Die Fehlalarme fressen Ihr Sicherheitsbudget auf und machen Sie Angriffen ausgesetzt
Sicherheitsteams werden jeden Tag zunehmend mit Tausenden von Warnungen überschwemmt, von denen sich die meisten als Fehlalarme herausstellen, die keine wirkliche Bedrohung für das Unternehmen darstellen. Chuck Everette an Deep Instinct erörtert, wie Deep Learning, die neueste und fortschrittlichste Form der KI-Analyse, die Lawine von Fehlalarmen bewältigen kann – und einige der fortschrittlichsten Cyber-Bedrohungen bekämpft.
Stellen Sie sich vor, nur einer von tausend Dingen auf Ihrer To-Do-Liste wäre tatsächlich wertvoll für das Unternehmen und Ihre Funktion. Leider ist dies die Situation, in der sich viele Sicherheitsanalysten heute befinden, da sie gezwungen sind, mit einer ständig wachsenden Menge an falsch positiven Sicherheitswarnungen umzugehen.
Tatsächlich überwiegen zeitraubende Fehlalarme in der Regel um weit mehr als tausend zu eins echte Warnungen. In einem Fall trafen wir auf eine große Organisation, die täglich rund 75,000 Warnungen generierte, von denen sich im Durchschnitt nur zwei auf echte Bedrohungen bezogen. Das Problem ist zwar nicht immer so schwerwiegend, aber in der Geschäftswelt weit verbreitet. Zum Beispiel Deep Instinct Voice of SecOps-Bericht, das über 600 Entscheidungsträger und Praktiker im Bereich Sicherheit auf der ganzen Welt befragte, fand heraus, dass die Teams der Security Operation Center (SOC) 10 von 39 Stunden in einer Arbeitswoche damit verbringen, sich mit Fehlalarmen zu befassen.
Die enorme Anzahl von Warnungen, mit denen SOC-Teams täglich umgehen müssen, ergibt sich aus der Tatsache, dass sich Sicherheitsstrategien normalerweise darauf konzentrieren, das Unternehmen mit einer Reihe von Lösungen auszustatten, die jeden Zentimeter des Netzwerks auf böswillige Aktivitäten überwachen. Alles Verdächtige oder Ungewöhnliche, das auf einen laufenden Angriff hindeuten könnte, wird über eine SIEM-Plattform (Security Information and Event Management) geleitet und zur Untersuchung an das SOC-Team gesendet, leider oft ohne Kontext.
Fehlalarme werden angezeigt, wenn Scan-Tools nicht genügend Genauigkeit aufweisen, um normalen Netzwerkverkehr von verdächtigen Aktivitäten zu unterscheiden. Während die Lautstärke durch Ändern der Scan-Empfindlichkeit reduziert werden kann, erhöht dies das Risiko, dass echte Bedrohungen unbemerkt bleiben.
Falschmeldungen wirken sich gleichermaßen auf die Sicherheit und das Personal aus
Die Flutwelle falsch positiver Ergebnisse stellt Organisationen vor eine Reihe erheblicher Probleme. Das Auflösen eines Fehlalarms ist eine notwendige, aber sehr geringwertige Aktivität, die nichts zur Verbesserung der Sicherheit des Unternehmens beiträgt. Die Tatsache, dass SOC-Teams ein Viertel ihrer Zeit damit verbringen, sich mit Fehlalarmen zu befassen, ist äußerst ineffizient und verlängert die Zeit, die Analysten benötigen, um echte Bedrohungen zu identifizieren und zu untersuchen.
Wenn ein Bedrohungsakteur seinen Zug macht, zählt jede Sekunde. Daher ist es ein ernstes Problem, eine legitime Warnung tagelang in einem Posteingang zu haben, weil sie im Lärm verloren geht, und dem Angreifer freie Hand gibt, das System zu infiltrieren und seine Spuren zu verwischen.
So viel Zeit damit zu verbringen, sich durch eine so sich wiederholende Aufgabe zu quälen, fordert auch seinen Tribut vom Sicherheitsteam und trägt zum Burnout von Analysten bei, einem häufigen Problem in der Branche. 90 % der Befragten in unserer Umfrage gaben an, dass sie der Ansicht sind, dass Fehlalarme zu einer niedrigen Mitarbeitermoral beitragen. Müde, demotivierte SOC-Teams machen auch eher Fehler und übersehen möglicherweise die echten Bedrohungen, die im Berg von Fehlalarmen verborgen sind.
Automatisiert werden
Da das Volumen der Sicherheitswarnungen weit über die menschlichen Fähigkeiten hinausgeht, haben die meisten Unternehmen versucht, zumindest einige der Prozesse durch künstliche Intelligenz zu automatisieren. Dies erfolgt in der Regel in Form von auf maschinellem Lernen (ML) basierenden Analysetools, die anhand von Datensätzen trainiert wurden, um Anzeichen verschiedener Angriffe zu erkennen.
Auf einer grundlegenden Ebene können diese Tools schnell eine große Anzahl von Warnungen analysieren und alle Fehlalarme abhaken, sodass das menschliche Team eine viel besser zu bewältigende Arbeitsbelastung hat. ML-Tools können auch in Reaktionsprozesse integriert werden, wodurch echte Bedrohungen auf niedriger Ebene ohne menschliches Eingreifen beseitigt werden können. Ebenso können Bedrohungsuntersuchungen stark automatisiert werden, indem menschliche Intuition mit maschineller Effizienz kombiniert wird.
Aber während sich ML-Tools im Umgang mit der Alarmlawine als unschätzbar erwiesen haben, werden sie durch ihre reaktive Natur behindert. Herkömmliche Lösungen verlassen sich auf eingehende Datenfeeds von Endpoint Detection and Response (EDR) und anderen Tools, was bedeutet, dass sie nur auf Bedrohungen reagieren können, wenn sie auftreten. Anspruchsvolle Bedrohungsakteure haben Techniken entwickelt, die in dem Zeitrahmen zuschlagen und Schaden anrichten, bevor ML-Tools über genügend Daten verfügen, um die Bedrohung zu erkennen.
Darüber hinaus verwenden einige Angreifer ihre eigenen Tools für maschinelles Lernen, um den Brunnen mit gefälschten Datensätzen zu vergiften, die die Lösung verwirren und Anzeichen einer echten Bedrohung als normalen Netzwerkverkehr kennzeichnen. Dadurch können Angreifer unbemerkt in das Netzwerk eindringen.
Um dieser Bedrohung entgegenzuwirken, ist eine fortschrittlichere Form der KI-Analyse erforderlich – Deep Learning (DL).
Die nächste Phase der KI
Deep Learning ist die neueste und derzeit fortschrittlichste Teilmenge der KI. Während es dem gleichen Grundprinzip von ML folgt, besteht der Hauptunterschied darin, dass sich DL auf ein neurologisches Netzwerk konzentriert, das mit rohen, nicht gekennzeichneten Datensätzen trainiert wird. Während ML-Tools Datensätze erhalten, die bereits in gut und schlecht unterschieden sind, lernt eine DL-Lösung, den Unterschied selbst zu erkennen. Der Prozess ist langsamer und komplexer als herkömmliches KI-Training, liefert jedoch viel bessere Ergebnisse.
Ein vollständig trainiertes DL-Netzwerk kann subtile Anzeichen böswilliger Aktivitäten mit hoher Genauigkeit instinktiv erkennen. Darüber hinaus geschieht dies mit rasender Geschwindigkeit, selbst nach KI-Standards – potenzielle Verstöße können in weniger als 20 Millisekunden identifiziert werden.
Diese Kombination aus Geschwindigkeit und Genauigkeit bedeutet, dass DL-Tools eingehende Angriffe zum frühestmöglichen Zeitpunkt identifizieren können, sodass Sicherheitsteams sie abschalten können, bevor sie überhaupt schnell beginnen können. Die kompliziertere Trainingsmethode ist für Bedrohungsakteure auch viel schwieriger mit beschädigten Datensätzen zu missbrauchen.
DL ist keine magische Lösung, die das False-Positive-Problem trotz seiner fortschrittlichen Fähigkeiten sofort löst. CISOs müssen sich Zeit nehmen, um zu beurteilen, wie sie die Lösung am besten in ihren bestehenden Stack integrieren können, um ihre Fähigkeiten zu optimieren.
Deep Learning funktioniert am effektivsten, wenn es vollständig in den Sicherheits-Stack integriert ist, sodass es sowohl mit echten als auch mit falschen Warnungen umgehen kann und die Untersuchung und Reaktion auf Angriffe unterstützt. Wir haben beispielsweise festgestellt, dass eine gut integrierte DL-Lösung die Anzahl der Warnungen, die das Sicherheitsteam erreichen, um 25 % reduzieren und die Untersuchung der verbleibenden Warnungen erheblich beschleunigen kann.
WEITERLESEN:
- 5 Fragen, die Unternehmen nach Bidens Gesetz zur Cybersicherheit stellen sollten
- Google-Mitarbeiter müssen mit Impfvorschriften und Gehaltskürzungen für Fernarbeit rechnen
- Unterstützung Ihrer Remote-Mitarbeiter: Cloud-Migration für Ihr Unternehmen in fünf Schritten
- Verwenden von SAM zur Verwaltung der Sicherheitsbedrohung der Fernarbeit
Mit einer vollständig geschulten und betriebsbereiten Deep-Learning-Lösung können Sicherheitsanalysten ihr Wissen und ihre Fähigkeiten wieder einsetzen, um die echten Bedrohungen anzugehen, denen ihre Organisation ausgesetzt ist, während ihr unermüdlicher maschineller Verbündeter es mit Fehlalarmen und fortgeschrittenen Angreifern gleichermaßen aufnehmen kann.
Folge uns auf LinkedIn und Twitter
