Olivier Le Moal - stock.adobe.co
IT-Sicherheit: Die Flut der Warnmeldungen sinnvoll eindämmen
Die stetige Zunahme an Sicherheitsmeldungen und Fehlalarmen kann dazu führen, dass die eine entscheidende Bedrohung übersehen wird. Wie können IT-Teams dem Problem begegnen?
Die meisten Unternehmen haben inzwischen eine Vielzahl von Sicherheitssystemen im Einsatz: Firewalls, Intrusion-Prevention- und Intrusion-Detection-Systeme, Antimalware-Lösungen, Schutzlösungen für Endpunkte und vieles mehr. Und all diese Produkte haben eines gemeinsam: Sie zeichnen emsig alle möglichen Ereignisse auf, analysieren diese und erstatten gegebenenfalls in bester Absicht Bericht darüber und liefern Warnmeldungen aus.
Dies führt jedoch dazu, dass bei IT-Abteilungen und Sicherheitsteams eine Flut von Warnungen eingeht. Diese müssen die Security-Teams wiederum priorisieren und untersuchen, um zu erkennen, ob tatsächlich eine echte Bedrohung dahintersteckt.
So kann es je nach Situation erforderlich sein, dass jede systemgenerierte Warnmeldung ein klein wenig menschliche Aufmerksamkeit und Sachverstand benötigt, um richtig eingeordnet zu werden. Und genau diese Zeit ist in den meisten Teams ausgewiesene Mangelware. Dies kann dazu führen, dass trotz bestem Ansinnen, die eine wichtige Warnmeldung im Rauschen der Fehlalarme untergeht.
Bei einer Umfrage des US-Unternehmens Critical Start im Jahr 2019 haben 50 Prozent der Befragten angegeben, dass 50 Prozent oder mehr der Warnmeldungen tatsächlich Falsch-Positive (False Positive) sind. Um dieser „Alarmmüdigkeit“ (Security Alert Fatigue) entgegen zu wirken, haben 57 Prozent der Befragten einfach die Schwellenwerte oder Alarmfunktionen entsprechend angepasst. Weitere 39 Prozent haben sich entschlossen, bestimmte Alarmkategorien einfach zu ignorieren.
Diese Ansätze klingen nicht wirklich nach einem guten Plan und können im Falle eines Falles verheerende Folgen haben. So musste das US-Einzelhandelsunternehmen Target im Jahr 2013 einen großen Cyberangriff eingestehen. Dort soll trotz vorhandener Warnmeldungen nicht rechtzeitig reagiert worden sein, da ähnliche Warnungen an der Tagesordnung gewesen sein sollen. Daher habe sie das Sicherheitsteam fälschlicherweise als False Positive eingestuft.
Der zunehmende Einsatz von Cloud-Diensten und die damit wachsende Komplexität der IT-Infrastrukturen hat die Situation diesbezüglich noch verschärft. Die Anzahl der Warnmeldungen nimmt dadurch nicht nur weiter zu, diese werden auch immer komplexer. Das ist für CISOs und Sicherheitsverantwortliche eine große Herausforderung, da die einzig plausible Lösung ist, die Anzahl der Alarmmeldungen zu reduzieren, die das eigene Team tatsächlich manuell inspizieren muss.
Wie kann man Alarmmüdigkeit in der IT-Sicherheit begegnen?
Wenn jeden Tag Tausende von Warnungen ausgelöst werden, die aber nie untersucht werden oder von vornherein als falsch-positiv abgetan werden, schadet dies der Gesamtsicherheit. Dies erhöht nur die Wahrscheinlichkeit, dass wirklich wichtige Warnungen verpasst werden, weil nicht genügend Zeit für die eigentliche Überprüfung bleibt.
Wird die Anzahl der Warnmeldungen reduziert, verringert sich die Wahrscheinlichkeit von Fehlalarmen. Zudem verbessert sich bei richtiger Vorgehensweise die Genauigkeit der Alarmmeldungen. Damit erhalten alle Alarme, die generiert werden, tatsächlich verwertbare Informationen, die dem Sicherheitsteam bei der Untersuchung helfen. Und so lassen sich auch die Einzelheiten über die Kette von Ereignissen nachvollziehen, die ursprünglich zum Auslösen des Alarms geführt hat.
Das klingt einfach, in der Realität ist es jedoch äußerst schwierig, Regeln zu schaffen, die anomale Ereignisse auf eine überschaubare Anzahl von Warnungen begrenzen. Insbesondere, wenn Sicherheitslösungen im Einsatz sind, die sich auch um sämtliche Benutzeraktivitäten kümmern.
Bei der Erkennung von Verhaltensmustern, die von der Norm abweichen, werden seit langem maschinelles Lernen und KI (künstliche Intelligenz) als probate Hilfsmittel gepriesen. Und die angewandten Verfahren haben sich kontinuierlich weiterentwickelt. Neuere Cloud-basierte Ansätze sind der Lage, der Flut der Warnmeldungen entgegen zu wirken, und weniger aber signifikante Alarmmeldungen auf Basis der jeweiligen Zusammenhänge zu erzeugen.
Einige Anbieter, exemplarisch seien Palo Alto Networks oder FireEye genannt, die kontextbezogene Alarmmeldungen ausgeben und priorisieren. Diese Warnmeldungen enthalten Details wie die Ursache, die gesamte Angriffskette, die beteiligen Einheiten und eine Schadensbewertung in verständlicher Form. Mit diesen Informationen über ein potenzielles Problem, können Sicherheitsanalytiker die Warnmeldungen richtig analysieren und einschätzen und somit angemessen reagieren.
Warum die Relevanz von Alarmmeldungen so wichtig ist
Und selbstverständlich müssen sich nicht nur Sicherheitsteams tagtäglich mit einer Vielzahl von Sicherheitsmeldungen auseinandersetzen. Das trifft auf anderen Ebenen auf alle Mitarbeiter im Unternehmen zu, bei denen dann ebenfalls diesbezüglich Ermüdungserscheinungen eintreten können. Vermutlich werden diese auch mehrfach am Tag gewarnt, sei es einen E-Mail-Anhang nicht zu öffnen, eine verlinkte Website nicht zu anzusurfen oder auch nur ein Dokument zu editieren beziehungsweise ihre Passwörter nicht weiterzugeben.
Die Wachsamkeit und das Sicherheitsbewusstsein der Mitarbeiter ist aber eine entscheidende Säule bei der Verteidigungs- und Sicherheitsstrategie eines Unternehmens. Zwar verhindert meist die ein oder andere Technologie, dass der weniger redlich gemeinte Datenverkehr überhaupt erst beim Anwender ankommt, um die Anzahl der Warnungen am Endpunkt zu reduzieren. Schulungen der Endanwender können aber dazu beitragen, dass diese wiederum die Lage jeweils besser einschätzen können und wie er die regelmäßigen Benachrichtigungen besser für sich nutzen kann.
Das Thema der Flut der Warnmeldungen und das Abstumpfen diesbezüglich mit der Folge der Alarmmüdigkeit ist für die IT-Sicherheit eine große Herausforderung.
Technologie kann menschliche Fehler nie völlig ausschließen. Aber durch das Reduzieren weniger sinnvoller Alarmmeldungen und eine sinnvolleren hilfreichen Ausgabe der relevanten Warnungen kann verhindert werden, dass die Sicherheitsteams mit einer nicht zu bewältigenden Menge zu kämpfen haben, die letztlich dann nicht mehr im erforderlichen Maße ernst genommen werden.