SIEM - IDS - NDR

ExtraHop: False Positives sind nur ein Teil eines größeren Cybersecurity-Problems

, München, ExtraHop | Autor: Mike Campfield

ExtraHop: False Positives sind nur ein Teil eines größeren Cybersecurity-Problems

False Positives sind ein Symptom eines Problems, nicht die Ursache

Von Mike Campfield, VP und GM für internationale und globale Sicherheit, ExtraHop

Mike Campfield, VP und GM für internationale und globale Sicherheit bei ExtraHop

„Sicherheitsmüdigkeit" ist ein echtes Problem. Einem aktuellen Bericht des SANS Institute zufolge ist Alarmmüdigkeit eines der größten Hindernisse für die Bindung von Top-Sicherheitstalenten. Viele der gebräuchlichsten Sicherheitstools, darunter SIEM-Tools (Security Incident and Event Management) und IDS (Intrusion Detection Systems), sind notorisch "verrauscht" und registrieren zahlreiche Fehlalarme, denen Sicherheitsanalysten dann nachgehen müssen. Die Häufigkeit von False Positives kann dazu führen, dass echte Erkennungen übersehen oder aufgrund von Zeit- und Ressourcenmangel übersehen werden.

Natürlich sind False Positives ein echtes Problem, das die ohnehin schon knappen Sicherheitsressourcen strapaziert. Aber False Positives sind ein Symptom eines Problems, nicht die Ursache. Was ist also die Ursache für das Problem der Warnmeldungen? Und was kann getan werden, um es zu beheben?

Zunehmende Komplexität

Es ist kein Geheimnis, dass IT-Umgebungen jeden Tag komplexer werden. Multiple Cloud- und Hybrid-Cloud-Umgebungen erhöhen die Agilität, aber sie erschweren es, ein einheitliches Bild der Aktivitäten in der gesamten Umgebung zu erhalten. Remote-Mitarbeiter führen neue Geräte ein, die möglicherweise schlecht oder gar nicht verwaltet werden. Die Einführung von 5G und Fortschritte bei intelligenten Geräten bedeuten, dass immer mehr Systeme auf Netzwerkressourcen angewiesen sind und sich mit diesen verbinden, und diese Geräte lassen sich möglicherweise gar nicht mit herkömmlichen Mitteln verwalten.

All diese miteinander verbundenen Systeme tragen selbst zum "Rauschen" bei – eine Herausforderung, die durch die Tatsache verstärkt wird, dass es mit vielen herkömmlichen Sicherheitstools sehr schwierig ist, das Verhalten in diesen unterschiedlichen Umgebungen und Gerätetypen zu korrelieren, wenn man überhaupt auf diese Daten zugreifen kann.

Unvollständige Daten

Im Security-Bereich sind die Geschwindigkeit und die Genauigkeit der Daten entscheidend. Sicherheitsanalysten benötigen Echtzeitinformationen darüber, was in ihrer Umgebung passiert, aber sie haben oft Schwierigkeiten, sich ein vollständiges Bild zu machen. Das liegt daran, dass die Daten, auf die sich viele Tools, einschließlich SIEM, traditionell verlassen haben, unvollständig sind.

SIEM-Tools sind im Wesentlichen Aggregatoren von Protokolldaten. Sie sammeln Logs aus der gesamten Infrastruktur und geben dann Warnungen aus, in der Regel ohne Kontext, damit die Sicherheitsteams versuchen können, diese zu sortieren und zu priorisieren. Erschwerend kommt hinzu, dass die Protokollierung selbst fast immer unvollständig ist. In den meisten Unternehmen ist die Protokollierung nicht für jeden Teil der Infrastruktur aktiviert. Häufige Angriffsmuster nutzen Dinge wie DNS, das fast unmöglich zu protokollieren ist, was große Lücken in der Transparenz hinterlässt. Es kann auch schwierig sein, neue Daten-Feeds zu SIEM-Produkten hinzuzufügen und bestehende Feeds einfach zu verfolgen.

Infolgedessen basieren die von den meisten SIEM-Tools ausgegebenen Alarme nur auf einer Momentaufnahme von Daten, was es schwierig macht, festzustellen, welche Alarme falsch sind, und die Sicherheitsteams dazu veranlasst, sich durch Tausende von potenziellen Sicherheitsvorfällen zu wühlen (und diese allzu oft zu ignorieren). Und das gilt nicht nur für SIEM. Firewalls und Antiviren-Software beziehen ihre Informationen oft aus dem SIEM, was zu ähnlichen Problemen mit der Datenqualität führt.

Statische Intelligenz

Aber es ist nicht nur die Qualität der Daten, die die Ursache für False Positives ist. Es liegt auch an der statischen Natur vieler gängiger Sicherheitstools. SIEM-Produkte erfordern traditionell viel Arbeit bei der Konfiguration und Verwendung, und die Protokolle, auf denen sie basieren, werden ebenfalls manuell konfiguriert und passen sich nicht selbst an.

Wie SIEM müssen auch IDS und Firewalls manuell konfiguriert werden, um Bedrohungsaktivitäten anhand von Regeln und Signaturen zu erkennen. Dies ist zwar wichtig, um bekanntes bösartiges Verhalten zu erkennen, kann aber auch dazu führen, dass wiederholt und eindringlich vor Verhalten gewarnt wird, das für eine bestimmte Umgebung normal ist, während zuvor nicht identifizierte bösartige Verhaltensmuster gänzlich übersehen werden.

Endpunkt-Schutzplattformen und Antiviren-Tools bieten nur Sichtbarkeit für Geräte, die instrumentiert werden können, und während die große Mehrheit der Endpunkte in Rechenzentren auf diese Weise verwaltet werden kann, ist dies bei der explodierenden Anzahl von IoT- und OT-Geräten nicht möglich. Selbst bei Geräten, die von diesen Tools verwaltet werden können, erfordert die Instrumentierung mit dem richtigen Agenten in der Regel einen manuellen Prozess.

Reagieren Sie auf relevante Alarme

Veraltete Technologien wie IDS haben der Netzwerksicherheit einen schlechten Ruf eingebracht, aber das Netzwerk ist tatsächlich unglaublich wertvoll, wenn es um Erkennung und Reaktion geht.

Fortschritte im Bereich des maschinellen Lernens (ML) und der Verhaltensanalyse haben es möglich gemacht, nicht nur den Netzwerkverkehr zu analysieren, sondern auch eine hochgradig zuverlässige Erkennung abzuleiten, so dass sich die Teams auf die wirklich wichtigen Bedrohungen konzentrieren können, anstatt falschen Positivmeldungen nachzujagen.

Durch die Analyse des Netzwerkverkehrs, basierend auf der Komplexität des anomalen Verhaltens, der Wahrscheinlichkeit eines Problems und der Häufigkeit, kann das Risiko eines Alarms bewertet werden. Dieses System bewertet von niedrig über mittel bis hoch, um das Risiko des Alarms statistisch zu bestimmen, was bedeutet, dass Sicherheitsteams die Zeit zurückgewinnen können, die sie mit der Untersuchung von Fehlalarmen verbringen.

ML und verhaltensbasierte Erkennungen haben auch den Vorteil, dass sie unbekannte Angriffsvektoren erkennen können, da sie nicht auf Signaturen angewiesen sind, wie IDS- und SIEM-Tools. Sie sind in der Lage, IOCs zu erkennen, die noch nicht weithin identifiziert wurden, indem sie ML verwenden, um prädiktive Verhaltensprofile zu erstellen.

Die verhaltensbasierte Erkennung verschafft den Teams schlüssigere Einblicke in Sicherheitsereignisse und liefert Beweise auf forensischer Ebene, die die Teams nutzen können, um den Umfang des Vorfalls zu verstehen und zu melden.

Das Netzwerk hat auch einen großen Vorteil gegenüber anderen Datensätzen. Im Gegensatz zu Protokollen, die gelöscht werden können, oder zu Agenten, die von Bedrohungsakteuren entdeckt und deaktiviert werden können, ist das Netzwerk passiv und außerhalb des Netzwerks.

Angesichts fortschrittlicherer Bedrohungen und komplexer Umgebungen müssen Sicherheitsteams die Sichtbarkeit erhöhen, den Warnkontext kennen und die Möglichkeit haben, schnell auf legitime Bedrohungen zu reagieren. Das Netzwerk nimmt den Sicherheitsteams das Rätselraten ab und bedeutet, dass sie ihre Bemühungen auf Bedrohungen konzentrieren können, die eine genauere Untersuchung oder ein Eingreifen erfordern, anstatt auf niedrigschwellige Fehlalarme.

Das effiziente Abarbeiten der Warteschlange auf der Grundlage von Echtzeit-Analysen führt zu zufriedeneren SOC-Analysten und letztlich zu einer besseren Sicherheit für das Unternehmen. Die verhaltensbasierte Erkennung ist die Anekdote für die "Alarmmüdigkeit" des Sicherheitsteams.