SOC-Teams kennen das Problem: Cybersicherheitslösungen können False Positives (falsch positive Meldungen) erzeugen – diese sind einer der Gründe für Alert-Müdigkeit. Dieses in den letzten Jahren aufgetretene Phänomen bezeichnet die Anhäufung von Sicherheitsereignissen und den „Krach“, mit denen Administratoren sich täglich auseinandersetzen müssen. Falsch positive Meldungen können aber auch dafür verantwortlich sein, dass die Aktivitäten von Mitarbeitern blockiert werden. False Positives und Cybersicherheit – die Entschlüsselung eines IT-Phänomens.
Laut der Studie The Orca Security 2022 Alert Fatigue Report werden 20 % der Sicherheitswarnungen in der Cloud als False Positives eingestuft. Abgesehen von den direkten Folgen, wie die Blockierung der Aktivitäten von Mitarbeitern, sowie den Auswirkungen auf die Moral von IT-Teams: Welche weiteren Konsequenzen haben False Positives auf die Sicherheit eines Unternehmens? Was ist die Ursache und wie kann dieses Phänomen eingedämmt werden? Erfahren Sie, warum.
Das Sandkorn der falsch positiven Ergebnisse
Was sind False Positives? False Positives sind falsche Warnungen, Benachrichtigungen oder Reaktionen auf eine Situation, die als Problem oder sogar Bedrohung für die Computer oder das Netzwerk eines Unternehmens angesehen wird. Solche falsch positiven Meldungen können z. B. durch eine Fehlinterpretation der SOC-Teams entstehen. Oder sie treten direkt auf der Ebene von Cybersicherheitslösungen auf, wie beispielsweise EDR (Endpoint Detection & Response), Firewalls und anderen Systemen zur Verhinderung von Datenverlust (Data Loss Prevention – DLP), in Form eines legitimen Datenstroms, der als gefährlich eingestuft wird, einer legitimen Website, die als bösartig eingestuft wird, oder einer legitimen Nachricht, die als unerwünscht eingestuft wird…
Welche Risiken entstehen durch die Erzeugung von False Positives? Die Erzeugung von falsch positiven Meldungen in der Cybersicherheit kann das gesamte Unternehmen oder Teile davon betreffen und eine Reihe von Fehlfunktionen in der ISS-Entscheidungskette hervorrufen.
- Auswirkungen auf den Geschäftsbetrieb: Durch das Auslösen von automatischen Korrekturmaßnahmen im Zusammenhang mit False Positives können Serviceausfälle auftreten. Durch die falsche Analyse von Informationen blockieren einige Sicherheitslösungen die Funktion eines Tools oder den Zugriff auf eine Ressource, obwohl beides legitim ist. So können Mitarbeiter an der Arbeit gehindert werden.
- Geringeres Vertrauen in Erkennungslösungen: Die wiederholte Generierung von False Positives kann zu einem Vertrauensverlust der Mitarbeiter in die Lösungen und den Schutz, aber auch zu mangelndem Vertrauen der Analysten in die Relevanz der Erkennungssysteme führen. Die Nutzungsrate von Lösungen sowie die Wachsamkeit sinken, was die Entstehung echter Bedrohungen begünstigt.
- Verschwendete Zeit und Ressourcen: In einem Umfeld, in dem die Arbeitsbelastung der Sicherheitsteams bereits sehr hoch ist, erfordern False Positives zusätzliche Überprüfungen. Dieser unnötige Schritt führt zu einem Verlust an Zeit und betrieblicher Effizienz, da die Experten von den Fällen abgelenkt werden, die stattdessen priorisiert werden müssten. Laut derselben Orca-Studie gab mehr als die Hälfte der Befragten an, dass ihr Team in der Vergangenheit wichtige Alerts aufgrund einer ineffizienten Priorisierung von Warnmeldungen, die häufig auf wöchentlicher oder sogar täglicher Basis auftraten, verpasst hatte.
Dieses Phänomen wird auch in Industrieumgebungen aufgrund von Kommunikationsproblemen beobachtet, wie Vincent Nicaise, Manager für Industriepartner und Industrieumgebungen bei Stormshield, erläutert: „Es ist nicht ungewöhnlich, dass eine Wartung an einer Maschine geplant wird, ohne dass das SOC-Team zuvor informiert wurde. In diesem Szenario trifft der Techniker vor Ort ein und nimmt seine Änderungen vor. Diese Wartungsmaßnahme erzeugt Traffic, der vom SOC-Team als Anomalie interpretiert werden könnte. Daraufhin wird eine Untersuchung eingeleitet: Das SOC-Team informiert das lokale Team über eine potenzielle Anomalie und fordert eine Überprüfung vor Ort an. Aber am Ende stellt sich heraus, dass es sich lediglich um eine Wartungsmaßnahme gehandelt hatte, und diese ganze Phase der Erkennung und Überprüfung hat unnötig Zeit und Ressourcen verbraucht.“
Wie kann man falsch positive Meldungen reduzieren?
Hinter dieser ersten Frage verbirgt sich eigentlich eine umfassendere Überlegung, die das entgegengesetzte Risiko – falsch negativen Ergebnisse – einschließt: Sollte man lieber zu viel oder zu wenig blockieren? Unter dem Deckmantel dieser absichtlich provokanten Formulierung kehrt die ewige Debatte um Sicherheitsprojekte und sogar um die Integration von Sicherheitsprodukten in den operativen Alltag von Teams zurück. Denn wenn ein Sicherheitsprodukt „zu viel“ blockiert, insbesondere legitime Nutzungen und Programme, besteht die Gefahr, dass die Benutzerbasis das Produkt ablehnt. Dies kann dazu führen, dass Benutzer versuchen, dem jeweiligen Sicherheitsprodukt auszuweichen oder es sogar zu deinstallieren… Alles dies ist eine Frage des richtigen Maßes, erklärt Edouard Simpère, Leiter der Abteilung für Threat Intelligence bei Stormshield: „Bei einem Produkt, das weniger blockiert, ist der geschützte Perimeter zwangsläufig kleiner, aber auch das Risiko, dass Aktivitäten blockiert werden, ist geringer. Und vor allem stößt das Produkt bei den Benutzern nicht auf Vorbehalte. Der Grat zwischen bösartigem und legitimem Verhalten ist manchmal so schmal, dass man, wenn man Angreifer blockieren will, am Ende vor allem sich selbst blockiert.“ Um diesen Cyberschutz abzurunden, werden EDR-Lösungen immer wichtiger. Die Krux besteht nicht länger darin, alles um jeden Preis zu blockieren, sondern Blockademaßnahmen müssen smarter werden, und zwar auf der Basis der Erkennung. Die Benutzer werden dadurch nicht gestört, da das Sicherheitsprodukt transparent ist und die IT-Abteilung (sowie die Abteilung für Cybersicherheit) mit Sicherheitswarnungen versorgt wird.
Die Frage nach der Reduzierung von False Positives bleibt dennoch relevant: Wie können Sicherheitssysteme falsch positive Meldungen minimieren? Und die Antwort darauf ist die Anpassung der Erkennungsregeln durch maschinelles Lernen oder auch durch künstliche Intelligenz. Auf der Grundlage von Echtzeitdaten zum Netzwerk-Traffic sowie von Sicherheitsprotokollen werden die Erkennungsregeln angepasst und auf die Realität des Unternehmens und seine Arbeitsweise zugeschnitten. Regelmäßige (oder sogar automatische) Aktualisierungen der Standardschutzrichtlinien sowie der Sicherheitsdatenbanken, aber auch die Bereitstellung von Sonderregeln für bestimmte Anwendungen, die häufig genutzt werden, aber anfällig für spezifische False-Positive-Fälle sind, bilden den Kern des Schutzes von Unternehmen. Dieser iterative Prozess muss jedoch fein gesteuert werden, um die Erkennungsschwelle nicht zu senken. Um diesen Schutz durch die Identifizierung neuer Angriffstechniken und der damit verbundenen verdächtigen Verhaltensweisen zu ergänzen, ist es ebenfalls wichtig, sich auf Analysen von Cyberangriffen und Referenzen wie MITRE ATT&CK zu stützen. All diese Einstellungen können sich als komplex erweisen und setzen voraus, dass Sie die Sicherheitslösungen, die Funktionsweise ihrer Engines und die von ihnen gesendeten Protokolle gut kennen. Mehrere andere Wege im Hinblick auf die Kommunikation innerhalb des Unternehmens können ebenfalls zu einer Reduzierung von False Positives führen, ohne das Sicherheitsniveau zu senken:
- Kontextualisierung der Daten in Bezug auf Aktionen vor Ort: Telemetriedaten müssen in Bezug auf die Produktionsumgebung kontextualisiert werden. Ohne Kontextualisierung könnten Rohdaten falsch interpretiert werden. Beispielsweise beruht auf der Netzwerkseite die IPS-Engine (Intrusion Prevention System) auf einer gezielten Protokollanalyse in Netzwerkpaketen. Ein weiteres Beispiel in Bezug auf Endgeräte ist die Kontextualisierung von WLAN-Verbindungen.
- Ein besseres Verständnis von IT- und OT-Umgebungen: Da jede Umgebung ihre technischen Besonderheiten hat, müssen die Erkennungsmechanismen das Konzept des Kontexts einbeziehen. Ohne vorheriges Verständnis wäre ein Analyst nicht in der Lage zu entscheiden, ob die zurückverfolgte Information legitim ist oder nicht.
- Einführung eines einheitlichen Kommunikationsniveaus zwischen dem ISS- und dem Produktionsteam: Durch die Einführung eines strikten Kommunikationsprozesses, z. B. bei Interventionen oder Wartung, können Fehler vermieden werden.
False Positives: Wie sieht die Zukunft aus?
EDR, NDR, XDR, MDR: Die Abkürzungen werden immer zahlreicher und zeugen von einer Spezialisierung des Detection & Response-Ansatzes in Cybersecurity-Produkten. Ergänzend dazu erweitern die Teams für Threat Intelligence und Threat Hunting ihre Möglichkeiten zur Erkennung besonders raffinierter Cyberangriffe. Teams, die nach Indikatoren für Angriffe (Indicator of attack – IoA) und Kompromittierungen (Indicator of compromise – IoC) suchen und dabei ein doppeltes Ziel verfolgen: die Kenntnis der Bedrohung und die Reduzierung von False Positives. Beachtenswert ist, dass Endpoint-Schutztools neben der Erkennung auch die Fähigkeit zur Abwehr der Bedrohung beinhalten müssen.
Die Entwicklung einer Architektur namens SOAPA (Security Operations and Analytics Platform Architecture) könnte eine weitere Antwort sein. Die SOAPA-Architektur wurde von John Oltsik, Senior Analyst bei der Enterprise Strategy Group, im Jahr 2016 entwickelt und besteht aus mehreren Produktkategorien, mit denen Daten effizient gesammelt, verarbeitet, geteilt und analysiert werden können. Der Vorteil dieser Architektur besteht darin, dass nur dann eine Warnung an den SOAR-Brick generiert wird, wenn ihre Legitimität gesichert ist. Auf dem Papier kann diese Lösung das Problem also eindämmen, doch die Frage nach dem Zeitaufwand bleibt bestehen.
Doch bis diese Architektur zum Standard wird, müssen sich Unternehmen weiterhin auf bewährte Verfahren und den gesunden Menschenverstand rund um die Reduzierung ihrer Angriffsflächen und den Einsatz automatischer Abhilfemaßnahmen nur für die sensibelsten IT-Bestände verlassen. So kann die Einführung von Best Practices für das Alertmanagement (Nutzung von Verhaltensanalysen, die mit einem Cybersicherheitsreferenzsystem korreliert sind, zusätzlich zu Erkennungsregeln, Prozessautomatisierung, Schulungen für Analysten…) in Kombination mit einem Zyklus der kontinuierlichen Verbesserung der SOC-Prozesse die operativen Fähigkeiten dieses neuralgischen Zentrums der Cybersicherheit erhöhen.
Ganz nach der Redewendung „Zu viele Daten töten die Daten“ bietet sich die Automatisierung der Datenanalyse als interessanter Ansatz an. Das Training von Algorithmen der künstlichen Intelligenz, welche die Einschränkungen der Produktionsumgebung integrieren, könnte zumindest ermöglichen, die einfachsten Warnungen zu bearbeiten und die komplexeren Fälle den Analysten zu überlassen. Andere Möglichkeiten, wie die Frage nach der Relevanz der Daten und ihrer Lebensdauer, könnten ebenfalls dazu beitragen, das erzeugte Volumen zu reduzieren. All dies sind Themen, die sich für zukünftige Artikel eignen.
