.



SOC-analisten verliezen grip op cybersecurity door hoog aantal alerts

Remco-Geerts-polaroid-267x300

De cyberveiligheid van bedrijven staat onder druk als gevolg van het grote aantal alerts dat analisten in een Security Operations Center (SOC) dagelijks ontvangen. Gemiddeld zijn dit zo’n 5.185 alerts per SOC-team per dag, waarvan iets minder dan twee derde (64%) niet kan worden onderzocht. Dit blijkt uit een wereldwijd  onderzoek van Tesorion-partner Vectra AI onder 2.000 SOC-analisten wereldwijd, waaronder 200 analisten van Nederlandse organisaties. 

Hogere werkdruk

Dat er op zoveel alerts geen actie ondernomen kan worden, is verontrustend te noemen. Toch is het te verklaren vanwege het feit dat het aantal binnenkomende alerts bij bijna negen op de tien SOC-analisten (88%) in de afgelopen drie jaar aanzienlijk is toegenomen. Ook zijn zowel het aantal gebruikte beveiligingstools (77%) als de omvang van het aanvalsoppervlak (75%) van organisaties toegenomen. Dit heeft gevolgen voor de werkdruk van SOC-analisten: gemiddeld besteden analisten 2,7 uur per dag aan handmatige activiteiten in tools, zoals een SIEM, om alle alerts te onderzoeken. Daarnaast besteden ze onder andere tijd aan het maken van rapportages en het toevoegen van nieuwe use cases.     

Het onderzoeken van alerts vindt bij veel organisaties nog grotendeels handmatig plaats, doordat zij niet over Artificial Intelligence (AI) gebaseerde tooling beschikken om de alerts uit diverse systemen met elkaar te correleren en te prioriteren. Het handmatige werk zorgt bij 41 procent van de SOC-analisten voor burn-out gerelateerde klachten en bij 37 procent van de analisten voor stress. Als gevolg hiervan overweegt een ruime meerderheid van de SOC-analisten (57%) om ontslag te nemen of een andere functie binnen het bedrijf te bekleden. Deze leegloop zorgt voor een nog hogere werkdruk onder SOC-analisten, die werkzaam zijn in een sector waar momenteel al een tekort is aan experts.

De voor- en nadelen van technologie

Om de werkdruk te verlagen, is het gebruik van AI-gebaseerde tooling voor SOC-teams dus essentieel. Deze manier van werken zorgt voor een vermindering van het aantal false positives, die maar liefst 78 procent van het totaal aantal alerts uitmaken. Wel is het daarbij belangrijk om goed te kijken naar de manier waarop de tooling werkt, de toegepaste algoritmes en de gebruikte trainingsmodellen.

Snellere detectie van geavanceerde dreigingen

Remco Geerts, Manager Strategie en Innovatie bij Tesorion: “Het werk van SOC-analisten is ontzettend belangrijk om digitale omgevingen van bedrijven veilig te houden. Dit kan een hoge werkdruk met zich mee brengen. Elke dag krijgen SOC-analisten te maken met een ongelooflijke hoeveelheid dreigingsinformatie die ze met traditionele SIEM-oplossingen onmogelijk volledig kunnen onderzoeken. Om de efficiëntie te verhogen en de werkdruk bij analisten te verlagen, zetten wij binnen ons SOC geavanceerde tooling op basis van AI-modellen in. Deze aanpak zorgt voor een snellere detectie en eliminatie van geavanceerde dreigingen en tijdige herkenning van false positives, waardoor onze analisten onze klanten nog effectiever kunnen beschermen. Dit versterkt de cyberweerbaarheid van een bedrijf, terwijl de SOC-analist zich kan richten op complexe taken die menselijke interventie vereisen.”

Meer over
Lees ook
DORA: wat ITOps-teams moeten weten

DORA: wat ITOps-teams moeten weten

DORA vestigt een best practice die ThousandEyes bespreekt in The Internet Report: het belang van het nemen van verantwoordelijkheid voor je gehele dienstverleningsketen, inclusief de delen die je niet direct onder controle hebt. Onder DORA zijn financiële instellingen verplicht om zowel hun eigen ICT-infrastructuur als die van hun externe partner1

Voldemort threat update: het onderzoek dat niet genoemd mag worden

Voldemort threat update: het onderzoek dat niet genoemd mag worden

Naar aanleiding van het Voldemort malware threat research van 30 augustus delen analisten van Proofpoint nu nieuwe inzichten. De onderzoekers kunnen inmiddels de Voldemortcampagne toeschrijven aan een dreigingsgroep, namelijk de Chinese dreigingsgroep TA415. Deze groep is ook bekend als APT41 en Brass Typhoon.

Barracuda ontdekt half miljoen phishing berichten met QR-codes in PDF-bijlagen

Barracuda ontdekt half miljoen phishing berichten met QR-codes in PDF-bijlagen

Tussen juni en september van dit jaar hebben onderzoekers van Barracuda meer dan een half miljoen phishing-e-mails geïdentificeerd en geanalyseerd die PDF-documenten bevatten waarin QR-codes waren verwerkt. Deze PDF’s worden als bijlagen meegestuurd bij phishing-e-mails die merkimitatie en urgentie gebruiken om slachtoffers aan te zetten tot actie1