Transformation World
19.10.17 - 20.10.17
In Heidelberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

KIZeit ist Geld, gerade im Kampf gegen Cyberangriffe. Laut dem Ponemon Institut liegen die durchschnittlichen Kosten für einen Datensicherheitsvorfall bei 3,62 Millionen US-Dollar.

Durch eine schnellere Erkennung und Isolierung eines Sicherheitsvorfalls lassen sich aber die Folgekosten erheblich verringern – oder sogar komplett vermeiden.

Die Wirksamkeit und die Zuverlässigkeit sind zwei der wichtigsten Kriterien für die Performance eines SOC (Security Operations Center). Die Zuverlässigkeit spiegelt das Entwicklungsniveau hinsichtlich des Ansatzes zur Bewältigung des Cybersicherheitsrisikos wider, einschließlich des Risiko- und Bedrohungsbewusstseins, der Wiederholbarkeit und der Anpassungsfähigkeit. Die Effektivität steht für die Fähigkeit des SOC, einen realen Vorfall zu erkennen und darauf zu reagieren.

Umfrage auf der Black Hat 2017

Um die Reaktionszeiten und Fähigkeiten von SOCs besser zu verstehen, hat Vectra fast 500 Experten auf der diesjährigen Black Hat befragt. Dazu gehören CISOs, Sicherheitsarchitekten, Sicherheitsforscher sowie Verantwortlichen für den Netzwerk- und Rechenzentrumsbetrieb. Ermittelt wurde dabei unter anderem, wie lange es dauert, bis das SOC eine Bedrohung oder einen Vorfall erkennt, nachverfolgt, ins Reporting aufnimmt und isoliert.

Die wichtigsten Erkenntnisse

Zeit ist der wichtigste Faktor bei der Erkennung von Netzwerkübergriffen. Um wertvolle Daten vor Diebstahl oder Beschädigung zu schützen, müssen Cyberangreifer in Echtzeit erkannt werden. Um die schnellsten und effizientesten Prozesse zu realisieren, ist es sinnvoll, Mensch und Maschine zu kombinieren um die jeweiligen Fähigkeiten optimal zu nutzen.

Analysen von Sicherheitsvorfällen erfordern eine breite und zugleich spezialisierte Palette von Fähigkeiten, einschließlich Malware-Analyse, forensische Paket- und Log-Analyse sowie die Korrelation von großen Mengen an Daten aus einer Vielzahl von Quellen.

Dies kann Stunden dauern, und eine vollständige Analyse einer fortgeschrittenen Bedrohung kann Tage, Wochen oder sogar Monate in Anspruch nehmen. Selbst für große SOC-Teams mit mehr als zehn qualifizierten Analysten ist es schwierig, Sicherheitsvorfälle innerhalb von Minuten oder Stunden zu erkennen, zu bestätigen, zu beheben und zu überprüfen. Allerdings sind Teams, die künstliche Intelligenz (KI) nutzen, um die Fähigkeiten der Analysten zu erweitern und mehr Ebenen der Automatisierung zu erreichen, effektiver als SOC-Teams mit sogar mehr als zehn Mitgliedern, die nicht mit KI arbeiten.

Wer nutzt bereits KI im Security Operations Center?

33 Prozent der SOC-Teams nutzen bereits KI in irgendeiner Form für die Reaktion auf Vorfälle. Davon wiederum nutzen jene mit den größten Incident-Response-Teams (> 10 Mitglieder) am häufigsten KI, nämlich 44 Prozent.

Es mag logisch klingen, dass große Teams besser in der Lage sind, SOC-Workloads ohne KI zu bedienen, aber die Automatisierung mühsamer Aufgaben mittels KI ermöglicht es jedem, sich auf anspruchsvollere Aufgaben zu konzentrieren. In der Cybersicherheit ist dies besonders wichtig, weil alle Aufgaben herausfordernd sind, so dass die Reduktion von langwierigen Arbeiten es dem Einzelnen ermöglicht, in seinem jeweiligen Aufgabenbereich besser zu sein.

Wer nutzt bereits KI im Security Operations Center?

Zeit für die Erkennung

Der erste Schritt ist es, das Vorhandensein einer Bedrohung überhaupt zu erkennen. 37 Prozent der SOC-Teams mit mehr als zehn Personen, die KI nicht nutzen, erkennen eine Bedrohung nach eignen Angaben innerhalb von Minuten. Allerdings können 34 Prozent der SOC-Teams jeder Größe eine Bedrohung in wenigen Minuten erkennen. Dies zeigt, dass die Teamgröße alleine nicht ausschlaggebend für die Zeit bis zur Erkennung ist. Entscheidend ist es hingegen, Mensch und KI zu kombinieren. 50 Prozent der SOC-Teams mit mehr als 10 Personen, die KI einsetzen, sind in der Lage, eine Bedrohung in wenigen Minuten zu erkennen. Dies entspricht im Schnitt einer 35-prozentigen Zeitverkürzung gegenüber Teams ähnlicher Größen, die nicht mit KI arbeiten.

Zeit für die Erkennung

Zeit für die Bestätigung

Sobald eine Bedrohung gemeldet wird, benötigt ein Analytiker genügend Informationen, um zu bestätigen, dass die Bedrohung real ist und ob ein hohes Risiko oder eine kritische Bedrohung besteht, die sofortige Aufmerksamkeit erfordert. 44 Prozent der Teams mit mehr als zehn Analysten, unterstützt von KI, können innerhalb von Minuten bestätigen, ob eine Bedrohung ein kritisches oder hohes Risiko darstellt. Bei ähnlich großen Teams, die keine KI nutzen, sind dies nur 14 Prozent. 29 Prozent aller Teams mit KI-Unterstützung können ebenfalls innerhalb von Minuten erklären, ob eine Bedrohung ein kritisches oder hohes Risiko darstellt.

Zeit für die Bestätigung

Zeit für die Behebung

Die Aufarbeitung von Vorfällen erfordert oft hohen manuellen Aufwand, da die passende Reaktion von der Art der Bedrohung abhängig ist. Dennoch ist auch hier ein Nutzen von KI sinnvoll, wenn es darum geht, zu definieren, wie die Reaktion aussehen sollte. 23 Prozent der großen Teams, die KI verwenden, konnten Vorfälle innerhalb von Minuten beheben, im Gegensatz zu 7 Prozent der ähnlich großen Teams, die keine KI nutzen. Ebenso wird wieder deutlich, dass alle Teams, die KI einsetzen, besser abschneiden als große Teams ohne KI, angesichts von nur 13 Prozent, die einen Vorfall innerhalb von Minuten beheben.

Zeit für die Behebung

Zeit für die Überprüfung

Auch nach dem Beheben und Isolierung einer Bedrohung müssen Sicherheitsanalysten überprüfen, ob die Bedrohung tatsächlich beseitigt wurde und daraus Schlüsse ziehen, wie sie ihre Bereitschaft für den nächsten Vorfall erhöhen können. Ohne ordnungsgemäße Überprüfung riskiert ein Unternehmen eine erneute Infizierung. Diese Art von Arbeit kann Stunden oder Tage dauern. KI trägt dazu bei, die Zeit zur Verifizierung für SOC-Teams aller Größen zu reduzieren, wobei große Teams am meisten profitieren.

Erfolgsversprechende Kombination: Mensch & Maschine

Die Untersuchung von Vectra belegt: Es gibt einen messbaren Trend bei Unternehmen, die KI implementiert haben, um mühsame Aufklärungsaufgaben zu automatisieren und die Fähigkeiten der SOC-Mitarbeiter zu erweitern. Diese können sich dadurch auf ihre „handwerkliche“ Kompetenz und auf die finale Entscheidungsfindung konzentrieren. Künstliche Intelligenz versetzt SOC-Teams in die Lage, Herausforderungen bei der Erkennung, Erfassung und Überprüfung von Cyberangriffen in Echtzeit zu meistern.

„Wenn Mensch und Maschine, also KI und Sicherheitsexperten, zusammenarbeiten, dann sinken der Zeitaufwand und damit auch die Kosten für Cybersicherheit“, fasst Gérard Bauer, VP EMEA bei Vectra zusammen. „Zusätzlich gelingt es, die Qualität der IT-Sicherheit spürbar zu erhöhen und die vorhandenen menschlichen Ressourcen effizienter einzusetzen.“

Weitere Informationen:

Ein Video zur Studie finden Sie hier.

vectra.ai/dach
 

GRID LIST
Tb W190 H80 Crop Int 9168b2ba3e6259e0f1fd673ee066a7c3

Produkt-Performance ist wichtiger als IT-Sicherheit

Im Zweifelsfall ist mehr als zwei Dritteln der deutschen Unternehmen Produkt-Performance…
Tb W190 H80 Crop Int B01d5408433c87e01a881e190b070011

Jeder vierte Internetnutzer besucht keine Bankfiliale mehr

Geld wird zunehmend digital verwaltet und angelegt: Rund jeder vierte Internetnutzer (24…
Tb W190 H80 Crop Int 7b240a672f346adba7106f43f59804b0

IT-Sicherheit bei deutschen Mittelständlern | IT-Security Barometer

Neun von zehn Mittelständler in Deutschland finden es wichtig oder sehr wichtig, dass…
Advanced Analytics

SAS „dominiert“ bei Advanced-Analytics-Plattformen

Die aktuelle BARC-Studie bescheinigt Softwareherstellern besondere Stärken bei…
Superheldin

Bürokräfte wünschen sich Chief Happiness Officer

Nur knapp die Hälfte der deutschen Arbeitnehmer (49 %) ist der Ansicht, an ihrem…
Fashion Online Shop

4 Erfolgsfaktoren für Onlineshop-Betreiber im Fashionbereich

Europaweit liegt der deutsche Online Fashionmarkt beim Umsatzwachstum seit Jahren an der…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet