Wenn Cyberangriffe in einer Flut von Fehlalarmen untergehen
©
Sicherheitswarnungen sind nicht nur in der Welt der Cybersecurity unabdingbar. Je häufiger solche Warnungen jedoch auftreten und je öfter sich die vermeintlichen Bedrohungen als Fehlalarm entpuppen, desto unglaubwürdiger wird jeder weitere Alarm. Oftmals ist hier auch von einer fatalen Alarm-Müdigkeit die Rede. Denn die Gefahr, tatsächliche Infektionen zu verharmlosen bzw. in einer Welle vieler Fehlalarme zu übersehen, steigt mit der Anzahl an Fehlmeldungen. Wie der 2017 Annual Cybersecurity Report von Cisco zu Tage gebracht hat, werden nur rund 56 Prozent aller Sicherheitswarnungen, die bei einem Security-Manager durchschnittlich pro Tag eingehen, überhaupt weiter untersucht.
Warnungen über Warnungen
Als Reaktion auf das zunehmende Scheitern herkömmlicher Antivirus-Lösungen beim Identifizieren raffinierterer Malware hat die Sicherheitsindustrie eine ganze Reihe von Alarmtechnologien entwickelt – von Intrusion Detection-Produkten über im Netzwerk installierte Black Boxes, die Unregelmäßigkeiten aufzeigen, bis hin zu Sandbox- und Threat Intelligence-Lösungen. All diese Technologien eint das unaufhörliche Ausschauhalten nach Indikatoren einer möglichen Kompromittierung der Systeme, auch Indicators of Compromise (IoC) genannt. Dieser nicht endenden Flutwelle von Alarmen und Sicherheitswarnungen bezüglich möglicher Infektionen, Störfalle und Manipulationen verdanken wir wiederum einen umfangreichen Markt für Alarm-Konsolidierungs- und Korrelations-Tools, Koaleszenztechnologien, Big Data-Analysen, Attribution biased Triage und so weiter und so fort. Dieser Informationsüberfluss mag primär gut gemeint sein, setzt Unternehmen jedoch unter Druck. Immerhin beansprucht die Abklärung all der Warnungen und Unregelmäßigkeiten meist mehr Ressourcen als überhaupt verfügbar sind.
Darum sind IoC-basierte Ansätze kontraproduktiv
Ungeachtet der Tatsache, dass dieser IoC-basierte Sicherheitsansatz mit unnötig vielen False Positives verbunden ist, setzen viele Sicherheitsverantwortliche in Unternehmen auch heute noch stark darauf. Sie denken, dass sie Best Practice-Methoden einsetzen, wenn sie gleichzeitig so viele verschiedene Technologien wie möglich einsetzen und doch nur darauf hoffen können, dass Angriffsversuche so präzise wie möglich entdeckt und gemeldet werden und keine gefährliche Infektion unentdeckt bleibt. Der Aufwand, den es benötigt zu kontrollieren, ob im Falle der IoC-basierten-Warnungen auch tatsächlich reale Bedrohungen vorliegen und falls ja, ob es zu erfolgreichen Angriffen gekommen ist oder diese vorzeitig von anderen Mechanismen gestoppt wurden, ist jedoch uferlos und in Anbetracht der Komplexität der Angriffe eine Sisyphusarbeit.
Bedrohungserkennung auf Basis von Verhaltensanalyse
Tatsache ist, dass IoC-basierte Warnungen nur mehr oder weniger aussagekräftige Hinweise auf mögliche Angriffe liefern und je mehr Quellen für derartige Hinweise vorliegen, desto höher ist die Wahrscheinlichkeit von Fehlalarmen. Unternehmen, die dieses Problem umgehen möchten, müssen den Fokus der Sicherheitsmeldungen deshalb neu ausrichten. Warnungen müssen demnach tatsächliche Begebenheiten d.h. reelle Aktivitäten und Vorgänge fokussieren, anstatt weiterhin ungefiltert und im Gießkannenprinzip sämtliche potenzielle Sicherheitsprobleme zu melden. Und welcher Ort könnte für eine Untersuchung der tatsächlichen Begebenheiten geeigneter sein der Endpunkt selbst?
Der einzige Ausweg aus der oben beschriebenen Alarm-Müdigkeit liegt also in der Abkehr von indikativen Sicherheitswarnungen und den damit verbundenen Problemen hinsichtlich Aufwand, Fehlerhaftigkeit und Kosten. Vielmehr müssen Unternehmen Endpunktschutzlösungen der nächsten Generation fokussieren, die auf innovativen Ansätzen wie dynamischen Verhaltensanalyse-Techniken und intelligenter Automatisierung basieren und in der Lage sind, schadhaften Code anhand seines Verhaltens bei der Ausführung auf dem Endpoint in Echtzeit zu identifizieren.
Der Vorteil von Next Generation-Lösungen ist also nicht nur die Tatsache, dass sie im Vergleich zu herkömmlichen Signatur-basierten Lösungen auch neue und unbekannte Malware abwehren können. Vielmehr ist auch ihr Warn-Ansatz um einiges effektiver, denn sie sie melden sich nur dann, wenn tatsächlich etwas Schadhaftes vor sich geht, und nicht bereits dann, wenn potenziell schafhafte Situationen bevorstehen könnten.
Warnungen über Warnungen
Als Reaktion auf das zunehmende Scheitern herkömmlicher Antivirus-Lösungen beim Identifizieren raffinierterer Malware hat die Sicherheitsindustrie eine ganze Reihe von Alarmtechnologien entwickelt – von Intrusion Detection-Produkten über im Netzwerk installierte Black Boxes, die Unregelmäßigkeiten aufzeigen, bis hin zu Sandbox- und Threat Intelligence-Lösungen. All diese Technologien eint das unaufhörliche Ausschauhalten nach Indikatoren einer möglichen Kompromittierung der Systeme, auch Indicators of Compromise (IoC) genannt. Dieser nicht endenden Flutwelle von Alarmen und Sicherheitswarnungen bezüglich möglicher Infektionen, Störfalle und Manipulationen verdanken wir wiederum einen umfangreichen Markt für Alarm-Konsolidierungs- und Korrelations-Tools, Koaleszenztechnologien, Big Data-Analysen, Attribution biased Triage und so weiter und so fort. Dieser Informationsüberfluss mag primär gut gemeint sein, setzt Unternehmen jedoch unter Druck. Immerhin beansprucht die Abklärung all der Warnungen und Unregelmäßigkeiten meist mehr Ressourcen als überhaupt verfügbar sind.
Darum sind IoC-basierte Ansätze kontraproduktiv
Ungeachtet der Tatsache, dass dieser IoC-basierte Sicherheitsansatz mit unnötig vielen False Positives verbunden ist, setzen viele Sicherheitsverantwortliche in Unternehmen auch heute noch stark darauf. Sie denken, dass sie Best Practice-Methoden einsetzen, wenn sie gleichzeitig so viele verschiedene Technologien wie möglich einsetzen und doch nur darauf hoffen können, dass Angriffsversuche so präzise wie möglich entdeckt und gemeldet werden und keine gefährliche Infektion unentdeckt bleibt. Der Aufwand, den es benötigt zu kontrollieren, ob im Falle der IoC-basierten-Warnungen auch tatsächlich reale Bedrohungen vorliegen und falls ja, ob es zu erfolgreichen Angriffen gekommen ist oder diese vorzeitig von anderen Mechanismen gestoppt wurden, ist jedoch uferlos und in Anbetracht der Komplexität der Angriffe eine Sisyphusarbeit.
Bedrohungserkennung auf Basis von Verhaltensanalyse
Tatsache ist, dass IoC-basierte Warnungen nur mehr oder weniger aussagekräftige Hinweise auf mögliche Angriffe liefern und je mehr Quellen für derartige Hinweise vorliegen, desto höher ist die Wahrscheinlichkeit von Fehlalarmen. Unternehmen, die dieses Problem umgehen möchten, müssen den Fokus der Sicherheitsmeldungen deshalb neu ausrichten. Warnungen müssen demnach tatsächliche Begebenheiten d.h. reelle Aktivitäten und Vorgänge fokussieren, anstatt weiterhin ungefiltert und im Gießkannenprinzip sämtliche potenzielle Sicherheitsprobleme zu melden. Und welcher Ort könnte für eine Untersuchung der tatsächlichen Begebenheiten geeigneter sein der Endpunkt selbst?
Der einzige Ausweg aus der oben beschriebenen Alarm-Müdigkeit liegt also in der Abkehr von indikativen Sicherheitswarnungen und den damit verbundenen Problemen hinsichtlich Aufwand, Fehlerhaftigkeit und Kosten. Vielmehr müssen Unternehmen Endpunktschutzlösungen der nächsten Generation fokussieren, die auf innovativen Ansätzen wie dynamischen Verhaltensanalyse-Techniken und intelligenter Automatisierung basieren und in der Lage sind, schadhaften Code anhand seines Verhaltens bei der Ausführung auf dem Endpoint in Echtzeit zu identifizieren.
Der Vorteil von Next Generation-Lösungen ist also nicht nur die Tatsache, dass sie im Vergleich zu herkömmlichen Signatur-basierten Lösungen auch neue und unbekannte Malware abwehren können. Vielmehr ist auch ihr Warn-Ansatz um einiges effektiver, denn sie sie melden sich nur dann, wenn tatsächlich etwas Schadhaftes vor sich geht, und nicht bereits dann, wenn potenziell schafhafte Situationen bevorstehen könnten.