In den letzten Jahren haben wir gelernt, Menschen zu trainieren, um verdächtige E-Mails zu erkennen und Filter zu implementieren, die bekannte Bedrohungen blockieren. Es gibt jedoch eine zweite Verteidigungslinie, die weniger Aufmerksamkeit erhält und dass die Angreifer ein Ziel geworden sind: der Untersuchungsprozess, der einem Phishing-Bericht folgt. Wenn dieser Prozess langsam oder inkonsistent wird, lässt die Organisation eine offene Tür, die in den Netzwerkdiagrammen nicht gesehen wird: menschliche Aufmerksamkeit.
Die Angreifer versuchen nicht mehr nur, einen Mitarbeiter zu täuschen; sie wollen das Team erschöpfen, das untersucht. Anstatt alles auf eine sehr anspruchsvolle Single-Mail zu setzen, kombinieren viele Kampagnen eine Flut von niedrigen Komplexität Botschaften mit einigen sorgfältig gerichteten E-Mails. Das scheinbare Ziel - Lärm zu machen - verbirgt einen strategischen Zweck: die Arbeitslinie des Operationszentrums (SOC) zu konmanieren, bis die wenigen wertvollen Botschaften unbemerkt bleiben.
Dieses Phänomen, das Forscher und Praktiker bereits als eine Form der Verweigerung des Informationsdienstes (DOS) beschreiben, nutzt ein Grundbesitz jedes Systems mit begrenzten Ressourcen: Die menschliche Versorgung skaliert nicht unbegrenzt. Untersuchungen zur Ermüdung von Warnungen und zur Untersuchung von Sicherheitsoperationen zeigen, dass die Qualität der Analyse bei der Befeuerung des Berichtsvolumens tendenziell abnimmt. (siehe Studie in arXiv), und Industrieerhebungen zeigen, dass ein großer Teil der SOCs einfach nicht alle eingehenden Warnungen mit der nötigen Tiefe verwalten kann (SANS 2024 Bericht).
Stellen Sie sich das folgende Szenario vor: Tausende von Mitarbeitern berichten Zehntausende von Nachrichten, die meist nervig, aber harmlos sind. Jeder dieser Berichte erfordert eine gewisse Verarbeitung: Öffnen Sie die Nachricht, überprüfen Header, validieren Sie Links, korrelieren Endpunkte-Telemetrie und entscheiden Sie. Wenn Analyte überlastet sind, nehmen sie kurzfristig nützliche kognitive Abkürzungen an, die aber insgesamt gefährlich sind: Sie überprüfen oben, verlassen sich auf Oberflächenanzeigen und priorisieren die Reinigung des Schwanzes. Gerade in diesen Abkürzungen finden gut gestaltete Speed-Phishing ihre Chance.
Die Wirtschaft des Angriffs ist für den Angreifer. Die Produktion und Verteilung von Tausenden von Low-Sophistication-E-Mails kostet fast nichts, vor allem mit Automatisierungs- und Texterzeugungstools. Für den Verteidiger verbraucht jede Meldung Minuten qualifizierter Fachleute; eine gründliche Untersuchung kann Stunden dauern. Diese Asymmetrie - niedrige Kosten, um Lärm zu erzeugen, hohe Kosten zu verarbeiten - macht Sättigung eine kostengünstige Taktik.
Die unmittelbare Reaktion vieler Teams war es, die regelbasierte Automatisierung zu erhöhen: die Trust-Domain-Berichte automatisch zu schließen, identische Berichte nicht zu vervielfältigen oder Ruflisten anzuwenden. Diese Maßnahmen helfen, das Volumen zu reduzieren, haben aber erhebliche Grenzen. Die festen Regeln schaffen ausbeutebare Muster; wenn die Angreifer wissen oder unterschreiben, dass bestimmte Signale Selbstverschlüsse verursachen, können sie ihre Botschaften oberflächlich ändern, um diese Verteidigung zu überwinden. Darüber hinaus, wenn die Automatisierung als "schwarze Box" funktioniert, die seine Entscheidungen nicht erklärt, wird das Personal misstrauen, die Fälle wieder öffnen oder automatische Aktionen abbrechen, wodurch die Gewinne, die von der Automatisierung versprochen werden.
Mehr Daten und mehr Regeln lösen das zentrale Problem nicht: Was scheitert ist die Fähigkeit, Informationen in schnelle und zuverlässige Entscheidungen zu konvertieren. Deshalb entsteht eine neue Denkweise an sie: Es geht nicht nur darum, E-Mails zu analysieren, sondern über die Lieferung Ermittlungen für die Entscheidung. Anstatt eine Reihe von Rohindikatoren zu analysieren, ist die Idee, dass eine Forschungsmaschine ein begründetes Urteil erzeugen wird, mit den Beweisen und Argumenten, die für den Menschen notwendig sind, zu überprüfen und zu schätzen, nicht von Grund auf rekonstruieren.
Ein vielversprechender Ansatz verwendet "agentiva" IA-Architekturen, in denen verschiedene Fachkräfte parallel zu verschiedenen Dimensionen der Forschung arbeiten. Ein Agent kann dafür verantwortlich sein, die Authentizität des Absenders (SPF, DKIM, DMARC, Domänengeschichte) zu überprüfen, ein weiteres für die Analyse der Sprache der Nachricht auf der Suche nach Social Engineering-Signalen und ein Drittel für die Korrelation mit Endpoints Telemetrie und anormaler Aktivität. Die entscheidende Sache ist nicht, dass die IA selbst entscheiden, sondern für jeden Agenten zu dokumentieren, was sie überprüft, was sie gefunden hat und wie es die Schlussfolgerung beeinflusst.
Transparenz und Rückverfolgbarkeit verändern das Vertrauen zwischen Mensch und Maschine. Wenn das System eine Schlussfolgerung gibt und auch die Kette von Beweisen zeigt, können Analysten die Gründe verstehen, Herausforderung Annahmen und im Laufe der Zeit vertrauen, dass automatisierte Entscheidungen explicable sind. Dieses Vertrauen ermöglicht es, routinemäßige Entschließungen mit kontrollierter Autonomie zu verwalten, während die Menschen sich auf Vorfälle konzentrieren, die Urteile und Kreativität erfordern.
Der praktischste praktische Nutzen ist Zeit. Der Unterschied zwischen einer Untersuchung, die sich in Minuten vor einer anderen, die Stunden dauert, schließt, ist keine geringfügige operative Verbesserung: es ist der Unterschied zwischen einem rebuttalen Anmeldedaten, bevor der Angreifer Schaden tut und einer, die bereits dazu diente, seitlich zu bewegen, Privilegien oder Exfilter-Informationen. Filterkosten und Antwortzeitberichte zeigen, dass jede Stunde zählt, wenn ein schädlicher Schauspieler den ersten Zugriff gewonnen hat (IBM: Kosten für Lücken).
Dieser Ansatz erfordert auch das Umdenken, welche Metriken wichtig sind. Die traditionellen SOC-Steuertabellen messen die Betriebsleistung: durchschnittliche Ansprechzeit, vom Analytiker geschlossene Tickets usw. Um Taktiken zu widerstehen, die Volumen ausnutzen, müssen die Metriken die Konsistenz der investigativen Qualität unter Last erfassen, die Latenz, um ein zuversichtliches Urteil zu erreichen, die Genauigkeit der Klimas während der Spitzenaktivität und den Prozentsatz der automatisierten Entscheidungen, die hörbare Argumentation beinhalten. Die Messung der Proaktivität - wie nah an dem Punkt der Auswirkung die Bedrohungen erkannt werden - beendet die Vision.
Durch die Änderung des Fokusses von "mehr Zeichen" auf "genauere und erklärte Entscheidungen" verändert die Verteidigung radikal die strategische Landschaft. Wenn das hohe Volumen nicht mehr die Vertiefung oder die Entscheidungszeit abbaut, ist die Taktik der Überwindung des SOC nicht mehr wirksam: die Welle der billigen Botschaften verbirgt nichts und der Angreifer hat Ressourcen ohne Gewinn ausgegeben. Die Symmetrie wird umgekehrt.
Dieser Ansatz eliminiert nicht die Notwendigkeit der Mitarbeiterausbildung oder die Bedeutung von Perimeterschutzschichten. Die Beibehaltung des sichtbaren Berichts-Buttons und die Förderung der Personalverantwortung bleibt von entscheidender Bedeutung. Der Unterschied ist, dass jetzt der Motor hinter diesem Knopf nicht ein ausbeutebarer Flaschenhals sein wird, sondern eine widerstandsfähige Barriere: ein System, das nicht ermüdend ist und in Minuten eine Bewertung mit Beweisen liefert.
Für Organisationen, die Lösungen bewerten, ist es nützlich, die von der Sicherheitsgemeinschaft und öffentlichen Agenturen veröffentlichten Forschungs- und Reiseführer zu überprüfen, wie die technische Dokumentation der Mail-Authentifizierung in Microsoft (Microsoft: Postschutz) oder praktische Empfehlungen zu Phishing und Reaktion der CISA-Agentur (CISA: Anti-Phishing-Beratung). Darüber hinaus bieten die jährlichen Zwischenberichte einen Kontext, in dem der größte Schaden bei Ausfall der Früherkennung auftritt, wie etwa Branchenberichte über Lücken (Verizon DRIR).
Es gibt keine magische Lösung, aber es gibt einen klaren Weg: Prozesse und Technologien zu entwerfen, die die Abhängigkeit von menschlichem Gedächtnis und Widerstand von Lastspitzen reduzieren, während die Fähigkeit der Analysten, mit Kriterien zu intervenieren. Einige kommerzielle Plattformen wenden bereits Agentiva-Architekturen an, um "vorbereitet zu entscheiden" Forschung zu produzieren und die Auflösungszeiten drastisch zu reduzieren; die Fähigkeiten und Transparenz dieser Werkzeuge zu kennen ist ein Schritt, den jeder SOC jetzt nehmen sollte.
Am Ende erfordert eine effektive Verteidigung gegen Kampagnen, die das menschliche Team erschöpfen wollen, einen Perspektivenwechsel: Hör auf, jede Post als isolierte Einheit zu sehen und die Forschung als eine Kette von Entscheidungen zu leiten. Wenn das Ziel des Angreifers ist, Ihre Aufmerksamkeit zu konsumieren, ist die beste Antwort, eine Untersuchung zu erstellen, die nicht müde ist. Technische Informationen zu Plattformen, die spezialisierte und solide auditierbare Akteure implementieren, können für Lösungen zu diesem Ansatz konsultiert werden. (mehr Informationen zu CognitiveSOC).
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...