Ein Projekt vom

Institut für Internet-Sicherheit

Jetzt für den Master bewerben!

Förderer

Partner

Live-Hacking

   

securityNews

Aktuelle Sicherheitsupdates

Aktuelle IT-Sicherheitslage

info    Gefahr durch Schwachstellen
info    Malware-Aktivität
info    Spam-Aktivität
Stand: 24.09.2017, 06:09Uhr

Expertenkommentar

Prof. Norbert Pohlmann

Institut für Internet-Sicherheit – if(is)

„Professionelle Hacker sind immernoch in der Lage, unsere Systeme anzugreifen. Wir haben zu viele Fehler in der Software, worüber man erfolgreich hacken kann. Außerdem ist Malware eines der größten Probleme, das wir haben. Der Schutz vor Malware ist nach wie vor ungenügend. (...)“ [mehr]

False Positives: Warum zu viele Fehlalarme unsere Cybersicherheit gefährden

Wenn die Cybersicherheitslösungen in einem Unternehmen Alarm schlagen – und das tun sie in der Regel mehrfach am Tag –, haben die IT-Verantwortlichen alle Hände voll zu tun. Je nachdem, welche Programme betroffen sind, ziehen die Überprüfungen teils enorme Arbeitsausfälle und Produktivitätseinbußen nach sich. Bedenkt man, dass der Großteil der Sicherheitswarnungen Fehlalarme sind, ist das besonders ärgerlich. Abhilfe schaffen letztlich nur Sicherheitslösungen, die den indikativen Warn-Ansatz hinter sich lassen und sich stattdessen auf die realen Aktivitäten und Vorgänge auf dem Endpunkt konzentrieren.

Alarm- und Warnmeldungen sind dazu da, uns auf mögliche Gefahren und akute Bedrohungen hinzuweisen – das ist beim Rauchmelder nicht anders als bei IT-Sicherheitslösungen. Je häufiger diese Sicherheitswarnungen jedoch auftreten und je öfter sie sich als Fehlalarm herausstellen, desto unglaubwürdiger und weniger bedrohlich wird jeder weitere Alarm. Fast könnte man von einer Alarm-Müdigkeit sprechen, die die Cybersicherheit in Unternehmen bedroht. Denn die Gefahr, das Risiko tatsächlicher Infektionen zu unterschätzen oder sie in der Flut der falschen Alarme zu übersehen, ist bei einer hohen Anzahl an Fehlmeldungen besonders groß.

Eine Flutwelle von Sicherheitswarnungen
Das Versagen herkömmlicher Antivirus-Lösungen beim Erkennen neuerer und fortschrittlicher Malware hat eine ganze Industrie von Alarmtechnologien hervorgebracht – von Intrusion Detection-Produkten über im Netzwerk installierte Black Boxes, die Unregelmäßigkeiten aufzeigen, bis hin zu Sandbox- und Threat Intelligence-Lösungen. All diese Sicherheitstechnologien halten unaufhörlich Ausschau nach Indikatoren einer möglichen Kompromittierung der Systeme, auch Indicators of Compromise (IoC) genannt. Dieser nicht endenden Flutwelle von Alarmen und Sicherheitswarnungen bezüglich möglicher Infektionen, Störfalle und Manipulationen verdanken wir wiederum einen umfangreichen Markt für Alarm-Konsolidierungs- und Korrelations-Tools, Koaleszenztechnologien, Big Data-Analysen, Attribution biased Triage und so weiter und so fort. Dieser Informationsüberfluss mag primär gut gemeint sein, setzt Unternehmen jedoch unter Druck, da die Abklärung und Analyse all der Warnungen und identifizierten Unregelmäßigkeiten in der Regel mehr Ressourcen beanspruchen als tatsächlich zur Verfügung stehen.

Warum IoC-basierte Sicherheitsansätze keine Best Practice-Methode sind
Dass dieser IoC-basierte Sicherheitsansatz mit unnötig vielen Fehlalarmen verbunden ist, ist nachvollziehbar und doch entscheiden sich viele Sicherheitsverantwortliche in Unternehmen auch heute noch rege dafür. Sie denken, dass sie Best Practice-Methoden einsetzen, wenn sie gleichzeitig so viele verschiedene Technologien wie möglich einsetzen und doch nur darauf hoffen können, dass Angriffsversuche so präzise wie möglich entdeckt und gemeldet werden und keine gefährliche Infektion unentdeckt bleibt. Der Aufwand, den es benötigt zu kontrollieren, ob im Falle der IoC-basierten-Warnungen auch tatsächlich reale Bedrohungen vorliegen und falls ja, ob es zu erfolgreichen Angriffen gekommen ist oder diese vorzeitig von anderen Mechanismen gestoppt wurden, ist jedoch uferlos und in Anbetracht der Komplexität der Angriffe und Systeme so gut wie gar nicht zu bewältigen.

Man denke hier etwa an eine Kette von Ereignissen, wie die so genannte Cyber Kill Chain, bei der sich ein Angriff von einer Ebene in die nächste vorarbeitet, wo aus einem Exploit eine Infektion wird, aus einer erfolgreichen Infektion eine Kompromittierung und aus einer unkontrollierten Kompromittierung letztlich ein Störfall, bei dem sensible Daten ausgespäht und gestohlen werden. Auf jeder Ebene besteht nun das Risiko für Fehlalarme (FalsePositives) sowie unentdeckte Angriffe (False Negatives) oder andere Fehldiagnosen. Dies alles muss der Sicherheitsverantwortliche nun theoretisch im Blick haben. Kein Wunder also, dass neben der Alarm-Müdigkeit auch eine Budget- und Ressourcen-Ermüdung die Sicherheit unserer Systeme bedroht.

Sicherheitswarnungen müssen auf Tatsachen beruhen
IoC-basierte Warnungen sind – wie der Name schon sagt – nur mehr oder weniger aussagekräftige Hinweise auf mögliche Angriffe und je mehr Quellen für derartige Hinweise vorliegen, desto höher ist die Wahrscheinlichkeit von Fehlalarmen und desto höher die Wahrscheinlichkeit unnötig vertaner Zeit. Wer dieses Problem umgehen möchte, muss den Fokus der Sicherheitsmeldungen deshalb neu ausrichten. So müssen Warnungen tatsächliche Begebenheiten, das heißt reelle Aktivitäten und Vorgänge fokussieren, anstatt weiterhin ungefiltert und im Gießkannenprinzip sämtliche potenzielle Sicherheitsprobleme zu melden. Und welcher Ort könnte für eine Analyse der Aktivitäten und tatsächlichen Begebenheiten geeigneter sein als das Angriffsziel selbst, das heißt der Endpunkt?

Die Antwort auf die oben beschriebene Alarm-Müdigkeit und ein unbefriedigendes Risk-Management liegt also in der Abkehr von indikativen Sicherheitswarnungen und den damit verbundenen Problemen hinsichtlich Aufwand, Fehlerhaftigkeit und Kosten zugunsten von Endpunktschutzlösungen der nächsten Generation, die auf innovativen Ansätzen wie dynamischen Verhaltensanalyse-Techniken und intelligenter Automatisierung basieren und die die Fähigkeit besitzen, schadhaften Code anhand seines Verhaltens bei der Ausführung auf dem Endgerät selbständig und rechtzeitig zu erkennen.

Abgesehen davon, dass Next Generation-Lösungen im Vergleich zu herkömmlichen Signatur-basierten Sicherheitslösungen auch vollkommen neue und verschleierte Schadsoftware erkennen und blockieren können und deshalb im Allgemeinen wirksamere Sicherheit bieten, ist auch ihr Warn-Ansatz deutlich effektiver: Sie schlagen nur dann Alarm, wenn tatsächlich „etwas Schadhaftes passiert“, und nicht schon dann,  wenn eventuell „etwas passieren könnte.“

Autor: Andy Norton, Risk Officer EMEA, SentinelOne

Datum: 05.09.2017
Die News wird bereitgestellt von: itsicherheit-online.com