False Positives reduzieren: 5 Tipps für weniger Security Alerts

Foto: Gustavo MS Photography – shutterstock.com

Falsch-positive Security-Alarmmeldungen weisen auf Sicherheitsbedrohungen in einer bestimmten Umgebung hin, die nicht existent sind. Diese False Positives sind für Security Operations Center (SOCs) ein Problem: Diverse Studien haben gezeigt, dass SOC-Analysten unverhältnismäßig viel Zeit und Arbeit aufwenden, um solchen vermeintlichen Threats nachzugehen. So kommt etwa eine Untersuchung von Invicti zum Ergebnis , dass in einem Security Operations Center pro Jahr im Schnitt 10.000 Arbeitsstunden und 500.000 Dollar für die Validierung falsch-positiver Security Alerts verschwendet werden.

Laut einer Umfrage der Enterprise Strategy Group (ESG) im Auftrag von Fastly registrieren die befragten Unternehmen durchschnittlich 53 Warnmeldungen pro Tag von ihren Webanwendungen und API-Sicherheits-Tools. Fast die Hälfte dieser Warnmeldungen – 45 Prozent – sind False Positives. Eine weitere Erkenntnis der ESG-Umfrage: Neun von zehn Befragten geben an, dass falsch-positive Security Alerts einen negativen Einfluss auf das Sicherheitsteam haben.

“Für SOC-Teams sind False Positives einer der größten Pain Points”, weiß Chuck Everette, Director of Cybersecurity Advocacy bei Deep Instinct. “Die Hauptaufgabe eines SOC besteht darin, Sicherheitsereignisse zu überwachen, sie zu untersuchen und zeitnah darauf zu reagieren. Werden die Spezialisten mit Hunderten oder Tausenden von Warnmeldungen überschwemmt, die keine wirkliche Relevanz haben, lenkt sie das davon ab, effizient und effektiv auf echte Bedrohungen zu reagieren.”

Falsch-positive Security Alerts vollständig auszuschließen, ist nahezu unmöglich. Es gibt jedoch Möglichkeiten, wie sich der Zeitaufwand minimieren lässt, um diese zu identifizieren. Wir haben fünf davon für Sie zusammengefasst.

1. Threat-Fokus ausrichten

Bei der Konfiguration und Abstimmung von Sicherheits-Tools wie Intrusion-Detection- und SIEM-Systemen sollten Sie darauf achten, Regeln und Verhaltensweisen zu definieren, die Sie nur im Falle der Bedrohungen alarmieren, die für Ihre Umgebung auch wirklich relevant sind. Ansonsten kann sich eine Vielzahl von Protokolldaten ansammeln, die diese Anforderungen nicht notwendigerweise erfüllen.

Die Flut von Fehlalarmen, mit der die meisten SOCs zu kämpfen haben, hängt nach Ansicht von Tim Wade, Technical Director des CTO-Teams bei Vectra, mit drei Umständen zusammen: “Erstens sind korrelationsbasierte Regeln oft nicht in der Lage, eine ausreichende Anzahl von Merkmalen auszudrücken, die erforderlich sind, um sowohl die Erkennungsempfindlichkeit als auch die Spezifität auf ein verwertbares Niveau zu bringen. Infolgedessen können die Erkennungsmechanismen zwar potenziell bösartige Verhaltensweisen identifizieren, diese aber nicht von legitimen unterscheiden.”

Das zweite Problem sei, dass verhaltensbasierte Regeln, die sich hauptsächlich auf Anomalien konzentrieren, zwar gut darin sind, Bedrohungen im Nachhinein aufzutun. Sie schaffen es jedoch oft nicht, ein Signal zum Handeln zu setzen, erklärt Wade: “Im Fall von vielen Unternehmen sind Anomalien die Regel und nicht die Ausnahme. Es ist also eine Verschwendung von Zeit und Energie, jeder einzelnen nachzugehen.” Drittens seien die SOCs in ihrer eigenen Vorfallsklassifizierungen nicht so ausgereift, dass sie bösartige True Positives von gutartigen True Positives unterscheiden könnten: “Das führt dazu, dass gutartige True Positives mit False Positives in einen Topf geworfen werden”, meint Wade. Daten, die zu iterativen Verbesserungen bei der Erkennungstechnik beitragen könnten, würden somit effektiv unterschlagen.

Die Hauptursache für Security-Falschmeldungen liege darin, dass SOCs nicht verstünden, wie ein echter Indikator für eine Kompromittierung in ihrer spezifischen Umgebung aussieht, meint John Bambenek, Principal Threat Hunter bei Netenrich. Außerdem mangele es an geeigneten Daten zum Testen der Regeln: “Viele Sicherheitsbehörden veröffentlichen routinemäßig Kompromittierungsindikatoren als Teil ihrer Forschung, aber manchmal reicht ein gültiger Indikator allein nicht aus, um eine Bedrohung für eine bestimmte Umgebung zu erkennen.”

Ein Bedrohungsakteur könnte zum Beispiel Tor benutzen, erklärt Bambenek als Beispiel. Das bedeute aber nicht, dass jede Nutzung von Tor ein Signal für die Anwesenheit eines bestimmten Bedrohungsakteurs in einem Netzwerk ist. “Die meisten Untersuchungen erfordern kontextbezogene Informationen – und genau bei diesem Punkt hinken viele Unternehmen hinken hinterher”, so sein Fazit.

2. Marketing-Versprechungen widerstehen

Sicherheitsexperten machen oft den Fehler, die Behauptungen eines Anbieters über niedrige Falsch-Positiv-Raten zu wörtlich zu nehmen. “Nur weil ein SOC-Tool mit einer Falsch-Positiv-Rate von einem Prozent und einer Falsch-Negativ-Rate von einem Prozent angepriesen wird, bedeutet das nicht, dass die Wahrscheinlichkeit eines echten Positivs bei 99 Prozent liegt”, erklärt Sounil Yu, CISO bei JupiterOne. Da der legitime Datenverkehr in der Regel um ein Vielfaches höher ausfalle als der böswillige, könnten die True-Positive-Raten oft weit unter dem liegen, was Sicherheitsverantwortliche anfangs erwarten: “Die tatsächliche Wahrscheinlichkeit, dass es sich um ein echtes Positiv handelt, ist viel geringer – und diese Wahrscheinlichkeit sinkt sogar noch weiter, je nachdem, wie viele Ereignisse insgesamt verarbeitet werden.”

Als Beispiel führt der CISO ein SOC an, das täglich 100.000 Ereignisse verarbeitet, von denen 100 echte Alarmmeldungen und 99.900 Fehlalarme sind. In diesem Szenario bedeute eine Falsch-Positiv-Rate von einem Prozent, dass das Sicherheitsteam 999 falschen Alerts nachgehen muss, während die Wahrscheinlichkeit eines echten Positivs nur neun Prozent davon betrage: “Wenn wir die Anzahl der Ereignisse auf 1.000.000 erhöhen, während wir die Anzahl der tatsächlichen Alarme bei 100 halten, sinkt die Wahrscheinlichkeit weiter auf weniger als ein Prozent.”

Die wichtigste Erkenntnis für Administratoren sei laut Yu, dass kleine Unterschiede in der Falsch-Positiv-Rate die Anzahl der Fehlalarme, denen SOC-Teams nachgehen müssen, erheblich beeinflussen können. Daher sei es wichtig, die Erkennungsregeln kontinuierlich anzupassen, um die False-Positive-Rate zu reduzieren und die Erstuntersuchung von Alerts so weit wie möglich zu automatisieren. “Sicherheitsteams sollten auch der Tendenz widerstehen, mehr Daten als nötig in ihre Erkennungs-Engines einzuspeisen. Stattdessen sollten nur die Daten einfließen, die für die Verarbeitung der Erkennungsregeln nötig sind.”

3. Sich selbst hacken

Glaubt man Doug Dooley, COO bei Data Theorem, sind SOC-Analysten oft mehr damit beschäftigt, Sicherheitswarnungen mit geringer Auswirkung zu verfolgen, als sich mit falsch-positiven Meldungen zu befassen. “Das kann beispielsweise passieren, wenn Sicherheitsteams so organisiert sind, dass sie nach Code-Hygiene-Problemen suchen, die in der Produktionsanwendung vielleicht oder vielleicht auch nicht ausgenutzt werden können, anstatt sich auf Probleme zu konzentrieren, die einen wesentlichen Einfluss auf das Geschäft haben. Das Sicherheitsteam kann sich leicht in nicht geschäftskritischen Alarmen verzetteln, die zu Unrecht als ‘False Positives’ eingestuft werden.”

Nur wenn das Sicherheitsteam eng mit den Geschäftsführern zusammenarbeite, könne es den Fokus darauf legen, was wirklich wichtig ist: “Wenn eine Datenpanne bei Ihrer beliebtesten mobilen App Ihre Marke erheblich schädigen, Ihren Aktienkurs in den Sinkflug zwingen und wahrscheinlich zum Verlust von Kunden führen würde, dann hat es in Ihrem App-Stack hohe geschäftliche Priorität, sich auf ausnutzbare Schwachstellen zu konzentrieren.”

Statt sich auf theoretische Angriffe und Szenarien zu konzentrieren, empfiehlt Dooley Unternehmen, Tests zu Sicherheitsverletzungen auf ihren eigenen Systemen durchführen, um zu überprüfen, ob Schwachstellen vorhanden sind, die ausgenutzt werden können.

4. Metriken im Griff

Untersuchungen zu dokumentieren, die sich als aussichtslos erwiesen haben, ist ein guter Weg, um die Wahrscheinlichkeit zu minimieren, dass so etwas noch einmal passiert. Um die Erkennungsrate zu verbessern und Alarmmeldungen granularer abzustimmen, müssen SOCs in der Lage sein, das Rauschen aus verwertbaren Signalen herauszufiltern. Dies ist allerdings nur möglich, wenn das Unternehmen über historische Daten verfügt, aus denen es lernen kann.

“In einer Welt, in der Zeit, Ressourcen und Aufmerksamkeit begrenzt sind, geht das Unternehmen mit jedem Fehlalarm das Risiko ein, ein verwertbares Signal zu ignorieren”, meint Wade. “Man kann gar nicht genug betonen, wie wichtig es für SOCs ist, effektive Aufzeichnungen und Metriken über ihre Untersuchungen festzuhalten, um ihre Detection-Bemühungen im Laufe der Zeit zu verbessern. Leider neigen viele SOCs dazu, im Chaos des Augenblicks die langfristigen Planungsbemühungen zu vergessen.”

Security Alerting Tools sollten über einen Feedback-Mechanismus verfügen und Metriken zur Verfügung stellen, die es Verteidigern ermöglichen, die Falsch-Positiv-Raten nach Anbietern und Informationsquellen zu verfolgen, meint Bambenek. “Wenn Sie einen Sicherheitstelemetrie-Data-Lake verwenden, können Sie auch Indikatoren und neue Regeln mit früheren Daten vergleichen, um eine Vorstellung von den Falsch-Positiv-Raten zu bekommen.”

5. Automatisieren reicht nicht

Wenn Automatisierung richtig umgesetzt wird, kann sie dazu beitragen, die Probleme im Zusammenhang mit der Überlastung durch Fehlalarme und Fachkräftemangel in modernen SOCs zu lindern. Unternehmen benötigen jedoch qualifiziertes Personal – oder Zugang dazu, beispielsweise über einen Managed Service Provider – um das Beste aus ihrer Technologie herauszuholen.

“Bei einem Zeitaufwand von einer Stunde für die manuelle Bestätigung jeder Schwachstelle könnten die Teams jährlich satte 10.000 Stunden mit der Eindämmung von Fehlalarmen verbringen”, rechnet Sonali Shah, Chief Product Officer bei Invicti, vor. Dennoch gaben mehr als drei Viertel der Befragten im Rahmen der Invicti-Studie an, Schwachstellen entweder immer oder häufig manuell zu überprüfen. In diesen Fällen kann eine in bestehende Arbeitsabläufe integrierte Automatisierung dazu beitragen, die False-Positive-Probleme verringern.

“Um den größtmöglichen Nutzen aus der Technologie zu ziehen, sind Fachkräfte nötig, die die Protokollierungs- und Erkennungstools abstimmen und die Skripte oder benutzerdefinierten Tools entwickeln können, die die Tools der Anbieter miteinander verbinden”, sagt Daniel Kennedy, Analyst bei S&P Global Market Intelligence. “Mitarbeiter, die im Laufe der Zeit Wissen über die individuelle Natur der Technologie ihres Unternehmens erworben haben, sind besonders nützlich. Sie können SOCs dabei helfen, Zeit zu sparen, indem sie die täglichen Berichte auf Muster untersuchen, Playbooks entwickeln, die Tools der Anbieter abstimmen und angemessene, automatische Reaktionsstufen einziehen.”

Alarme, Ereignisse und Protokolle aufeinander abzustimmen, empfiehlt auch Deep-Instict-Manager Chuck Everette: “Fachexperten müssen das System so konfigurieren, dass nur Warnmeldungen mit hohem Wahrheitsgehalt an die Oberfläche gelangen und entsprechende Ereignisauslöser festgelegt werden, um bei Bedarf eine hochpriorisierte Reaktion zu gewährleisten. Um das effektiv zu tun, müssen Unternehmen Daten aus verschiedenen Quellen wie Sicherheitsprotokollen, Ereignissen und Bedrohungsdaten korrelieren und analysieren. Sicherheitswarnungs-Tools sind keine Mechanismen, die man einfach einstellt und wieder vergisst.”

Um den größtmöglichen Nutzen aus den Alarmierungs-Tools zu ziehen, müssten SOCs nach Möglichkeiten suchen, die Funktionen der einzelnen Tools zu erweitern und zu verbessern, um die Anzahl der Fehlalarme zu reduzieren und die Effektivität ihrer gesamten Sicherheitsstrategie zu erhöhen. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.