Sicherheitstheater: Fleißige Metriken in der SOC sind eine tolle Show, aber eine schreckliche Verteidigung

Der erste in einer Reihe von Artikeln über Sicherheitsrisiken von Craig Jones, Chief Security Officer, Ontinue

Leider sind zu viele Sicherheitsexperten auf allen Ebenen und in allen Disziplinen immer noch der Ansicht, dass die Metriken eines verrauschten SOC die besten Maßstäbe für eine starke Sicherheitsleistung sind. Ich nenne dies “Aktivitätstheater” - eine Menge anzeigen von Alarmen, aber keine wirkliche Unterstützung. Tatsächlich besteht eine hohe Anzahl von Alarmen hauptsächlich aus Rauschen, und ein hoher Geräuschpegel verschlechtert die tatsächlichen Erkennungsmöglichkeiten eher, als dass er sie verbessert. Ein hohes Maß an Alarmaktivität mag zwar beeindruckend aussehen, aber es handelt sich dabei um illusionäres Rauschen, das die Angriffspunkte tarnt und die Angriffsmöglichkeiten erhöht.

In diesem Artikel wird eine neue Art und Weise vorgestellt, wie CISOs Metriken bewerten, erläutern und nutzen sollten, die ihre Vorstände, CEOs und andere wichtige Stakeholder genau und effektiv über den Status der Sicherheit in ihrem Unternehmen informieren, und warum Risikominderung die beste Messgröße ist.

Ertrinken in Metriken

Wir alle wissen, dass Sicherheitsteams - sowohl intern als auch bei verwalteten SOCs - in Metriken ertrinken. Die “Quantität” von Warnmeldungen ist kein Branchenproblem. Aber eine überlastete SOC ist keine gesunde SOC; sie ist ein Zeichen für eine schlechte Abstimmung und unbeaufsichtigte Protokolle, die Ablenkungen erzeugen, die Verteidiger daran hindern, das zu erkennen, darauf zu reagieren und das zu stoppen, was am wichtigsten ist: aktuell Cyberangriffe in Bewegung.

Gut abgestimmte SOCs sollten leise sein, so dass Verteidiger, wenn etwas passiert und Alarme ausgelöst werden, wissen, wie sie die Aktivität priorisieren und sich schnell um das kümmern können, was sofortige Aufmerksamkeit erfordert. Wenn Warnungen selten, präzise und aussagekräftig sind, können Verteidiger Anomalien sofort erkennen und entschlossen reagieren, anstatt ihre Zeit damit zu verbringen, minderwertiges Rauschen zu durchforsten. Unserer Erfahrung nach sind echte positive Fälle außerhalb der Phishing-Landschaft in der Regel sehr einzigartig, bisher nicht gesehen und wiederholen sich selten in Kundenumgebungen. Wenn die Erkennungen richtig eingestellt sind, Dies kann in etwa 90% der Fälle bei unseren Kunden einmalige echte positive Vorfälle darstellen.

Metriken zur Risikominderung sollten im Bericht des CISO an den Vorstand an erster Stelle stehen. Dieser Ansatz mag eine neue Denkweise erfordern und Zeit brauchen, bis die Branche ihn annimmt, aber eine Verlagerung auf die Bewertung und Umsetzung von weniger wird zu einer stärkeren und widerstandsfähigeren Sicherheit führen.

Lärm erhöht das Sicherheitsrisiko

Einfach ausgedrückt: Eine überwältigende Menge an reaktiver Arbeit schafft Risiken und lässt keine Zeit, die Transformation richtig zu managen oder Technologien für wichtige Geschäftsprozesse zu aktivieren und zu sichern.

 Das gemeinsame Ziel der internen Sicherheitsteams und der Anbieter von MXDR-Diensten (Managed Extended Detection and Response) besteht darin reduzieren. Geschäftsrisiko. Dies geschieht durch gezielte Metriken, die es SOCs ermöglichen, kritische Alarme zu analysieren, die ausgelöst oder hat nicht Feuer, arbeiten schnell und genau und verfeinern und verbessern die Erkennungen kontinuierlich.

Vor allem Unternehmen mit kleineren Sicherheitsteams werden leicht von ungenauen Erkennungen überwältigt, die die SOC-Metriken überlagern (und keine Transparenz mehr bieten). Wenn wir neue Kunden einbinden, besteht ein erster Schritt darin, inkompatible, veraltete Sicherheitslösungen zu bereinigen, um die Umgebung zu vereinfachen. Dadurch erhalten wir einen klaren Überblick über die tatsächlichen Vorgänge im gesamten Unternehmen und können Schwachstellen diagnostizieren.

Bei einigen Onboarding-Fällen haben unsere Experten beispielsweise gesehen, wie vor Jahrzehnten konzipierte Sicherheitsmaßnahmen (falsch) auf AWS und andere moderne Cloud-Umgebungen angewendet wurden. In anderen Fällen haben wir unwissentlich Systeme übernommen, die von Angreifern bereits kompromittiert worden waren, weil sie aufgrund einer Fülle von Warnmeldungen nicht erkannt wurden. Unübersichtliche SOCs führen außerdem dazu, dass man mit Patches und der Implementierung anderer Sicherheitsgrundlagen in Verzug gerät, und wenn die Warnmeldungen erst einmal außer Kontrolle geraten sind, ist es noch schwieriger, Präventivmaßnahmen zu ergreifen.

Aktivitäts-Theater erhöhen nicht nur das Sicherheitsrisiko, sondern haben auch eine menschliche Schattenseite. Diese hektischen Umgebungen tragen zu Ermüdung und Burnout bei, sehr reale Faktoren in der Sicherheitsbranche, die nicht nur die Qualität der Arbeit der Verteidiger, sondern auch die Langlebigkeit ihrer Karriere und ihre psychische Gesundheit beeinträchtigen können.

Die Idealer Zustand: Ein leiser SOC

Unser Ziel als Verteidiger ist es, das Alarmvolumen zu reduzieren und gleichzeitig die Aufdeckung zu erhöhen. Wir überwachen ständig und passen uns an, damit unsere Reaktion auf verdächtige Aktivitäten strategisch, vorhersehbar und schnell ist. Für uns ist jede Entdeckung ein Sicherheitsfehler; deshalb ist eine leise SOC ist der ideale Zustand.

Um dies zu erreichen, konzentrieren wir uns auf Metriken, die die Geschwindigkeit der Eindämmung, die Risikominderung, die Qualität der Erkennung und die Wirksamkeit der Automatisierung messen. Die Messung der richtigen Komponenten erfordert eine kontinuierliche Abstimmung, Korrelation, Automatisierung und kontextbezogene Analyse - eine Arbeit, die oft mit der täglichen Reaktion auf Vorfälle konkurriert, weshalb die Integration von künstlicher Intelligenz und Automatisierung in eine SOC entscheidend ist. Diese Technologien sind in der Lage, gutartige und als zulässig eingestufte Alarme in Maschinengeschwindigkeit zu beobachten, zu orientieren, zu entscheiden und zu handeln (OODA), sodass sich Sicherheitsanalysten und Bedrohungsjäger auf Meldungen konzentrieren können, die für das SOC als dringend eingestuft werden.

Zum Beispiel verbrachten die Experten in unserem Cyber Defense Center nur Zeit mit etwa 3% der Kunden insgesamt Vorfälle im Jahr 2025; unsere deterministische Automatisierung löste die restlichen 97%, wie in unserem Whitepaper beschrieben, Den Hype durchbrechen: Was agentenbasierte KI wirklich bedeutet und die Zukunft der Sicherheitsoperationen. Metriken aus diesem 3% oder “idealen ruhigen Zustand” sind das, worauf sich CISOs konzentrieren sollten, wenn sie den Wert und den Status ihrer SOC messen und den Beteiligten präsentieren.

Wie bereits erwähnt, besteht eine wichtige Aufgabe der Sicherheitsexperten darin, die Erkennung und Abstimmung im SOC ständig zu kalibrieren. Stellen Sie sich das System als eine lebendige, dynamische Umgebung vor, die sich täglich - wenn nicht sogar stündlich - ändert, da Mitarbeiter kommen und gehen (und dabei möglicherweise anfällige Geisterkonten und Anmeldedaten hinterlassen), veralteter lokaler Admin-Zugang, Standardkonfigurationen oder schwache Konfigurationen, die dem Internet ausgesetzt sind, ohne dass sie ordnungsgemäß gepatcht oder segmentiert wurden, menschliche Fehler, wie z. B. Anschließen eines verdorbenen privaten USB-Laufwerks an einen vom Unternehmen verwalteten Arbeitsplatzrechner, und vieles mehr.

Metrische Höhenlagen

Treten wir einen Schritt zurück und betrachten wir den 97% der Warnmeldungen. Auf den ersten Blick mögen diese Meldungen für den “Schneideraum” geeignet erscheinen, aber sie haben ihren Platz in der Kennzahlenberichterstattung; sie sind nur nicht für die erste Seite einer Statuszusammenfassung für den Vorstand und den CEO geeignet.

In der nachstehenden Tabelle können Sie sehen, wie wir ausgewählte Metriken danach kategorisiert haben, ob sie strategisch, operativ und/oder taktisch sind, nach Zielgruppe und nach Messung. Dies ist ein Beispiel für das, was wir "Metrics Altitudes" nennen. Jede Meldung in der SOC ist von Bedeutung, auch die in der 97%. Da sie jedoch sehr unterschiedliche Bedeutungen und Maßnahmen zu ihrer Behebung haben, ist es klüger, sie in diese Kategorien einzuteilen. Hinweis: Zur Einführung und Erläuterung des Themas enthält dieses Diagramm nur eine kleine Auswahl von Hunderten von Metriken, die Ontinue verfolgt. In späteren Artikeln werden wir tiefer gehende Informationen zu Metric Altitudes bereitstellen, einschließlich einer vollständigen Bibliothek von Metriken, auf denen Sie aufbauen oder die Sie als Vorlage verwenden können.

Metrisch	Strategisch / operativ / taktisch	Vorstand/CISO/Geschäftsleitung	Was sie misst	Wie berechnet man (sudo-measurement entry)	Messpunkte (Alt / Basislinie)	Messstellen (neu / AI-instrumentiert)
Fehlerquote bei der Erkennung von Änderungen	Taktische	Mgmt	Stabilität der Detektionstechnik	Rollbacks/Einführungen	deployment_id, roll back_flag	Gleiche
Zeit zur Behebung verrauschter Erkennungen	Taktische	Mgmt	Empfindlichkeit gegenüber Lärm	fix_deployed - noise_logged	noise_logged_time, fix_deployed_time	Gleiche
Zunahme des Erfassungsbereichs	Strategisch-Taktisch	CISO, Verwaltung	Ausweitung des Erfassungsbereichs im Laufe der Zeit	neue Entdeckungen pro Zeitraum + kartierter Bereich	detektion_hinzugefügte_zeit, detektion_umfang	Gleiche
Zustand der Telemetrie / Betriebszeit der Datenerfassung	Operativ	Mgmt	Ob die Überwachung tote Winkel hat	% erforderliche Quellen gesund	quelle_status, letzte_eingetragene_zeit	Gleiche
Erfolgsquote des Spielbuchs	Operativ-taktisch	Mgmt	Zuverlässigkeit der automatischen Antwort	erfolgreiche_durchläufe / gesamt_laufend	playbook_run_id, status	Gleiches + AI-ausgelöste Läufe separat einbeziehen
Automatisierung Nutzung  Satz	Operativ-taktisch	Mgmt	Wie oft die Automatisierung einen sinnvollen Beitrag leistet	%-Fälle mit erfolgreichem Automatisierungsschritt	automation_step_executed=true	Dasselbe + ai_triggered_automation=true
Automatisierung “zurückgegebene Stunden”	Operativ-taktisch	CISO	Aufwandsreduzierung (Anbieter + Kunde)	geschätzte Zeitersparnis im Vergleich zur Basislinie	Schätzungen des Zeitrahmens für die Basisaufgaben	Gemessene Verwendung: ai_time_saved_estimate, Workflow-Dauern
Inanspruchnahme  Kurs (intern)	Operativ	Mgmt	Kapazitätsverbrauch	verbrauchte_Stunden / verfügbare_Stunden	Personaleinsatzpläne + Zeiterfassung	Gleiche
Vorhersagegenauigkeit (Fallvolumen)	Operativ-taktisch	Mgmt	Vorhersehbarkeit des Arbeitsaufkommens	%-Fehler / MAPE	forecast_volume, actual_volume	Gleiche
Wachstumsrate des Lärms	Operativ-taktisch	CISO, Verwaltung	ob die Ermüdungsrate steigt oder sinkt	Monatliche Veränderung der Ausschreibungen von geringem Wert	low_value_alert_count_by_month	Gleiche
Stabilitätsindex (Leistungsabweichung)	Operativ-taktisch	CISO, Verwaltung	ob die Leistung konsistent ist	Varianz von TTN/MTTI/MTTR im Zeitverlauf	KPI-Zeitreihen	Gleiche
Qualitätsbewertung der Untersuchung (IQS)	Operativ-taktisch	CISO, Verwaltung	Qualität der Untersuchungen (QC-Stichprobe)	Punktzahl der Stichprobe auf der Checkliste	qc_sample_id, qc_checklist_scores	Dasselbe + Aufnahme des Attributs “KI-unterstützt”.
Schweregradabstufung/ Upgrade-Rate	Operativ-taktisch	Mgmt	Triage-Kalibrierung	%, die den Schweregrad erheblich verschieben	initial_severity, final_severity	Gleiche
Wiederauftreten der Ursache (30/60/90)	Strategische	Vorstand, CISO	Ob Fixes halten	Wiederholungen/Gesamt	root_cause_tag, Ereignisdaten	Gleiche
Zeit bis zur Verbesserung (Lücke → eingesetzte Maßnahme)	Strategisch Operativ Taktisch	CISO, Verwaltung	Geschwindigkeit der kontinuierlichen Verbesserung	fix_deployed - gap_logged	gap_logged_time, fix_deployed_time	Gleiche

Der erste in einer Reihe von Artikeln über Sicherheitsrisiken von Craig Jones, Chief Security Officer, Ontinue