2023 Report on State of SIEM Detection Risk
CardinalOps harmadik éves jelentésében betekintést enged a valós fenyegetések észlelésének lefedettségének jelenlegi állapotába a vállalati SOC-kban. Elemezték, összesítették és anonimizálták az működő SIEM rendszerekből származó adatokat, hogy bemutassák az SOC felkészültségét a MITER ATT&CK legújabb ellenséges technikáinak észlelésére.
Az Enterprise Security Information and Event Management (SIEM) megoldások nem teljesítenek elég hatékonyan a kiberfenyegetések észlelésében és megállításában – áll a CardinalOps 2023-as, a SIEM észlelési kockázatának állapotáról szóló jelentésében. A kutatók több mint 4000 észlelési szabályt, egymillió naplóforrást és különféle egyedi forrástípusokat vizsgáltak olyan éles SIEM-ekből, mint a Splunk, a Microsoft Sentinel, az IBM QRadar és a Sumo Logic.
A tanulmány kimutatta, hogy a SIEM-ek a MITER ATT&CK keretrendszerben felsorolt technikáknak csak 24%-át képesek észlelni, így a szervezetek sebezhetővé válnak a ransomware támadásokkal, adatszivárgással és egyéb kiberfenyegetésekkel szemben.
Az eredmények azt is feltárták, hogy a SIEM-ek már elegendő adatot fogyasztanak ahhoz, hogy potenciálisan lefedjék az összes MITER ATT&CK technikák 94%-át. Az új észlelési és adatminőségi problémák kidolgozására irányuló nem hatékony manuális folyamatok azonban hozzájárulnak a jobb lefedettség eléréséhez.
Úgy tűnik, itt nem annyira az észlelési képesség hiánya a kihívás, mint inkább a tiszta korrelációs és prioritási képességek hiánya.