Neue Studie: "State of Threat Detection: The Defenders‘ Dilemma"

Vectra AI hat die Ergebnisse seines neuen Forschungsberichts 2024 "State of Threat Detection: The Defenders‘ Dilemma" vorgestellt. Wie der Bericht zeigt, befürchten die Mitarbeiter von Security Operations Centern (SOC), dass sie beim Kampf um die Erkennung und Priorisierung realer Bedrohungen ins Hintertreffen geraten – wegen zu vieler isolierter Tools sowie fehlender präziser Angriffssignale.

Die Befragten sprechen von wachsendem Misstrauen gegenüber den Anbietern und glauben, dass deren Tools für die Erkennung echter Angriffe eher hinderlich als hilfreich sein können. Dem entgegen stehen ein wachsendes Vertrauen in die Fähigkeiten ihrer Teams und der Optimismus, den die Potenziale der künstlichen Intelligenz (KI) wecken.

Während die hybride Angriffslandschaft weiter wächst, greifen Unternehmen zunehmend auf GenAI-gestützte Tools zurück, um Prozesse zu vereinfachen und ihre Arbeit zu optimieren. Dadurch tun sich allerdings auch neue Möglichkeiten für Angreifer auf, was zusätzliche Herausforderungen für die Sicherheitsteams schafft, die ohnehin schon mit unzähligen Sicherheitswarnungen und Fehlalarmen zu kämpfen haben.

Die SOC-Teams haben zwar mehr Vertrauen auf ihre Abwehrfähigkeit als noch vor einem Jahr, doch zugleich haben viele das Gefühl, nicht über die richtigen Tools zu verfügen, um echte Bedrohungen effektiv erkennen und priorisieren zu können. Basierend auf einer Umfrage unter 2.000 Sicherheitsexperten, schlüsselt der neue Forschungsbericht von Vectra AI auf, woher diese Diskrepanz rührt.

Er zeigt, inwiefern die aktuellen Lösungen zur Bedrohungserkennung unzureichend sind und wie KI den Prozess verbessern kann, indem sie ein präzises Angriffssignal bereitstellt und den Arbeitsaufwand verringert.

In den SOCs herrscht mehr Zuversicht – doch viele fürchten, dass veraltete Tools sie behindern
Die Sicherheitsexperten vertrauen zunehmend auf ihre Fähigkeiten, haben aber gleichzeitig das Gefühl, bei der Erkennung und Priorisierung echter Bedrohungen an Boden zu verlieren. Wie passt das zusammen? Viele SOC-Teams haben zu viele Tools im Einsatz und kämpfen mit einer überwältigenden Anzahl von Warnmeldungen.

Dies weckt die Befürchtung, sie könnten kritische Bedrohungen übersehen. Deshalb verlieren die Teams das Vertrauen in ihre vorhandenen Tools zur Bedrohungserkennung und sehen sich nach anderen Optionen um, so etwa Lösungen für erweiterte Erkennung und Reaktion (XDR). Die Studie ergab:

• Fast drei Viertel (71 %) der SOC-Mitarbeiter befürchten, dass sie in der Flut von Warnmeldungen einen echten Angriff übersehen könnten, und 51 % glauben, dass sie mit der steigenden Zahl von Sicherheitsbedrohungen nicht Schritt halten können.
  
  
• Fast die Hälfte (47 %) der SOC-Fachleute haben kein Zutrauen, dass ihre Tools so funktionieren, wie es für ihre Arbeit erforderlich wäre. Und 54 % erklären, dass die Tools, die sie einsetzen, die Arbeitsbelastung im SOC erhöhen, statt sie zu verringern.
  
  
• 73 % der SOC-Mitarbeiter haben mehr als 10 Tools im Einsatz und 45 % mehr als 20 Tools.
  
  
• 62 % der Teams haben entweder vor kurzem Lösungen für erweiterte Erkennung und Reaktion (XDR) eingeführt oder sind dabei, solche Lösungen zu prüfen.
  
  

Überholte Tools zur Erkennung von Bedrohungen verursachen mehr Arbeit und führt zu wachsendem Misstrauen gegenüber den Anbietern
Die SOC-Teams sind zunehmend enttäuscht von ihren derzeitigen Sicherheitstools, die mehr Probleme verursachen, als sie lösen. Viele Mitarbeiter müssen kritische Aufgaben aufschieben, um die enorme Anzahl eingehender Alarme bewältigen zu können. Das führt nicht nur zu Unzufriedenheit mit den Tools, sondern ebenso mit deren Anbietern.

Auch die Präzision der Warnmeldungen lässt nach wie vor zu wünschen übrig, und viele Warnung werden wegen Zeitmangels und unzureichender Unterstützung durch die Tools gar nicht erst bearbeitet. Zwar gibt es Anzeichen für eine Verbesserung in Bereichen wie der Sichtbarkeit in hybriden Umgebungen, doch die erdrückende Menge von Warnmeldungen bleibt ein großes Problem. Die Studie zeigte:

• 60 % der SOC-Fachleute sind der Ansicht, dass Anbieter Tools zur Bedrohungserkennung verkaufen, die ein Übermaß an Datenrauschen und Warnungen erzeugen. 71 % meinen, dass die Anbieter mehr Verantwortung übernehmen sollten, wenn sie eine Sicherheitsverletzung nicht verhindern konnten.
  
  
• 81 % der SOC-Mitarbeiter verbringen mehr als 2 Stunden pro Tag damit, Sicherheitsereignisse durchzugehen/zu priorisieren.
  
  
• 50 % der SOC-Fachleute erklären, ihre Sicherheitstools seien für die Erkennung echter Angriffe eher hinderlich als hilfreich. Sie berichten, dass sie realistischerweise nur 38 % der eingehenden Warnungen bearbeiten, wovon sie 16 % als „echte Angriffe“ einstufen würden.
  
  
• 60 % der SOC-Mitarbeiter sagen, dass viele ihrer Sicherheitstools eigentlich nur aus Compliance-Gründen angeschafft würden.
  
  

KI zur Bedrohungserkennung genießt immer mehr Vertrauen und Akzeptanz, doch jetzt müssen die Anbieter liefern
Unternehmen in Deutschland und der DACH-Region setzen zunehmend auf KI-gestützte Technologien, um die Erkennung von Bedrohungen zu verbessern und Prozesse effizienter zu gestalten. Diese Tools spielen eine entscheidende Rolle dabei, die wachsenden Herausforderungen der IT-Sicherheitslandschaft zu bewältigen​.

Wachsendes Vertrauen in das Potenzial der KI veranlasst die SOC-Teams, verstärkt auf künstliche Intelligenz zu setzen, um Bedrohungen besser zu erkennen und zu entschärfen. Viele SOC-Fachleute sind in dieser Hinsicht optimistisch und glauben, dass KI ein effizienteres Angriffssignal liefern kann, was es ermöglichen wird, Bedrohungen präziser zu erkennen und zu bekämpfen, den Arbeitsaufwand zu verringern und Legacy-Tools zu ersetzen.

Jedoch gibt es nach wie vor Bedenken, KI könnte ein bereits überlastetes System noch komplexer machen. Trotz bestehender Herausforderungen sind viele Fachleute entschlossen, verstärkt in KI-gestützte Lösungen zu investieren, um die Effizienz und Effektivität zu steigern. Damit sich KI jedoch wirklich auf breiter Front durchsetzen kann, müssen die Anbieter das verlorene Vertrauen zurückgewinnen, indem sie Tools bereitstellen, die echten Mehrwert bieten, ohne die SOC-Teams noch stärker zu belasten. Die Studie ergab:

• 85 % der Befragten haben im vergangenen Jahr mehr in KI investiert und sie stärker genutzt. 67 % sagen, KI habe sich positiv auf ihre Fähigkeit ausgewirkt, Bedrohungen zu erkennen und zu bewältigen.
  
  
• 75 % der SOC-Fachleute berichten, dass KI in den letzten 12 Monaten ihre Arbeitsbelastung reduziert hat, und 73 % sagen, KI habe in den letzten 12 Monaten das Gefühl von Ausgebranntsein verringert.
  
  
• 89 % der SOC-Mitarbeiter haben vor, im kommenden Jahr mehr KI-gestützte Tools zu nutzen, um überholte Lösungen zur Erkennung und Bekämpfung von Bedrohungen zu ersetzen.
  
  

„Die wachsende Zuversicht bei den Sicherheitsfachleuten ist vielversprechend. Deutlich wird aber auch, dass sie mit ihren bestehenden Tools zur Bedrohungserkennung zunehmend unzufrieden sind, weil diese kein integriertes Angriffssignal liefern und ihnen deshalb oft noch mehr Arbeit machen, statt sie zu entlasten. Die Daten deuten darauf hin, dass die Tools zur Erkennung und Behandlung von Bedrohungen und deren Anbieter nicht halten, was sie versprechen“, so Mark Wojtasiak, Vice President of Research and Strategy, Vectra AI.

„Die Teams glauben, dass KI ein Angriffssignal liefern kann, das ihnen helfen wird, Bedrohungen zu identifizieren und zu priorisieren, die Reaktionszeiten zu verkürzen und die Alarmmüdigkeit zu verringern. Doch das Vertrauen muss erst wieder aufgebaut werden. KI-gestützte Lösungen zeigen positive Wirkungen, aber um das Vertrauen wirklich zurückzugewinnen, werden die Anbieter demonstrieren müssen, wie sie über den reinen Verkauf von Technologien hinaus Mehrwert bieten.“