mimi - stock.adobe.com
Weniger falsch-positive Ergebnisse für mehr Sicherheit
Wenn Security-Tools falsch-positive Ergebnisse liefern, belegt dies Ressourcen und lenkt von den echten Bedrohungen ab. Mit gezielten Maßnahmen lässt sich die Anzahl reduzieren.
Es ist für kein Security-Team eine wirklich beruhigende Vorstellung, einen Hinweis auf einen Angriff erhalten zu haben, diesen dann aber nicht ernst genug genommen zu haben. Genau dieses Risiko erhöht sich aber durch zu viele Fehlalarme und Falsch Positive, die zu einer Alarmmüdigkeit führen können.
Jedes Security-Tool, das zur Erkennung von Angriffen entwickelt wurde, macht Fehler. Seit Jahrzehnten bemühen sich Forscher und Anbieter, Wege zu finden, um die Genauigkeit der Bedrohungserkennung zu verbessern, ohne die Leistung zu beeinträchtigen.
Die Angriffserkennung ist ein ständiger Balanceakt zwischen Fehlalarmen – wenn ein Tool einen tatsächlichen Angriff nicht erkennt – und Falsch Positiven – wenn ein Tool harmlose Aktivitäten fälschlicherweise als Angriff identifiziert. Techniken, die Fehlalarme reduzieren, führen in der Regel zu einer Zunahme von False Positives. Wenn das Gleichgewicht gestört ist, können Fehlalarme die Arbeit des Sicherheitsteams beeinträchtigen.
Zu den Technologien für Cybersicherheit, die bei der Erkennung von Angriffen Fehlalarme auslösen können, gehören Antimalware, Antiphishing, SIEM, Intrusion Detection and Prevention, DLP, Firewalls sowie EDR.
Security-Verantwortliche sollten sich der Häufigkeit von Fehlalarmen bei Sicherheits-Tools bewusst sein. Mit diesem Wissen können sie eine Strategie entwickeln, wie Sicherheitsteams diese Warnmeldungen reduzieren und gleichzeitig echte Bedrohungen erkennen können. Best Practices, wie die Anpassung von Schwellenwerten an die erwarteten Vorgänge innerhalb des IT-Ökosystems, machen einen großen Unterschied.
Die Gründe für mehr Fehlalarme und Falsch Positive
Angesichts der Vielfalt und Komplexität von Angriffen sind Fehlalarme unvermeidlich. Nur relativ wenige Angriffe sind sofort und eindeutig als bösartig erkennbar. Mit Exploit-Kits und anderen Angreifer-Tools kann jeder schnell und einfach maßgeschneiderte, einzigartige Angriffe generieren. Zwar können Tools die Merkmale gängiger Angriffstypen identifizieren, doch die Einbindung von KI in die Toolkits der Angreifer hat die Individualisierung von Angriffen erheblich verstärkt.
Da Angriffe immer schwieriger zu erkennen sind, produzieren die meisten Tools mittlerweile mehr Fehlalarme und weniger falsche Negativmeldungen. Die eigentliche Gefahr besteht jedoch in unentdeckten Verstößen gegen die Cybersicherheit, weshalb Sicherheitsteams der Minimierung falscher Negativmeldungen Priorität einräumen.
Wie Fehlalarme Sicherheitsteams beeinträchtigen
Falsch-positive Ergebnisse können die Ressourcen für Cybersicherheit erheblich belasten, da jedes einzelne Ergebnis analysiert werden muss, bevor es verworfen werden kann. Wenn zu viele falsche Positive auftreten, lenken sie die Analysten von echten Bedrohungen ab.
In einigen Tools lösen echte und falsche Positive automatisch Aktionen aus, um die beobachtete Aktivität zu stoppen. Wenn dies ohne eine echte Bedrohung geschieht, kann dies die Glaubwürdigkeit des Sicherheitsprogramms beeinträchtigen.
Analysten neigen dazu, Fehlalarme, die im Laufe der Zeit häufig auftreten, zu ignorieren. Es ist nur natürlich anzunehmen, dass eine Warnmeldung, die in der Vergangenheit harmlos war, auch in Zukunft getrost ignoriert werden kann. Beim nächsten Mal könnte es sich bei diesem vermeintlichen Fehlalarm jedoch um einen echten Cyberangriff handeln.
Wie sich Fehlalarme reduzieren lassen
Es ist keine wirklich gute Idee, Fehlalarme vollständig eliminieren zu wollen. Selbst wenn dies möglich wäre, würde dies zu einer erheblichen Zunahme von Falsch-Negativ-Ergebnissen führen. Um Fehlalarme so weit wie möglich zu reduzieren, aktualisieren Sie die Erkennungswerkzeuge, nutzen Sie Layer-Funktionen für eine optimale Leistung und passen Sie die Alarmschwellenwerte genau an.
Tools aktualisieren und patchen
Sicherheitsmaßnahmen sollten die neuesten Patches und Updates für Technologien zur Erkennung von Angriffen enthalten. Um die Genauigkeit zu verbessern, müssen diese Technologien möglichst aktuelle Bedrohungsinformationen nutzen.
Tools sehr fokussiert einsetzen
Setzen Sie mehrere Ebenen von Angriffserkennungstechnologien ein, die unterschiedliche Erkennungs- und Analysemethoden verwenden. Beispielsweise kann eine bestimmte Art von Aktivität häufig dazu führen, dass ein Tool Fehlalarme auslöst, während eine andere Technologie diese Aktivität korrekt als normal oder abnormal erkennt. Ziehen Sie in Betracht, für diesen Angriffsvektor auf das genauere Tool zurückzugreifen. Deaktivieren Sie die Prüfungen, die in dem ineffektiven Tool so viele Fehlalarme auslösen, oder konfigurieren Sie sie so, dass sie protokolliert, aber keine Warnmeldungen ausgeben.
Die Angriffserkennung optimieren
Teams können die Überprüfungen zur Angriffserkennung optimieren, um die Genauigkeit zu verbessern. Überprüfen und passen Sie Schwellenwerte an, wenn harmlose Anomalien als Angriffe gemeldet werden.
Die Optimierung von Warnmeldungen kann auch das Hinzufügen von Kontext umfassen. Der Kontext stammt aus Informationen über die Rollen verschiedener IT-Ressourcen und die Beziehungen zwischen den Ressourcen. Beispielsweise können Server im Rahmen des normalen Betriebs große Datenmengen an einen zentralen Speicher übertragen, aber die Übertragung von Daten an einen externen Speicherort wäre ungewöhnlich.
Security-Verantwortliche sollten die Angriffserkennung sorgfältig anpassen. Stellen Sie sicher, dass Teams Strategien zur Reduzierung von Fehlalarmen testen und überwachen, bevor sie in der produktiv eingesetzt werden.