Cybersicherheit: Wie lassen sich Falsch-Positiv-Meldungen verringern?

Eine immer engmaschigere Überwachung der Netzwerkinfrastruktur lässt die Zahl der Sicherheitswarnungen in die Höhe schnellen. Allerdings neigen IT-Teams dazu, die vermeintlich ständige Schwarzmalerei durch diese Warnungen zu vernachlässigen, was ein kritisches Sicherheitsrisiko für ihr Unternehmen bedeutet.

Immer mehr Unternehmen identifizieren potenziell gefährliche Ereignisse automatisch mithilfe von Korrelationsstrategien, um im Falle eines unerlaubten Eindringens in ihr Computernetzwerk sofort reagieren zu können. Aber es gibt ein Problem: diese engmaschige Überwachung hat oft Hunderte von Warnmeldungen im Monat zur Folge. Eine kontraproduktive Situation, die dazu führt, dass die Teams, die sich um diese Warnungen kümmern sollen, desensibilisiert werden. Um zu verhindern, dass unsere Kunden förmlich in Warnmeldungen untergehen, hat sich das Cybersicherheitsteam von POST eine drastische Reduzierung von Falsch-Positiv-Meldungen auf die Fahnen geschrieben.

Was ist unter einer Falsch-Positiv-Meldung zu verstehen?

Es handelt sich um eine Sicherheitswarnung, die durch „normales“ Verhalten ausgelöst wurde. Die Grundlage für die Überwachung der Netzwerkinfrastruktur bildet die Aufzeichnung von etlichen Millionen Logs. Anschließend werden Szenarien so programmiert, dass, wenn eine Reihe als fragwürdig eingestufter Aktionen durchgeführt wird, ein Sicherheitsalarm ausgelöst wird, den es dann zu überprüfen gilt. Schätzungen zufolge muss man, um die 3 % der tatsächlichen Vorfälle zu identifizieren, 97 % der Warnungen durchgehen, die auf legitimes Verhalten zurückzuführen sind, was 150 Vorfälle pro Kunde pro Monat bedeutet. Damit Sie nicht nach der Nadel im Heuhaufen suchen müssen und eine echte Bedrohung unerkannt bleibt, muss man unbedingt versuchen, die Anzahl der Warnungen zu reduzieren.

Wie kann man die Rate der Falsch-Positiv-Meldungen senken?

Bei der Implementierung des Überwachungssystems für Ihre Infrastruktur setzen wir standardmäßig eine Reihe vordefinierter Regeln ein, die in den meisten Unternehmen mit Gefahr assoziiert werden: zum Beispiel Netzverbindungen außerhalb der Geschäftstage und -stunden. Das Aufzeichnungstool verfügt bereits nach nur einem Tag über eine bedeutende Liste von festgestellten Vorfällen. Dann wird die Feinabstimmungsphase eingeleitet, in der wir unsere Kunden wöchentlich über die im Rahmen der „Regular Reviews“ festgestellten Vorfälle informieren. Für einen begrenzten Zeitraum ist eine solche enge Zusammenarbeit unbedingt erforderlich, um erfolgreich eine Trennlinie zwischen legitimem und verdächtigem Verhalten zu ziehen. Die Cyberforce-Abteilung bemüht sich konkret darum, die Arbeitsgewohnheiten des Unternehmens genau zu verstehen, um eine maßgeschneiderte Einstellung des Erkennungssystems vorzunehmen. Gilt eine Verbindung um 20:00 Uhr noch als legitim? Lässt sich eine Verbindung aus Marokko oder China durch ihre Geschäftsaktivitäten erklären? Wenn dies zutrifft, wird ein entsprechendes Verhalten auf eine „Whitelist“ gesetzt. Unserer Erfahrung nach kann durch diese Feinanalyse von Verhaltensdaten die durch die Sicherheitsüberwachung entstehende Meldungsflut nahezu um 90 % verringert werden.

Die Schattenarmee

Der erste Schritt zur Reduzierung von Falsch-Positiv-Meldungen besteht also darin, die Erkennungsregeln an die Realität Ihrer Arbeitsweise anzupassen. Was geschieht als Nächstes mit den Warnmeldungen? Bei POST werden sie an ein Analystenteam weitergeleitet, das für die Überprüfung in Echtzeit zuständig ist. Diese Analysten werden laufend geschult und kategorisieren die Warnmeldungen mithilfe von vorab festgelegten Verfahren so schnell wie möglich. Denn bei einem unerlaubten Eindringen ist eine schnelle Reaktion entscheidend.

Angriff ist die beste Verteidigung

Bei POST umfasst die Cyberforce-Abteilung mehrere Bereiche, von denen sich zwei besonders gut ergänzen: Während das Blue Team (SOC) mit der Verteidigung befasst ist, kümmert sich das Red Team (COS) um den Angriff. Das Red Team führt regelmäßig Penetrationstests durch und arbeitet mit dem Verteidigungsteam zusammen, sodass zusätzlich ein Purple Team entsteht, das die Genauigkeit bei der Erkennung kontinuierlich verbessern soll.

Angesichts der wachsenden Bedrohungen stellt die steigende Menge an Informationen aus den Erkennungssystemen eine große Herausforderung für die Unternehmen dar. Nur wenn die IT-Abteilungen die Erkennungssysteme so weit wie möglich verfeinern, können Cyberangriffe wirksam bekämpft werden.