Wie der Sand, der durch die Sanduhr rieselt, so vergehen die Tage in unserem SOC….
Es erscheint eine Warnmeldung, die zwar nicht sofort auf einen kritischen Vorfall hinweist, aber genügend Unklarheit enthält, um Aufmerksamkeit zu erfordern. Ein Analyst eröffnet die Untersuchung, beginnt, Kontextinformationen zusammenzutragen, überprüft die Authentifizierungsaktivitäten, wendet sich den Endpunktdaten zu und prüft, ob es entsprechende Änderungen in der Cloud-Umgebung gibt. Etwas scheint nicht ganz in Ordnung zu sein, aber nicht ausreichend, um eine sofortige Eindämmung zu rechtfertigen, daher wird die Untersuchung fortgesetzt. Ein Teammitglied kommt hinzu, um die Interpretation zu bestätigen, ein weiteres Protokoll wird abgefragt, um den Umfang zu bestätigen, und das Team arbeitet methodisch auf eine Schlussfolgerung hin.
An diesem Prozess ist nichts falsch. Tatsächlich spiegelt er genau wider, wie Sicherheitsteams zu arbeiten lernen. Und doch: Während die Untersuchung voranschreitet, vergeht die Zeit weiter.
Was auf der Ebene einzelner Schritte als Sorgfalt erscheint, erweist sich im Verlauf des gesamten Lebenszyklus eines Vorfalls oft als Verzögerung.
Das Problem ist nicht mehr die Sichtbarkeit
Jahrelang mangelte es den Sicherheitsoperationen an Transparenz. Teams hatten Schwierigkeiten, die Vorgänge in zunehmend komplexen Umgebungen zu verstehen, und die Branche reagierte darauf mit hohen Investitionen in Telemetrie, Erkennungslogik und zentralisierte Transparenzplattformen.
Diese Investition hat sich ausgezahlt.
Moderne Sicherheitsteams arbeiten nicht im Dunkeln. Protokolle erfassen Authentifizierungsereignisse, Konfigurationsänderungen, API-Aktivitäten und das Benutzerverhalten auf nahezu allen Ebenen der Umgebung. Erkennungsregeln erzeugen Signale schnell, und Warnmeldungen werden nahezu in Echtzeit generiert.
Die Frage „Was ist passiert?“ lässt sich in den meisten Fällen beantworten.
Und dennoch haben sich die Ergebnisse nicht im gleichen Tempo verbessert wie die Sichtbarkeit.
Laut IBM Security benötigen Unternehmen im Durchschnitt immer noch 277 Tage, um eine Sicherheitsverletzung zu identifizieren und einzudämmen, während Untersuchungen von Mandiant weiterhin zeigen, dass Angreifer oft tagelang oder wochenlang nach der ersten Kompromittierung unentdeckt bleiben. Diese Diskrepanz entsteht dadurch, dass die Teams Zeit benötigen, um aus all diesen Daten eine Entscheidung zu treffen.
Reibung verwandelt Bewegung in Verzögerung.
Wenn man untersucht, wo während einer Untersuchung tatsächlich Zeit verloren geht, verschwindet sie in der Regel nicht bei einer einzelnen Panne oder einem übersehenen Signal. Stattdessen summiert sich der Zeitverlust durch eine Reihe kleiner, rationaler Entscheidungen, die gerade genug Pause einlegen, um den Gesamtfortschritt zu verlangsamen.
Eine Reaktion wird diskutiert, weil die Kosten einer Störung gegen die Wahrscheinlichkeit einer Kompromittierung abgewogen werden müssen. Die Ausführung wird leicht verzögert, um die Abstimmung zwischen den Teams sicherzustellen.
Jeder dieser Momente zeugt von gutem Urteilsvermögen.
Wenn diese Momente jedoch aneinandergereiht werden, entsteht etwas, das als Sicherheits-Reibungskoeffizient bezeichnet werden kann – die akkumulierte Verzögerung, die sich aufbaut, wenn die Arbeit vom Signal über das Verständnis zur Handlung fortschreitet.
Reibung ist das natürliche Nebenprodukt von Komplexität, Fragmentierung und dem Bedürfnis nach Gewissheit unter Druck. Im Bereich der Sicherheitsoperationen ist es jedoch diese akkumulierte Verzögerung, die das Risiko definiert.
Die Branche hat die Reibung nicht beseitigt. Sie hat sie nur umverteilt.
Im Laufe der Zeit versuchte die Branche, diesen Herausforderungen durch den Ausbau ihrer Fähigkeiten zu begegnen. Es wurden weitere Tools eingeführt, um die Erkennungsabdeckung zu verbessern, den Kontext anzureichern, die Analyse zu automatisieren und die Reaktion zu orchestrieren. Jede Ergänzung war darauf ausgelegt, ein bestimmtes Problem zu lösen, und viele von ihnen erfüllten diese Anforderung auch.
Auf Systemebene zeigte sich jedoch ein anderes Muster.
Mit zunehmender Leistungsfähigkeit stieg auch die Fragmentierung der Tools.
Die Daten werden oft auf einer Plattform gespeichert, während der Kontext auf einer anderen Plattform zusammengestellt wird. Entscheidungen werden durch eine Kombination aus Tools und menschlicher Zusammenarbeit getroffen, und Maßnahmen erfordern häufig den Wechsel in separate Systeme oder Arbeitsabläufe. Selbst in gut strukturierten Umgebungen führt diese Trennung zu Übergaben, von denen jede die Latenz erhöht.
Gartner hat immer wieder Integrationslücken als Ursache für operative Mehraufwendungen identifiziert, während Splunk und andere auf die wachsende Anzahl von Tools hingewiesen haben, mit denen Sicherheitsteams bei Untersuchungen umgehen müssen.
Bei all dieser Zersplitterung mangelt es während der Untersuchungen an Kontinuität.
Ist KI also die Lösung?
Dies führt uns zu der Frage, die derzeit einen Großteil der Diskussion im Bereich der Sicherheitsoperationen prägt.
Wenn Reibung das Problem ist, ist KI dann die Lösung?
Wird KI ohne Berücksichtigung des Arbeitsablaufs eingesetzt, kann sie die Reibung erhöhen, anstatt sie zu verringern. Das Hinzufügen einer weiteren Ausgabeschicht – sei es in Form von Zusammenfassungen, Korrelationen oder Empfehlungen – beschleunigt die Entscheidungsfindung nicht zwangsläufig. In vielen Fällen führt dies zu zusätzlichen Interpretationsschritten, die die Zeit bis zu einer fundierten Schlussfolgerung verlängern und zu einem weiteren Punkt werden können, an dem der Prozess ins Stocken gerät.
Wenn es relevante Kontextinformationen zusammenstellen kann, ohne dass Analysten zwischen verschiedenen Systemen wechseln müssen, verringert es die Reibung. Wenn es Teams hilft, schneller zu einer klaren, nachvollziehbaren Schlussfolgerung zu gelangen, verringert es die Reibung. Wenn es den Übergang von der Entscheidung zur Handlung unterstützt, ohne den Ermittlungsablauf zu unterbrechen, verringert es die Reibung.
Die bloße Anwendung von KI wird nichts lösen. Sie ist nur insoweit wertvoll, wie sie dazu beiträgt, Reibung zu verringern.
Was ändert sich, wenn die Reibung verringert wird?
Wenn Reibung auf den Ebenen Daten, Entscheidung und Handlung systematisch reduziert wird, arbeiten Teams schneller und treffen Entscheidungen früher, mit größerer Klarheit und weniger Zögern.
Untersuchungen erfordern weniger System- oder Kontextwechsel. Die Eskalationszyklen werden kürzer und zielgerichteter. Die Distanz zwischen dem Erkennen eines Signals und dem darauffolgenden Handeln verringert sich.
Hier wird die Idee, schneller zur Entscheidung zu kommen, Realität.
Sicherheitsteams agieren nicht rücksichtslos oder optimieren nur auf Geschwindigkeit. Was sie brauchen, ist die Fähigkeit, frühzeitig im Verlauf eines Vorfalls zu einem sicheren Urteil zu gelangen, solange die Möglichkeit, die Auswirkungen einzudämmen, noch besteht.
Denn in der Praxis erhöht sich das Risiko nicht einfach dadurch, dass ein Ereignis eingetreten ist.
Es steigt in der Zeit, die benötigt wird, um zu entscheiden, was zu tun ist.
Abschließende Perspektive
Mangelnde Informationen oder mangelnde Transparenz schränken Sicherheitsoperationen nicht ein.
Reibung ist die Ursache dieser Verzögerung, und sie ist in jeder Untersuchung, jeder Eskalation und jeder Reaktion vorhanden.
KI kann bei der Bewältigung dieses Problems eine Rolle spielen, aber nur, wenn sie präzise und zielgerichtet eingesetzt wird.
Denn am Ende liegt der entscheidende Vorteil nicht bei der Organisation, die am meisten sieht. Er liegt bei der Organisation, die entscheiden – und handeln – kann, bevor diese Verzögerung Konsequenzen hat.
Sehen Sie, wie Sumo Logic bei der Lösung dieses Problems hilft. Fordern Sie eine Demo an.