SOC-Analysten verbringen zu viel Zeit und Mühe damit, Sicherheitswarnungen nachzugehen, die fälschlicherweise auf eine Schwachstelle hinweisen, wo keine existiert. [...]
False Positives – also Warnungen, die fälschlicherweise auf eine Sicherheitsbedrohung in einer bestimmten Umgebung hinweisen – sind ein großes Problem für Security Operations Centers (SOCs). Zahlreiche Studien haben gezeigt, dass SOC-Analysten einen unverhältnismäßig hohen Zeit- und Arbeitsaufwand für die Verfolgung von Warnmeldungen aufwenden, die auf eine unmittelbare Bedrohung ihrer Systeme hindeuten und sich letztendlich als harmlos erweisen.
Eine kürzlich von Invicti durchgeführte Studie ergab, dass SOCs durchschnittlich 10.000 Stunden und etwa 500.000 US-Dollar pro Jahr für die Validierung unzuverlässiger und falscher Schwachstellenwarnungen verschwenden. Eine andere Umfrage, die die Enterprise Strategy Group (ESG) für Fastly durchgeführt hat, ergab, dass Unternehmen durchschnittlich 53 Warnmeldungen pro Tag von ihren Webanwendungen und API-Sicherheitstools melden. Bei fast der Hälfte (45 %) handelt es sich um Fehlalarme. Neun von zehn Befragten beschrieben, dass False Positives einen negativen Einfluss auf das Sicherheitsteam haben.
„Für SOC-Teams sind False Positives einer der größten Schmerzpunkte“, so Chuck Everette, Director of Cybersecurity Advocacy bei Deep Instinct. Die Hauptaufgabe eines SOC besteht darin, Sicherheitsereignisse zu überwachen, sie zu untersuchen und zeitnah darauf zu reagieren. „Wenn sie mit Hunderten oder Tausenden von Warnmeldungen überschwemmt werden, die keine wirkliche Bedeutung für die Sicherheit haben, lenkt dies sie davon ab, effizient und effektiv auf echte Bedrohungen zu reagieren“, sagt er.
Falschmeldungen vollständig aus der Umgebung zu eliminieren, ist nahezu unmöglich. Es gibt jedoch Möglichkeiten, wie SOCs den Zeitaufwand für die Suche nach ihnen minimieren können. Hier sind fünf davon:
1. Konzentrieren Sie sich auf die Bedrohungen, die wichtig sind
Bei der Konfiguration und Abstimmung von Sicherheitstools wie Intrusion-Detection-Systemen und SIEM-Systemen (Security Information and Event Management) sollten Sie darauf achten, dass Sie Regeln und Verhaltensweisen definieren, die Sie nur bei den Bedrohungen alarmieren, die für Ihre Umgebung relevant sind. Sicherheitstools können eine Vielzahl von Protokolldaten sammeln, von denen nicht alle unbedingt für Ihre Umgebung relevant sind, was Bedrohungen angeht.
Die Flut von Fehlalarmen, mit der die meisten SOCs zu kämpfen haben, ist das Nebenprodukt von drei Dingen, sagt Tim Wade, technischer Leiter des CTO-Teams bei Vectra. „Erstens sind korrelationsbasierte Regeln oft nicht in der Lage, eine ausreichende Anzahl von Merkmalen auszudrücken, die erforderlich sind, um sowohl die Erkennungsempfindlichkeit als auch die Spezifität auf ein verwertbares Niveau zu bringen“, sagt er. Infolgedessen können die Erkennungen zwar Bedrohungen aufdecken, diese aber nicht von gutartigen Verhaltensweisen unterscheiden.
Das zweite Problem ist, dass verhaltensbasierte Regeln, die sich hauptsächlich auf Anomalien konzentrieren, gut darin sind, im Nachhinein Bedrohungen zu finden, sagt er. Sie schaffen es jedoch oft nicht, ein Signal zum Handeln zu erzeugen. „In der Größenordnung eines jeden Unternehmens ist ’seltsam normal'“, sagt er. Das bedeutet, dass Anomalien die Regel und nicht die Ausnahme sind, so dass es eine Verschwendung von Zeit und Mühe ist, jeder einzelnen Anomalie nachzugehen.
„Drittens sind die SOCs in ihrer eigenen Vorfallsklassifizierung nicht so ausgereift, dass sie bösartige True Positives von gutartigen True Positives unterscheiden können. Dies führt dazu, dass gutartige True Positives mit False Positives in einen Topf geworfen werden, so dass Daten, die zu iterativen Verbesserungen bei der Erkennungstechnik beitragen könnten, effektiv unterschlagen werden, sagt Wade.
Die Hauptursachen für Falschmeldungen sind, dass SOCs nicht verstehen, wie ein echter Indikator für eine Kompromittierung in ihrer spezifischen Umgebung aussieht, und dass es an guten Daten zum Testen von Regeln mangelt, erklärt John Bambenek, leitender Bedrohungsjäger bei Netenrich. Viele Sicherheitsbehörden veröffentlichen routinemäßig Kompromissindikatoren als Teil ihrer Forschung, aber manchmal reicht ein gültiger Kompromissindikator allein nicht aus, um eine Bedrohung für eine bestimmte Umgebung zu erkennen. Ein Bedrohungsakteur könnte Tor benutzen. Seine Anwesenheit ist also relevant. Das bedeutet aber nicht, dass jede Nutzung von Tor ein Signal für die Anwesenheit eines bestimmten Bedrohungsakteurs in einem Netzwerk ist. „Die meisten Untersuchungen erfordern kontextbezogene Informationen, und viele Unternehmen hinken bei der Erstellung kontextbezogener Erkennungen hinterher“, meint er.
2. Fallen Sie nicht auf den Trugschluss der Basisrate herein
Sicherheitsexperten machen oft den Fehler, die Behauptungen eines Anbieters über niedrige False-Positive-Raten zu wörtlich zu nehmen. Nur weil ein SOC-Tool eine Falsch-Positiv-Rate von 1 % und eine Falsch-Negativ-Rate von 1 % angibt, bedeutet das nicht, dass die Wahrscheinlichkeit eines echten Positivs 99 % beträgt, sagt Sounil Yu, CISO bei JupiterOne. Da der legitime Datenverkehr in der Regel um ein Vielfaches höher ist als der böswillige Datenverkehr, können die True-Positive-Raten oft weit unter dem liegen, was Sicherheitsverantwortliche anfangs erwarten. „Die tatsächliche Wahrscheinlichkeit, dass es sich um ein echtes Positiv handelt, ist viel geringer, und diese Wahrscheinlichkeit sinkt sogar noch weiter, je nachdem, wie viele Ereignisse insgesamt verarbeitet werden“, sagt er.
Als Beispiel führt er ein SOC an, das täglich 100.000 Ereignisse verarbeitet, von denen 100 echte Alarme und 99.900 falsche Alarme sind. In diesem Szenario bedeutet eine Falsch-Positiv-Rate von 1 %, dass das Sicherheitsteam 999 falschen Alarmen nachgehen müsste, und die Wahrscheinlichkeit eines echten Positivs liege bei nur 9 %, sagt Yu. „Wenn wir die Anzahl der Ereignisse auf 1.000.000 erhöhen, während wir die Anzahl der tatsächlichen Alarme bei 100 halten, sinkt die Wahrscheinlichkeit weiter auf weniger als 1 %.
Die wichtigste Erkenntnis für Administratoren ist, dass kleine Unterschiede in der Falsch-Positiv-Rate die Anzahl der Fehlalarme, denen SOC-Teams nachgehen müssen, erheblich beeinflussen können, so Yu. Daher ist es wichtig, dass die Erkennungsregeln kontinuierlich angepasst werden, um die False-Positive-Rate zu reduzieren und die Erstuntersuchung von Alarmen so weit wie möglich zu automatisieren. Sicherheitsteams sollten auch der Tendenz widerstehen, mehr Daten als nötig in ihre Erkennungs-Engines einzuspeisen. „Anstatt willkürlich mehr Daten in Ihre Erkennungspipelines zu stopfen, sollten Sie sicherstellen, dass Sie nur die Daten haben, die Sie für die Verarbeitung Ihrer Erkennungsregeln benötigen, und die anderen Daten für eine spätere automatische Anreicherung zurücklassen“, sagt er.
3. Hacken Sie Ihr eigenes Netzwerk
Laut Doug Dooley, COO bei Data Theorem, sind SOC-Analysten oft erschöpfter, wenn sie Sicherheitswarnungen mit geringer Auswirkung aufspüren, als wenn sie sich mit Fehlalarmen beschäftigen. Dies kann beispielsweise passieren, wenn Sicherheitsteams so organisiert sind, dass sie nach Code-Hygiene-Problemen suchen, die in der Produktionsanwendung vielleicht oder vielleicht auch nicht ausgenutzt werden können, anstatt sich auf Probleme zu konzentrieren, die einen wesentlichen Einfluss auf das Geschäft haben. „Das Sicherheitsteam kann sich leicht in nicht geschäftskritischen Alarmen verzetteln, die zu Unrecht als ‚False Positives‚ eingestuft werden“, sagt Dooley.
Nur wenn das Sicherheitsteam eng mit den Geschäftsführern zusammenarbeitet, kann es sich auf das konzentrieren, was wirklich wichtig ist, und den Lärm herausfiltern. „Wenn eine Datenpanne bei Ihrer beliebtesten mobilen App Ihre Marke erheblich schädigen, Ihren Aktienkurs senken und wahrscheinlich zum Verlust von Kunden führen könnte, dann hat die Konzentration auf ausnutzbare Schwachstellen in Ihrem App-Stack hohe geschäftliche Priorität.“
Anstatt sich auf theoretische Angriffe und Szenarien zu konzentrieren, empfiehlt Dooley, dass Unternehmen Tests zu Sicherheitsverletzungen auf ihren eigenen Systemen durchführen, um zu überprüfen, ob eventuell vorhandene ausnutzbare Schwachstellen ausgenutzt werden können. Solche Tests und Überprüfungen können das Vertrauen und die Glaubwürdigkeit zwischen den Sicherheitsteams und den Devops-Teams stärken, sagt er.
4. Führen Sie genaue Aufzeichnungen und Metriken
Das Führen von Aufzeichnungen über Untersuchungen, die sich als aussichtslos erwiesen haben, ist ein guter Weg, um die Wahrscheinlichkeit zu minimieren, dass so etwas noch einmal passiert. Zur Verbesserung der Erkennung und zur Feinabstimmung von Warnungen müssen SOCs in der Lage sein, Rauschen aus verwertbaren Signalen herauszufiltern. Dies ist nur möglich, wenn Unternehmen über Daten verfügen, auf die sie zurückblicken und aus denen sie lernen können.
„In einer Welt, in der Zeit, Ressourcen und Aufmerksamkeit begrenzt sind, geht das Unternehmen mit jedem Fehlalarm das Risiko ein, dass ein verwertbares Signal ignoriert wird“, sagt Wade von Vectra. „Man kann gar nicht genug betonen, wie wichtig es für SOCs ist, effektive Aufzeichnungen und Metriken über ihre Untersuchungen zu führen, um ihre Erkennungsbemühungen im Laufe der Zeit zu verbessern.“ Leider neigen viele SOCs dazu, im Chaos des Augenblicks die langfristigen Planungsbemühungen, die zur Verbesserung notwendig sind, zu übergehen, sagt er.
Sicherheitswarnungs-Tools sollten über einen Feedback-Mechanismus und Metriken verfügen, die es den Verteidigern ermöglichen, die Falsch-Positiv-Raten nach Anbietern und Informationsquellen zu verfolgen, sagt Bambenek. „Wenn Sie einen Datenspeicher mit Sicherheitstelemetrie verwenden, können Sie auch Indikatoren und neue Regeln mit früheren Daten vergleichen, um eine Vorstellung von den Falsch-Positiv-Raten zu bekommen“, sagt er.
5. Automatisierung allein ist nicht genug
Richtig implementierte Automatisierung kann dazu beitragen, die Probleme im Zusammenhang mit der Überlastung durch Alarme und dem Fachkräftemangel in modernen SOCs zu lindern. Unternehmen benötigen jedoch qualifiziertes Personal – oder haben Zugang zu einem solchen, zum Beispiel über einen Managed Service Provider -, um das Beste aus ihrer Technologie herauszuholen.
„Bei einem Zeitaufwand von einer Stunde für die manuelle Bestätigung jeder Schwachstelle könnten die Teams jährlich satte 10.000 Stunden mit der Eindämmung von Fehlalarmen verbringen“, sagt Sonali Shah, Chief Product Officer bei Invicti. Dennoch gaben mehr als drei Viertel der Befragten in der Invicti-Umfrage an, dass sie Schwachstellen entweder immer oder häufig manuell überprüfen. In diesen Fällen kann eine in bestehende Arbeitsabläufe integrierte Automatisierung dazu beitragen, die Probleme im Zusammenhang mit Fehlalarmen zu verringern.
Um das Beste aus der Technologie herauszuholen, brauchen SOCs Betreiber, die die Protokollierungs- und Erkennungstools abstimmen und die Skripte oder benutzerdefinierten Tools entwickeln können, die die Tools der Anbieter zusammenfügen, sagt Daniel Kennedy, Analyst bei S&P Global Market Intelligence. Betreiber, die im Laufe der Zeit Wissen über die individuelle Beschaffenheit der Technologie ihres Unternehmens erworben haben, sind besonders nützlich, sagt er. Sie können SOCs dabei helfen, Zeit zu sparen, indem sie die täglichen Berichte auf Muster untersuchen, Playbooks entwickeln, die Tools der Anbieter abstimmen und angemessene automatische Reaktionsstufen einführen.
Alarme, Ereignisse und Protokolle müssen abgestimmt werden, sagt Everette von Deep Instinct. Fachexperten müssen das System so konfigurieren, dass nur Warnmeldungen mit hohem Wahrheitsgehalt an die Oberfläche gelangen und entsprechende Ereignisauslöser festgelegt werden, um bei Bedarf eine hoch priorisierte Reaktion zu gewährleisten. Um dies effektiv zu tun, müssen Unternehmen Daten aus verschiedenen Quellen wie Sicherheitsprotokollen, Ereignissen und Bedrohungsdaten korrelieren und analysieren. Sicherheitswarnungs-Tools „sind keine Mechanismen, die man einfach einstellt und wieder vergisst“, sagt er. Um den größtmöglichen Nutzen aus den Alarmierungs-Tools zu ziehen, müssen SOCs nach Möglichkeiten suchen, die Funktionen der einzelnen Tools zu erweitern und zu verbessern, um die Anzahl der Fehlalarme zu reduzieren und die Effektivität ihrer gesamten Sicherheitsstrategie zu erhöhen.
*Jaikumar Vijayan ist freiberuflicher Tech-Autor und spezialisiert auf Themen der Computersicherheit und des Datenschutzes.
Be the first to comment