Zurück zu den Artikeln

Cybersicherheit: Wie lassen sich Falsch-Positiv-Meldungen verringern?

04 Februar 2021

Eine immer engmaschigere Überwachung der Netzwerkinfrastruktur lässt die Zahl der Sicherheitswarnungen in die Höhe schnellen. Allerdings neigen IT-Teams dazu, die vermeintlich ständige Schwarzmalerei durch diese Warnungen zu vernachlässigen, was ein kritisches Sicherheitsrisiko für ihr Unternehmen bedeutet.

Immer mehr Unternehmen identifizieren potenziell gefährliche Ereignisse automatisch mithilfe von Korrelationsstrategien, um im Falle eines unerlaubten Eindringens in ihr Computernetzwerk sofort reagieren zu können. Aber es gibt ein Problem: diese engmaschige Überwachung hat oft Hunderte von Warnmeldungen im Monat zur Folge. Eine kontraproduktive Situation, die dazu führt, dass die Teams, die sich um diese Warnungen kümmern sollen, desensibilisiert werden. Um zu verhindern, dass unsere Kunden förmlich in Warnmeldungen untergehen, hat sich das Cybersicherheitsteam von DEEP eine drastische Reduzierung von Falsch-Positiv-Meldungen auf die Fahnen geschrieben.

Was ist unter einer Falsch-Positiv-Meldung zu verstehen?

Es handelt sich um eine Sicherheitswarnung, die durch „normales“ Verhalten ausgelöst wurde. Die Grundlage für die Überwachung der Netzwerkinfrastruktur bildet die Aufzeichnung von etlichen Millionen Logs. Anschließend werden Szenarien so programmiert, dass, wenn eine Reihe als fragwürdig eingestufter Aktionen durchgeführt wird, ein Sicherheitsalarm ausgelöst wird, den es dann zu überprüfen gilt. Schätzungen zufolge muss man, um die 3 % der tatsächlichen Vorfälle zu identifizieren, 97 % der Warnungen durchgehen, die auf legitimes Verhalten zurückzuführen sind, was 150 Vorfälle pro Kunde pro Monat bedeutet. Damit Sie nicht nach der Nadel im Heuhaufen suchen müssen und eine echte Bedrohung unerkannt bleibt, muss man unbedingt versuchen, die Anzahl der Warnungen zu reduzieren.


Wie kann man die Rate der Falsch-Positiv-Meldungen senken?

Bei der Implementierung des Überwachungssystems für Ihre Infrastruktur setzen wir standardmäßig eine Reihe vordefinierter Regeln ein, die in den meisten Unternehmen mit Gefahr assoziiert werden: zum Beispiel Netzverbindungen außerhalb der Geschäftstage und -stunden. Das Aufzeichnungstool verfügt bereits nach nur einem Tag über eine bedeutende Liste von festgestellten Vorfällen. Dann wird die Feinabstimmungsphase eingeleitet, in der wir unsere Kunden wöchentlich über die im Rahmen der „Regular Reviews“ festgestellten Vorfälle informieren. Für einen begrenzten Zeitraum ist eine solche enge Zusammenarbeit unbedingt erforderlich, um erfolgreich eine Trennlinie zwischen legitimem und verdächtigem Verhalten zu ziehen. Die Cyberforce-Abteilung bemüht sich konkret darum, die Arbeitsgewohnheiten des Unternehmens genau zu verstehen, um eine maßgeschneiderte Einstellung des Erkennungssystems vorzunehmen. Gilt eine Verbindung um 20:00 Uhr noch als legitim? Lässt sich eine Verbindung aus Marokko oder China durch ihre Geschäftsaktivitäten erklären? Wenn dies zutrifft, wird ein entsprechendes Verhalten auf eine „Whitelist“ gesetzt. Unserer Erfahrung nach kann durch diese Feinanalyse von Verhaltensdaten die durch die Sicherheitsüberwachung entstehende Meldungsflut nahezu um 90 % verringert werden.

Die Schattenarmee

Der erste Schritt zur Reduzierung von Falsch-Positiv-Meldungen besteht also darin, die Erkennungsregeln an die Realität Ihrer Arbeitsweise anzupassen. Was geschieht als Nächstes mit den Warnmeldungen? Bei DEEP werden sie an ein Analystenteam weitergeleitet, das für die Überprüfung in Echtzeit zuständig ist. Diese Analysten werden laufend geschult und kategorisieren die Warnmeldungen mithilfe von vorab festgelegten Verfahren so schnell wie möglich. Denn bei einem unerlaubten Eindringen ist eine schnelle Reaktion entscheidend.

Angriff ist die beste Verteidigung

Bei DEEP umfasst die Cyberforce-Abteilung mehrere Bereiche, von denen sich zwei besonders gut ergänzen: Während das Blue Team (SOC) mit der Verteidigung befasst ist, kümmert sich das Red Team (COS) um den Angriff. Das Red Team führt regelmäßig Penetrationstests durch und arbeitet mit dem Verteidigungsteam zusammen, sodass zusätzlich ein Purple Team entsteht, das die Genauigkeit bei der Erkennung kontinuierlich verbessern soll.

Angesichts der wachsenden Bedrohungen stellt die steigende Menge an Informationen aus den Erkennungssystemen eine große Herausforderung für die Unternehmen dar. Nur wenn die IT-Abteilungen die Erkennungssysteme so weit wie möglich verfeinern, können Cyberangriffe wirksam bekämpft werden.

Unsere Experten beantworten Ihre Fragen

Sie haben Fragen zu einem der Artikel? Sie brauchen Beratung, um die richtige Lösung für Ihre ICT-Probleme zu finden?

Weitere Artikel aus der Kategorie Sicherheit

DDoS-Angriffe in Luxemburg im Jahr 2024

Erfahren Sie mehr über die Statistiken zu DDoS-Angriffen, die POST Cyberforce im Jahr 2024 in Luxemburg entdeckt hat.

Artikel lesen

Verfasser

Paul Felix

Veröffentlicht am

31 März 2024

DDoS-Angriffe in Luxemburg im Jahr 2023

Erfahren Sie mehr über die Statistiken zu DDoS-Angriffen, die POST Cyberforce im Jahr 2023 in Luxemburg entdeckt hat.

Artikel lesen

Verfasser

Paul Felix

Veröffentlicht am

15 Februar 2023

DDoS-Angriffe in Luxemburg im Jahr 2022

Erfahren Sie mehr über die Statistiken zu DDoS-Angriffen, die POST Cyberforce im Jahr 2022 in Luxemburg entdeckt hat.

Artikel lesen

Verfasser

Paul Felix

Veröffentlicht am

11 Oktober 2022