De toekomst van dreigingsdetectie in Nederland: Uitdagingen en oplossingen

Gepubliceerd op 22 mei 2024 om 15:00

De overweldigende werkdruk van SOC-teams

In het huidige digitale tijdperk worden de teams van beveiligingsoperatiecentra (SOC) geconfronteerd met steeds geavanceerdere en snellere hybride cyberaanvallen. Het detecteren, onderzoeken en stoppen van deze aanvallen is een steeds grotere uitdaging door de complexiteit van de technologie die SOC-teams tot hun beschikking hebben. Dit rapport, gebaseerd op een wereldwijde studie van 2.000 SOC-analisten, waarvan 200 uit Nederland, onderzoekt de grootste problemen waar SOC-analisten mee te maken hebben.

Het rapport onthult een fundamentele breuk in de effectiviteit van dreigingsdetectie. Hoewel veel SOC-analisten geloven dat hun tools effectief zijn, geven sommigen aan dat dezelfde technologie hun vermogen belemmert om de organisatie effectief te verdedigen tegen cyberaanvallen. De hoeveelheid meldingen en de tijd die besteed wordt aan het sorteren van deze meldingen nemen toe. Hierdoor ontstaan blinde vlekken in de detectie en neemt het aantal valse positieven toe. SOC-analisten kampen met alertmoeheid, burn-out en een hoge personeelsverloop, terwijl de industrie een tekort van 3,4 miljoen werknemers heeft, wat alleen maar erger lijkt te worden.

De druk op SOC-teams is enorm. Met een gemiddelde van 5.185 meldingen per dag, waarvan bijna twee derde wordt genegeerd, wordt de situatie onhoudbaar. De meeste SOC-analisten geven aan dat het aantal beveiligingstools (77%) en meldingen (81%) die zij moeten beheren aanzienlijk is toegenomen in de afgelopen drie jaar. Meer dan de helft (57%) overweegt hun baan te verlaten vanwege stress, gebrek aan empathie van de leiding en de slechte kwaliteit van de beveiligingsmeldingen. Bovendien geven meer dan driekwart van de analisten aan dat hun organisatie mogelijk al is gecompromitteerd zonder dat zij hiervan op de hoogte zijn.

De complexiteit van de technologie en tools

De uitdagingen van de SOC-teams zijn complex en veelzijdig. Ze moeten een groeiend aantal beveiligingsmeldingen verwerken terwijl ze worstelen met een uitbreiding van het aanvalsoppervlak en een toenemend aantal kwetsbaarheden. Dit wordt bemoeilijkt door de snelle digitalisering en de toename van cloud-gebaseerde technologieën tijdens de pandemie. Hoewel digitalisering de productiviteit en klantervaring heeft verbeterd, biedt het ook meer mogelijkheden voor aanvallers om een organisatie aan te vallen, vooral als de interne vaardigheden niet gelijke tred houden met de digitale investeringen.

SOC-analisten geven aan dat hun huidige tools vaak falen in het effectief prioriteren van gebeurtenissen voor verder onderzoek, wat leidt tot een verhoogde werkdruk. Gemiddeld ontvangen SOC-teams 5.185 meldingen per dag, waarbij analisten bijna drie uur per dag besteden aan het handmatig sorteren van meldingen. Voor sommige analisten loopt dit zelfs op tot meer dan vier uur per dag. Dit handmatige proces kost organisaties jaarlijks miljarden dollars, alleen al in de Verenigde Staten. Bovendien kunnen beveiligingsanalisten bijna twee derde van de dagelijkse meldingen die ze ontvangen niet verwerken, en zeggen ze dat 78% van deze meldingen valse positieven zijn. Dit probleem vertoont geen tekenen van stoppen, aangezien meer dan twee derde van de respondenten zegt dat het aantal meldingen dat ze ontvangen toeneemt, wat leidt tot stijgende kosten.

SOC-analisten bevinden zich in de frontlinie van de voortdurende strijd tegen cyberaanvallen. De data suggereert een grote kloof tussen de verwachtingen van SOC-analisten over de tools die ze gebruiken en hun erkenning van beveiligingsblinde vlekken. Hoewel veel analisten hun technologieën als effectief beschouwen, kampen ze nog steeds met een toenemend aantal meldingen en geven ze toe dat dezelfde tools bijdragen aan een gebrek aan zichtbaarheid en onzekerheid, evenals meldingenoverload.

De dringende noodzaak voor nieuwe benaderingen

De huidige aanpak van dreigingsdetectie en -respons richt zich te veel op het detecteren van mogelijke dreigingsgebeurtenissen en te weinig op het effectief prioriteren van echte aanvallen. Dit leidt tot een situatie waarin SOC-analisten worden overweldigd door meldingen en niet in staat zijn om de echte dreigingen effectief te identificeren en erop te reageren. De industrie moet erkennen dat dit model gebroken is en dat een nieuwe benadering nodig is.

De fundamentele breuk in de effectiviteit van dreigingsdetectie benadrukt de noodzaak voor een nieuwe benadering van beveiliging. Organisaties moeten eisen dat hun beveiligingsleveranciers signalen leveren met hoge nauwkeurigheid en effectiviteit. Dit betekent dat de focus moet verschuiven van het detecteren van mogelijke dreigingsgebeurtenissen naar het nauwkeurig identificeren en prioriteren van echte aanvallen. De effectiviteit van beveiligingstools moet worden gemeten aan de hand van hun vermogen om echte dreigingen nauwkeurig te detecteren en te prioriteren.

De cybersecurity-industrie kampt al jaren met een groot tekort aan vaardigheden, en de dagelijkse stress en frustraties die voortvloeien uit een slechte signaaleffectiviteit verergeren dit probleem alleen maar. Meer dan de helft van de analisten overweegt hun baan te verlaten, voornamelijk vanwege de stress, het gebrek aan empathie van de leiding en de slechte kwaliteit van de meldingen. Dit personeelsverloop kan desastreuze gevolgen hebben voor organisaties, aangezien het tekort aan gekwalificeerde beveiligingsprofessionals wereldwijd naar schatting 3,4 miljoen bedraagt.

Conclusie:

Het is duidelijk dat de huidige aanpak van dreigingsdetectie en -respons niet duurzaam is. SOC-teams worden overspoeld met meldingen, vaak van slechte kwaliteit, en moeten handmatig bepalen welke meldingen reële dreigingen vormen. Dit leidt tot een verhoogde werkdruk en een groot risico op het missen van echte aanvallen. De cybersecurity-industrie kampt al jaren met een groot tekort aan vaardigheden, en de dagelijkse stress en frustraties die voortvloeien uit een slechte signaaleffectiviteit verergeren dit probleem alleen maar.

Om deze cyclus te doorbreken, moeten organisaties eisen dat hun beveiligingsleveranciers signalen leveren met hoge nauwkeurigheid. De effectiviteit van beveiligingstools moet niet worden gemeten aan de hand van het aantal gedetecteerde en gemelde mogelijke dreigingsgebeurtenissen, maar aan de hand van hun vermogen om echte aanvallen nauwkeurig te detecteren en prioriteren. Hoe effectiever het dreigingssignaal, hoe cyber-resilienter, efficiënter en effectiever de SOC wordt. Het is tijd voor organisaties om traditionele benaderingen van dreigingsdetectie te heroverwegen en leveranciers verantwoordelijk te houden voor de effectiviteit van hun signalen. Alleen dan kunnen we de vicieuze cirkel doorbreken en SOC-teams de ondersteuning bieden die ze nodig hebben om succesvol te zijn in hun cruciale rol.

Begrippenlijst: Sleutelwoorden uitgelegd

  • SOC (Security Operations Center):

    • Uitleg: Een SOC is een gecentraliseerde eenheid die verantwoordelijk is voor het bewaken, analyseren en verdedigen van een organisatie tegen cyberdreigingen. Het team bestaat uit beveiligingsanalisten en engineers die voortdurend de IT-infrastructuur controleren op verdachte activiteiten.
  • Hybride cyberaanvallen:

    • Uitleg: Dit zijn aanvallen die gebruikmaken van verschillende methoden en technieken om een organisatie aan te vallen. Ze combineren vaak traditionele aanvalsmethoden met nieuwe digitale technieken, zoals phishing en malware verspreid via e-mails en social engineering.
  • Aanvalsoppervlak:

    • Uitleg: Het aanvalsoppervlak is de totale som van alle punten waar een ongeautoriseerde gebruiker of aanvaller toegang kan krijgen tot een systeem. Hoe groter het aanvalsoppervlak, hoe meer mogelijkheden er zijn voor een aanval.
  • Valse positieven:

    • Uitleg: Dit zijn meldingen die aangeven dat er een beveiligingsprobleem is, terwijl dat in werkelijkheid niet zo is. Valse positieven kunnen veel tijd en middelen kosten, omdat analisten deze meldingen moeten onderzoeken en uitsluiten.
  • Alertmoeheid (Alert Fatigue):

    • Uitleg: Dit treedt op wanneer beveiligingsanalisten worden overspoeld met te veel meldingen, wat kan leiden tot verminderde alertheid en het risico dat echte bedreigingen worden gemist.
  • Cloud-gebaseerde technologieën:

    • Uitleg: Dit zijn technologieën en diensten die worden geleverd via het internet ('de cloud') in plaats van op lokale servers. Voorbeelden zijn cloud-opslag (zoals Google Drive) en cloud computing (zoals Amazon Web Services).
  • Blinde vlekken in detectie:

    • Uitleg: Dit zijn gebieden of aspecten van de IT-infrastructuur waar de beveiligingstools geen zicht op hebben. Aanvallers kunnen deze blinde vlekken gebruiken om ongemerkt het systeem binnen te dringen.
  • Manuele triage:

    • Uitleg: Dit is het proces waarbij analisten handmatig meldingen sorteren en beoordelen om te bepalen welke meldingen echt bedreigingen zijn en welke genegeerd kunnen worden.
  • Dreigingssignaal (Threat Signal):

    • Uitleg: Dit verwijst naar de informatie en waarschuwingen die beveiligingstools genereren wanneer ze een potentiële dreiging detecteren. Een effectief dreigingssignaal helpt analisten om echte aanvallen snel en nauwkeurig te identificeren.
  • Signaaleffectiviteit:

    • Uitleg: Dit verwijst naar hoe goed een beveiligingstool in staat is om daadwerkelijke dreigingen te onderscheiden van valse positieven. Hoge signaaleffectiviteit betekent dat de tool betrouwbaar is in het identificeren van echte bedreigingen zonder te veel valse positieven te genereren.
  • Nauwkeurigheid (Accuracy):

    • Uitleg: In de context van dreigingsdetectie betekent dit hoe precies en betrouwbaar de beveiligingstools zijn in het detecteren van echte bedreigingen.
Vectra 2023 State Of Threat Detection Kopie Pdf
PDF – 951,8 KB 102 downloads