt und den Arbeitsaufwand verringert.
In den SOC-Teams herrscht Zuversicht – doch viele fürchten, dass veraltete Tools sie behindern
Die Sicherheitsexperten vertrauen zunehmend auf ihre Fähigkeiten, haben aber gleichzeitig das Gefühl, bei der Erkennung und Priorisierung echter Bedrohungen an Boden zu verlieren. Wie passt das zusammen? Viele SOC-Teams haben zu viele Tools im Einsatz und kämpfen mit einer überwältigenden Anzahl von Warnmeldungen. Dies weckt die Befürchtung, sie könnten kritische Bedrohungen übersehen. Deshalb verlieren die Teams das Vertrauen in ihre vorhandenen Tools zur Bedrohungserkennung und sehen sich nach anderen Optionen um, so etwa Lösungen für erweiterte Erkennung und Reaktion (XDR). Die Studie ergab:
- Fast drei Viertel (71 Prozent) der SOC-Mitarbeiter befürchten, dass sie in der Flut von Warnmeldungen einen echten Angriff übersehen könnten, und 51 Prozent glauben, dass sie mit der steigenden Zahl von Sicherheitsbedrohungen nicht Schritt halten können.
- Fast die Hälfte (47 Prozent) der SOC-Fachleute haben kein Zutrauen, dass ihre Tools so funktionieren, wie es für ihre Arbeit erforderlich wäre. Und 54 Prozent erklären, dass die Tools, die sie einsetzen, die Arbeitsbelastung im SOC erhöhen, statt sie zu verringern.
- 73 Prozent der SOC-Mitarbeiter haben mehr als 10 Tools im Einsatz und 45 Prozent mehr als 20 Tools.
- 62 Prozent der SOC-Teams sagen haben entweder vor kurzem Lösungen für erweiterte Erkennung und Reaktion (XDR) eingeführt oder sind dabei, solche Lösungen zu prüfen.
- Überholte Tools zur Erkennung von Bedrohungen verursachen den SOC-Fachleuten mehr Arbeit, was zu wachsendem Misstrauen gegenüber den Anbietern und Unzufriedenheit mit den Tools führt
Die SOC-Teams sind zunehmend enttäuscht von ihren derzeitigen Sicherheitstools, die mehr Probleme verursachen, als sie lösen. Viele Mitarbeiter müssen kritische Aufgaben aufschieben, um die enorme Anzahl eingehender Alarme bewältigen zu können. Das führt nicht nur zu Unzufriedenheit mit den Tools, sondern ebenso mit deren Anbietern. Auch die Präzision der Warnmeldungen lässt nach wie vor zu wünschen übrig, und viele Warnung werden wegen Zeitmangels und unzureichender Unterstützung durch die Tools gar nicht erst bearbeitet. Zwar gibt es Anzeichen für eine Verbesserung in Bereichen wie der Sichtbarkeit in hybriden Umgebungen, doch die erdrückende Menge von Warnmeldungen bleibt ein großes Problem. Die Studie zeigte:
- 60 Prozent der SOC-Fachleute sind der Ansicht, dass Anbieter Tools zur Bedrohungserkennung verkaufen, die ein Übermaß an Datenrauschen und Warnungen erzeugen. 71 Prozent meinen, dass die Anbieter mehr Verantwortung übernehmen sollten, wenn sie eine Sicherheitsverletzung nicht verhindern konnten.
- 81 Prozent der SOC-Mitarbeiter verbringen mehr als 2 Stunden pro Tag damit, Sicherheitsereignisse durchzugehen/zu priorisieren.
- 50 Prozent der SOC-Fachleute erklären, ihre Sicherheitstools seien für die Erkennung echter Angriffe eher hinderlich als hilfreich. Sie berichten, dass sie realistischerweise nur 38 Prozent der eingehenden Warnungen bearbeiten, wovon sie 16 Prozent als „echte Angriffe“ einstufen würden.
- 60 Prozent der SOC-Mitarbeiter sagen, dass viele ihrer Sicherheitstools eigentlich nur aus Compliance-Gründen angeschafft würden.
KI zur Bedrohungserkennung genießt immer mehr Akzeptanz, jetzt müssen Anbieter liefern
Unternehmen in Deutschland und der DACH-Region setzen zunehmend auf KI-gestützte Technologien, um die Erkennung von Bedrohungen zu verbessern und Prozesse effizienter zu gestalten. Diese Tools spielen eine entscheidende Rolle dabei, die wachsenden Herausforderungen der IT-Sicherheitslandschaft zu bewältigen.
Wachsendes Vertrauen in das Potenzial der KI veranlasst die SOC-Teams, verstärkt auf künstliche Intelligenz zu setzen, um Bedrohungen besser zu erkennen und zu entschärfen. Viele SOC-Fachleute sind in dieser Hinsicht optimistisch und glauben, dass KI ein effizienteres Angriffssignal liefern kann, was es ermöglichen wird, Bedrohungen präziser zu erkennen und zu bekämpfen, den Arbeitsaufwand zu verringern und Legacy-Tools zu ersetzen. Jedoch gibt es nach wie vor Bedenken, KI könnte ein bereits überlastetes System noch komplexer machen. Trotz bestehender Herausforderungen sind viele Sicherheitsfachleute entschlossen, verstärkt in KI-gestützte Lösungen zu investieren, um die Effizienz und Effektivität zu steigern. Damit sich KI jedoch wirklich auf breiter Front durchsetzen kann, müssen die Anbieter das verlorene Vertrauen zurückgewinnen, indem sie Tools bereitstellen, die echten Mehrwert bieten, ohne die SOC-Teams noch stärker zu belasten. Die Studie ergab:
- 85 Prozent der Befragten haben im vergangenen Jahr mehr in KI investiert und sie stärker genutzt. 67 Prozent sagen, KI habe sich positiv auf ihre Fähigkeit ausgewirkt, Bedrohungen zu erkennen und zu bewältigen.
- 75 Prozent der SOC-Fachleute berichten, dass KI in den letzten 12 Monaten ihre Arbeitsbelastung reduziert hat, und 73 Prozent sagen, KI habe in den letzten 12 Monaten das Gefühl von Ausgebranntsein verringert.
- 89 Prozent der SOC-Mitarbeiter haben vor, im kommenden Jahr mehr KI-gestützte Tools zu nutzen, um überholte Lösungen zur Erkennung und Bekämpfung von Bedrohungen zu ersetzen.
„Die wachsende Zuversicht bei den Sicherheitsfachleuten ist vielversprechend. Deutlich wird aber auch, dass sie mit ihren bestehenden Tools zur Bedrohungserkennung zunehmend unzufrieden sind, weil diese kein integriertes Angriffssignal liefern und ihnen deshalb oft noch mehr Arbeit machen, statt sie zu entlasten. Die Daten deuten darauf hin, dass die Tools zur Erkennung und Behandlung von Bedrohungen und deren Anbieter nicht halten, was sie versprechen“, so Mark Wojtasiak, Vice President of Research and Strategy, Vectra AI. „Die Teams glauben, dass KI ein Angriffssignal liefern kann, das ihnen helfen wird, Bedrohungen zu identifizieren und zu priorisieren, die Reaktionszeiten zu verkürzen und die Alarmmüdigkeit zu verringern. Doch das Vertrauen muss erst wieder aufgebaut werden. KI-gestützte Lösungen zeigen positive Wirkungen, aber um das Vertrauen wirklich zurückzugewinnen, werden die Anbieter demonstrieren müssen, wie sie über den reinen Verkauf von Technologien hinaus Mehrwert bieten.“
Christian Borst, EMEA CTO bei Vectra AI schließt mit einem besonders positiven Ausblick für den deutschsprachigen Markt: „Die Ergebnisse dieser globalen Studie spiegeln auch die Situation in der DACH-Region wider, wobei wir hier einen noch stärkeren Trend zur KI-Adoption in der Cybersicherheit beobachten. Dies ist eine Reaktion auf den Fachkräftemangel und die Notwendigkeit effizienterer Sicherheitsteams. Mit unserem Fokus auf Datenschutz und Ingenieurskunst sind DACH-Unternehmen hervorragend positioniert, um KI-Lösungen zu entwickeln und einzusetzen, die sowohl effektiv als auch vertrauenswürdig sind. Ich bin zuversichtlich, dass wir in den kommenden Jahren eine Führungsrolle in der KI-gestützten Cybersicherheit einnehmen werden.“