Olivier Le Moal - stock.adobe.co
Leidet die IT-Sicherheit unter der Flut der Warnmeldungen?
Die Zahl der Sicherheitsalarme, die IT-Abteilungen täglich verarbeiten müssen, wächst stetig. Das erhöht das Risiko, den entscheidenden Hinweis zu verpassen.
Da sich das globale Cybersicherheitsklima weiter verschärft, sehen sich IT-Sicherheitsexperten einem rapide ansteigenden Alarmniveau ausgesetzt. Und auch wenn die Zahl möglicherweise zu hoch gegriffen scheint, müssen dennoch viele Sicherheitsteams tagtäglich jeweils mehr als eine Million Sicherheitsalarme bewältigen.
Diese Warnungen können viele Formen annehmen. Von Malware-Meldungen bis hin zu Hinweisen bei falscher Passworteingabe, Zugriffsversuchen auf Root- oder deaktivierten Konten, der Installation neuer Dienste oder einem der anderen Alarme, die von den vielen Security-Werkzeugen innerhalb eines Unternehmens generiert werden. Die Liste scheint endlos.
Diese Lawine an Sicherheitswarnungen behindert Sicherheitsexperten unnötig bei ihrer eigentlichen Arbeit und kostet Unternehmen Zeit – und bares Geld.
Alarm-Müdigkeit
Mögliche Folgen dieser „Überbenachrichtigung“ sind die sogenannte Alarm-Müdigkeit oder Alarmermüdung beziehungsweise Alert Fatigue, Frustration und Desensibilisierung für das, was als unkontrollierbar empfunden wird.
Die meisten von uns kennen das Phänomen bereits aus dem täglichen Leben. Das Telefon klingelt zum zwanzisgten Mal in Folge, während man versucht, eine Präsentation vorzubereiten. Oder im E-Mail-Posteingang warten 50 ungelesene Nachrichten, die alle innerhalb der letzten halben Stunde eingegangen sind. Der einfache Weg ist, das klingelnde Telefon und die wartenden E-Mails zu ignorieren, um die anstehenden Aufgaben zu bewältigen.
Alarm-Müdigkeit hat für normale Arbeitnehmer weitaus weniger Folgen als für Sicherheitsteams. Denn dort kann sie echten Schaden anrichten.
Fehler können ablenken
So nimmt beispielsweise ein „False Positive“-Sicherheitsalarm oder eine andere Art von fehlerhaftem Alarm viel Zeit in Anspruch. Zeitverschwendung führt unweigerlich zu Geldverschwendung und lenkt die IT von der Bewältigung dringender oder wichtiger Aufgaben ab.
Um effizienter arbeiten zu können, beginnen viele Sicherheitsexperten, diese Mitteilungen im Alltag zu ignorieren oder ganz abzuschalten. So hat unsere jüngste Umfrage ergeben, dass, wenn das Security Operations Centre (SOC) zu viele Alerts zu verarbeiten hat, fast jeder Zehnte (neun Prozent) die Warnungen vollständig abschaltet.
Während viele der Hinweise, die die Sicherheitsteams erreichen, Fehlalarme darstellen, warnen viele auch vor Ereignissen, die, wenn sie ignoriert werden, eine Organisation ernsthaft gefährden können – wie bei dem US-amerikanischen Einzelhandelsriesen Target im Jahr 2014. Im Rahmen dieses Vorfalls wurden die Kreditkarten- und weitere persönliche Daten von über 100 Millionen Kunden gestohlen. Dabei deutet alles darauf hin, dass das Sicherheitsteam des Unternehmens kritische Malware-Alerts ignorierte, weil es in der Vergangenheit zu viele dieser Warnungen erhalten hatte und alle „False Positives“ waren. Nur dass es in diesem Fall eben keine Fehlalarme waren – was am Ende Schäden in Millionenhöhe verursachte.
Die Lawine kann gestoppt werden
Da IT-Sicherheitsteams bereits von Haus aus meist dünn besetzt sind, erhöht die Wahrscheinlichkeit, kritische Meldungen zu verpassen, nur unnötig den Druck, der auf den Mitarbeitern lastet. Doch nicht alle Unternehmen haben den Luxus, mehr Personal einzustellen, wenn das Alarmvolumen steigt.
„Die Zeit, die Sicherheitsteams damit verbringen, False-Positives und reale Bedrohungen zu trennen, ist Zeit, die nicht damit verbracht wird, kritische Sicherheitsprobleme des Unternehmens zu bekämpfen.“
Eldad Chai, Imperva
Die Bewältigung dieser Arbeitslast erfordert eine konsequente Unterstützung, die nicht nur Tausende von Sicherheitswarnungen in verschiedenen Umgebungen gruppiert, konsolidiert und analysiert, sondern auch die kritischsten Sicherheitsereignisse präzise identifiziert und das Rausch-Signal-Verhältnis durch weniger, aber genauere Alerts reduziert.
Da Genauigkeit und Zuverlässigkeit hier eine entscheidende Rolle spielen, setzen viele Unternehmen auf künstliche Intelligenz (KI) und maschinelles Lernen, um die Meldungserkennung wieder auf ein verlässliches Niveau zu bringen.
Durch die Automatisierung der Meldungsprüfung und -eskalation zur Bewältigung einiger der häufigsten Hinweise (beispielsweise fehlgeschlagene Anmeldungen, Phishing-Versuche, Malware-Erkennung) kann die KI dazu beitragen, die Erkennung von Bedrohungen zu vereinfachen, so dass sich die Sicherheitsteams auf die eigentlichen Bedrohungen konzentrieren können.
Da Unternehmen ihre globalen IT-Ressourcen weiter ausbauen und eine Vielzahl von Sicherheitswerkzeugen zum Schutz dieser Ressourcen einsetzen, ist zu erwarten, dass die Anzahl der Warnungen weiter zunehmen wird. Die Zeit, die Sicherheitsteams damit verbringen, False Positives und reale Bedrohungen zu trennen, ist Zeit, die nicht damit verbracht wird, kritische Sicherheitsprobleme des Unternehmens zu bekämpfen.
Unternehmen müssen deshalb erkennen, wie wichtig es ist, den Druck auf ihre Sicherheitsteams zu verringern. Nur so können sie sich wirksam vor den immer gerissener agierenden Cyberkriminellen schützen.
Über den Autor:
Eldad Chai ist SVP Produkt-Management bei Imperva.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!