USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

KIZeit ist Geld, gerade im Kampf gegen Cyberangriffe. Laut dem Ponemon Institut liegen die durchschnittlichen Kosten für einen Datensicherheitsvorfall bei 3,62 Millionen US-Dollar.

Durch eine schnellere Erkennung und Isolierung eines Sicherheitsvorfalls lassen sich aber die Folgekosten erheblich verringern – oder sogar komplett vermeiden.

Die Wirksamkeit und die Zuverlässigkeit sind zwei der wichtigsten Kriterien für die Performance eines SOC (Security Operations Center). Die Zuverlässigkeit spiegelt das Entwicklungsniveau hinsichtlich des Ansatzes zur Bewältigung des Cybersicherheitsrisikos wider, einschließlich des Risiko- und Bedrohungsbewusstseins, der Wiederholbarkeit und der Anpassungsfähigkeit. Die Effektivität steht für die Fähigkeit des SOC, einen realen Vorfall zu erkennen und darauf zu reagieren.

Umfrage auf der Black Hat 2017

Um die Reaktionszeiten und Fähigkeiten von SOCs besser zu verstehen, hat Vectra fast 500 Experten auf der diesjährigen Black Hat befragt. Dazu gehören CISOs, Sicherheitsarchitekten, Sicherheitsforscher sowie Verantwortlichen für den Netzwerk- und Rechenzentrumsbetrieb. Ermittelt wurde dabei unter anderem, wie lange es dauert, bis das SOC eine Bedrohung oder einen Vorfall erkennt, nachverfolgt, ins Reporting aufnimmt und isoliert.

Die wichtigsten Erkenntnisse

Zeit ist der wichtigste Faktor bei der Erkennung von Netzwerkübergriffen. Um wertvolle Daten vor Diebstahl oder Beschädigung zu schützen, müssen Cyberangreifer in Echtzeit erkannt werden. Um die schnellsten und effizientesten Prozesse zu realisieren, ist es sinnvoll, Mensch und Maschine zu kombinieren um die jeweiligen Fähigkeiten optimal zu nutzen.

Analysen von Sicherheitsvorfällen erfordern eine breite und zugleich spezialisierte Palette von Fähigkeiten, einschließlich Malware-Analyse, forensische Paket- und Log-Analyse sowie die Korrelation von großen Mengen an Daten aus einer Vielzahl von Quellen.

Dies kann Stunden dauern, und eine vollständige Analyse einer fortgeschrittenen Bedrohung kann Tage, Wochen oder sogar Monate in Anspruch nehmen. Selbst für große SOC-Teams mit mehr als zehn qualifizierten Analysten ist es schwierig, Sicherheitsvorfälle innerhalb von Minuten oder Stunden zu erkennen, zu bestätigen, zu beheben und zu überprüfen. Allerdings sind Teams, die künstliche Intelligenz (KI) nutzen, um die Fähigkeiten der Analysten zu erweitern und mehr Ebenen der Automatisierung zu erreichen, effektiver als SOC-Teams mit sogar mehr als zehn Mitgliedern, die nicht mit KI arbeiten.

Wer nutzt bereits KI im Security Operations Center?

33 Prozent der SOC-Teams nutzen bereits KI in irgendeiner Form für die Reaktion auf Vorfälle. Davon wiederum nutzen jene mit den größten Incident-Response-Teams (> 10 Mitglieder) am häufigsten KI, nämlich 44 Prozent.

Es mag logisch klingen, dass große Teams besser in der Lage sind, SOC-Workloads ohne KI zu bedienen, aber die Automatisierung mühsamer Aufgaben mittels KI ermöglicht es jedem, sich auf anspruchsvollere Aufgaben zu konzentrieren. In der Cybersicherheit ist dies besonders wichtig, weil alle Aufgaben herausfordernd sind, so dass die Reduktion von langwierigen Arbeiten es dem Einzelnen ermöglicht, in seinem jeweiligen Aufgabenbereich besser zu sein.

Wer nutzt bereits KI im Security Operations Center?

Zeit für die Erkennung

Der erste Schritt ist es, das Vorhandensein einer Bedrohung überhaupt zu erkennen. 37 Prozent der SOC-Teams mit mehr als zehn Personen, die KI nicht nutzen, erkennen eine Bedrohung nach eignen Angaben innerhalb von Minuten. Allerdings können 34 Prozent der SOC-Teams jeder Größe eine Bedrohung in wenigen Minuten erkennen. Dies zeigt, dass die Teamgröße alleine nicht ausschlaggebend für die Zeit bis zur Erkennung ist. Entscheidend ist es hingegen, Mensch und KI zu kombinieren. 50 Prozent der SOC-Teams mit mehr als 10 Personen, die KI einsetzen, sind in der Lage, eine Bedrohung in wenigen Minuten zu erkennen. Dies entspricht im Schnitt einer 35-prozentigen Zeitverkürzung gegenüber Teams ähnlicher Größen, die nicht mit KI arbeiten.

Zeit für die Erkennung

Zeit für die Bestätigung

Sobald eine Bedrohung gemeldet wird, benötigt ein Analytiker genügend Informationen, um zu bestätigen, dass die Bedrohung real ist und ob ein hohes Risiko oder eine kritische Bedrohung besteht, die sofortige Aufmerksamkeit erfordert. 44 Prozent der Teams mit mehr als zehn Analysten, unterstützt von KI, können innerhalb von Minuten bestätigen, ob eine Bedrohung ein kritisches oder hohes Risiko darstellt. Bei ähnlich großen Teams, die keine KI nutzen, sind dies nur 14 Prozent. 29 Prozent aller Teams mit KI-Unterstützung können ebenfalls innerhalb von Minuten erklären, ob eine Bedrohung ein kritisches oder hohes Risiko darstellt.

Zeit für die Bestätigung

Zeit für die Behebung

Die Aufarbeitung von Vorfällen erfordert oft hohen manuellen Aufwand, da die passende Reaktion von der Art der Bedrohung abhängig ist. Dennoch ist auch hier ein Nutzen von KI sinnvoll, wenn es darum geht, zu definieren, wie die Reaktion aussehen sollte. 23 Prozent der großen Teams, die KI verwenden, konnten Vorfälle innerhalb von Minuten beheben, im Gegensatz zu 7 Prozent der ähnlich großen Teams, die keine KI nutzen. Ebenso wird wieder deutlich, dass alle Teams, die KI einsetzen, besser abschneiden als große Teams ohne KI, angesichts von nur 13 Prozent, die einen Vorfall innerhalb von Minuten beheben.

Zeit für die Behebung

Zeit für die Überprüfung

Auch nach dem Beheben und Isolierung einer Bedrohung müssen Sicherheitsanalysten überprüfen, ob die Bedrohung tatsächlich beseitigt wurde und daraus Schlüsse ziehen, wie sie ihre Bereitschaft für den nächsten Vorfall erhöhen können. Ohne ordnungsgemäße Überprüfung riskiert ein Unternehmen eine erneute Infizierung. Diese Art von Arbeit kann Stunden oder Tage dauern. KI trägt dazu bei, die Zeit zur Verifizierung für SOC-Teams aller Größen zu reduzieren, wobei große Teams am meisten profitieren.

Erfolgsversprechende Kombination: Mensch & Maschine

Die Untersuchung von Vectra belegt: Es gibt einen messbaren Trend bei Unternehmen, die KI implementiert haben, um mühsame Aufklärungsaufgaben zu automatisieren und die Fähigkeiten der SOC-Mitarbeiter zu erweitern. Diese können sich dadurch auf ihre „handwerkliche“ Kompetenz und auf die finale Entscheidungsfindung konzentrieren. Künstliche Intelligenz versetzt SOC-Teams in die Lage, Herausforderungen bei der Erkennung, Erfassung und Überprüfung von Cyberangriffen in Echtzeit zu meistern.

„Wenn Mensch und Maschine, also KI und Sicherheitsexperten, zusammenarbeiten, dann sinken der Zeitaufwand und damit auch die Kosten für Cybersicherheit“, fasst Gérard Bauer, VP EMEA bei Vectra zusammen. „Zusätzlich gelingt es, die Qualität der IT-Sicherheit spürbar zu erhöhen und die vorhandenen menschlichen Ressourcen effizienter einzusetzen.“

Weitere Informationen:

Ein Video zur Studie finden Sie hier.

vectra.ai/dach
 

GRID LIST
Tb W190 H80 Crop Int 389a09c7656acc1c7d7e5e7e63199d3e

Keine Automatisierungs-Strategie in deutschen Büros

Wunsch und Wirklichkeit klaffen beim Thema Automatisierung in Unternehmen weit…
Tb W190 H80 Crop Int 3cdf0b608358ed23f127e2b56d94ed50

Google und Amazon werden nicht als Wettbewerber erkannt

Die digitale Transformation zählt aktuell in fast zwei Drittel (62 Prozent) der deutschen…
Tb W190 H80 Crop Int 83e42abf2c83bc3b81052b099644a410

Großunternehmen erwarten mehr Jobs durch die Digitalisierung

Führt die Digitalisierung in Deutschlands Großunternehmen zu einem Verschwinden oder…
Tb W190 H80 Crop Int 9d587fe1bc77601d0710fd138365b11b

Botnetze zählen zu den hartnäckigsten Cyberbedrohungen

2017 haben die CenturyLink Threat Research Labs im Durchschnitt 195.000 auf…
Tb W190 H80 Crop Int 1c47f891c0e4f49c0ac30709509936c2

Industrie 4.0: Jede vierte Maschine ist smart

Sie generieren Daten, kommunizieren untereinander und geben dank Sensoren wichtige…
Tb W190 H80 Crop Int C1f80d9d9fa627857ca15db759d2550c

Cyber Threat Intelligence Umfrage 2018

Das SANS Institute, stellt die Ergebnisse seiner jährlichen SANS Cyber Threat…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security