VERANSTALTUNGEN

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

EASY World 2018
20.09.18 - 20.09.18
In Mülheim an der Ruhr

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

KIZeit ist Geld, gerade im Kampf gegen Cyberangriffe. Laut dem Ponemon Institut liegen die durchschnittlichen Kosten für einen Datensicherheitsvorfall bei 3,62 Millionen US-Dollar.

Durch eine schnellere Erkennung und Isolierung eines Sicherheitsvorfalls lassen sich aber die Folgekosten erheblich verringern – oder sogar komplett vermeiden.

Die Wirksamkeit und die Zuverlässigkeit sind zwei der wichtigsten Kriterien für die Performance eines SOC (Security Operations Center). Die Zuverlässigkeit spiegelt das Entwicklungsniveau hinsichtlich des Ansatzes zur Bewältigung des Cybersicherheitsrisikos wider, einschließlich des Risiko- und Bedrohungsbewusstseins, der Wiederholbarkeit und der Anpassungsfähigkeit. Die Effektivität steht für die Fähigkeit des SOC, einen realen Vorfall zu erkennen und darauf zu reagieren.

Umfrage auf der Black Hat 2017

Um die Reaktionszeiten und Fähigkeiten von SOCs besser zu verstehen, hat Vectra fast 500 Experten auf der diesjährigen Black Hat befragt. Dazu gehören CISOs, Sicherheitsarchitekten, Sicherheitsforscher sowie Verantwortlichen für den Netzwerk- und Rechenzentrumsbetrieb. Ermittelt wurde dabei unter anderem, wie lange es dauert, bis das SOC eine Bedrohung oder einen Vorfall erkennt, nachverfolgt, ins Reporting aufnimmt und isoliert.

Die wichtigsten Erkenntnisse

Zeit ist der wichtigste Faktor bei der Erkennung von Netzwerkübergriffen. Um wertvolle Daten vor Diebstahl oder Beschädigung zu schützen, müssen Cyberangreifer in Echtzeit erkannt werden. Um die schnellsten und effizientesten Prozesse zu realisieren, ist es sinnvoll, Mensch und Maschine zu kombinieren um die jeweiligen Fähigkeiten optimal zu nutzen.

Analysen von Sicherheitsvorfällen erfordern eine breite und zugleich spezialisierte Palette von Fähigkeiten, einschließlich Malware-Analyse, forensische Paket- und Log-Analyse sowie die Korrelation von großen Mengen an Daten aus einer Vielzahl von Quellen.

Dies kann Stunden dauern, und eine vollständige Analyse einer fortgeschrittenen Bedrohung kann Tage, Wochen oder sogar Monate in Anspruch nehmen. Selbst für große SOC-Teams mit mehr als zehn qualifizierten Analysten ist es schwierig, Sicherheitsvorfälle innerhalb von Minuten oder Stunden zu erkennen, zu bestätigen, zu beheben und zu überprüfen. Allerdings sind Teams, die künstliche Intelligenz (KI) nutzen, um die Fähigkeiten der Analysten zu erweitern und mehr Ebenen der Automatisierung zu erreichen, effektiver als SOC-Teams mit sogar mehr als zehn Mitgliedern, die nicht mit KI arbeiten.

Wer nutzt bereits KI im Security Operations Center?

33 Prozent der SOC-Teams nutzen bereits KI in irgendeiner Form für die Reaktion auf Vorfälle. Davon wiederum nutzen jene mit den größten Incident-Response-Teams (> 10 Mitglieder) am häufigsten KI, nämlich 44 Prozent.

Es mag logisch klingen, dass große Teams besser in der Lage sind, SOC-Workloads ohne KI zu bedienen, aber die Automatisierung mühsamer Aufgaben mittels KI ermöglicht es jedem, sich auf anspruchsvollere Aufgaben zu konzentrieren. In der Cybersicherheit ist dies besonders wichtig, weil alle Aufgaben herausfordernd sind, so dass die Reduktion von langwierigen Arbeiten es dem Einzelnen ermöglicht, in seinem jeweiligen Aufgabenbereich besser zu sein.

Wer nutzt bereits KI im Security Operations Center?

Zeit für die Erkennung

Der erste Schritt ist es, das Vorhandensein einer Bedrohung überhaupt zu erkennen. 37 Prozent der SOC-Teams mit mehr als zehn Personen, die KI nicht nutzen, erkennen eine Bedrohung nach eignen Angaben innerhalb von Minuten. Allerdings können 34 Prozent der SOC-Teams jeder Größe eine Bedrohung in wenigen Minuten erkennen. Dies zeigt, dass die Teamgröße alleine nicht ausschlaggebend für die Zeit bis zur Erkennung ist. Entscheidend ist es hingegen, Mensch und KI zu kombinieren. 50 Prozent der SOC-Teams mit mehr als 10 Personen, die KI einsetzen, sind in der Lage, eine Bedrohung in wenigen Minuten zu erkennen. Dies entspricht im Schnitt einer 35-prozentigen Zeitverkürzung gegenüber Teams ähnlicher Größen, die nicht mit KI arbeiten.

Zeit für die Erkennung

Zeit für die Bestätigung

Sobald eine Bedrohung gemeldet wird, benötigt ein Analytiker genügend Informationen, um zu bestätigen, dass die Bedrohung real ist und ob ein hohes Risiko oder eine kritische Bedrohung besteht, die sofortige Aufmerksamkeit erfordert. 44 Prozent der Teams mit mehr als zehn Analysten, unterstützt von KI, können innerhalb von Minuten bestätigen, ob eine Bedrohung ein kritisches oder hohes Risiko darstellt. Bei ähnlich großen Teams, die keine KI nutzen, sind dies nur 14 Prozent. 29 Prozent aller Teams mit KI-Unterstützung können ebenfalls innerhalb von Minuten erklären, ob eine Bedrohung ein kritisches oder hohes Risiko darstellt.

Zeit für die Bestätigung

Zeit für die Behebung

Die Aufarbeitung von Vorfällen erfordert oft hohen manuellen Aufwand, da die passende Reaktion von der Art der Bedrohung abhängig ist. Dennoch ist auch hier ein Nutzen von KI sinnvoll, wenn es darum geht, zu definieren, wie die Reaktion aussehen sollte. 23 Prozent der großen Teams, die KI verwenden, konnten Vorfälle innerhalb von Minuten beheben, im Gegensatz zu 7 Prozent der ähnlich großen Teams, die keine KI nutzen. Ebenso wird wieder deutlich, dass alle Teams, die KI einsetzen, besser abschneiden als große Teams ohne KI, angesichts von nur 13 Prozent, die einen Vorfall innerhalb von Minuten beheben.

Zeit für die Behebung

Zeit für die Überprüfung

Auch nach dem Beheben und Isolierung einer Bedrohung müssen Sicherheitsanalysten überprüfen, ob die Bedrohung tatsächlich beseitigt wurde und daraus Schlüsse ziehen, wie sie ihre Bereitschaft für den nächsten Vorfall erhöhen können. Ohne ordnungsgemäße Überprüfung riskiert ein Unternehmen eine erneute Infizierung. Diese Art von Arbeit kann Stunden oder Tage dauern. KI trägt dazu bei, die Zeit zur Verifizierung für SOC-Teams aller Größen zu reduzieren, wobei große Teams am meisten profitieren.

Erfolgsversprechende Kombination: Mensch & Maschine

Die Untersuchung von Vectra belegt: Es gibt einen messbaren Trend bei Unternehmen, die KI implementiert haben, um mühsame Aufklärungsaufgaben zu automatisieren und die Fähigkeiten der SOC-Mitarbeiter zu erweitern. Diese können sich dadurch auf ihre „handwerkliche“ Kompetenz und auf die finale Entscheidungsfindung konzentrieren. Künstliche Intelligenz versetzt SOC-Teams in die Lage, Herausforderungen bei der Erkennung, Erfassung und Überprüfung von Cyberangriffen in Echtzeit zu meistern.

„Wenn Mensch und Maschine, also KI und Sicherheitsexperten, zusammenarbeiten, dann sinken der Zeitaufwand und damit auch die Kosten für Cybersicherheit“, fasst Gérard Bauer, VP EMEA bei Vectra zusammen. „Zusätzlich gelingt es, die Qualität der IT-Sicherheit spürbar zu erhöhen und die vorhandenen menschlichen Ressourcen effizienter einzusetzen.“

Weitere Informationen:

Ein Video zur Studie finden Sie hier.

vectra.ai/dach
 

GRID LIST
Archiv

Jedes vierte Unternehmen hat noch keine einzige Akte digitalisiert

Weniger aufwändiges Suchen in Hängeregistern, weniger Doppelablagen, weniger…
Tb W190 H80 Crop Int Bbe1757ea0aadbf20dd421615c7de4f3

Datenschutzverletzungen durch Mitarbeiter: Aus Fehlern lernen

Laut einer aktuellen Studie von Kaspersky Lab und B2B International hatten 42 Prozent…
Tb W190 H80 Crop Int 46a1e6039c4b963fe1603383a1adfc0b

Smart-Home-Geräte als neues Ziel von Cryptojacking-Attacken

Fortinet gibt die Ergebnisse seines aktuellen Global Threat Landscape Reports bekannt.…
Digital Concept

Unternehmen setzen verstärkt auf Digitalisierungs-Teams

Unternehmen schaffen verstärkt eigene Abteilungen oder Teams, die sich ausschließlich mit…
DSGVO

Die meisten Unternehmen halten die DSGVO offenbar nicht ein

Etwa 70 Prozent von 103 befragten global agierenden Unternehmen gelingt es offenbar…
Cloud Security

Nachholbedarf in Sachen Cloud Security

Obwohl die Nutzung von Cloudanwendungen - insbesondere Office 365 und AWS - weiter…
Smarte News aus der IT-Welt