In den letzten Jahren fanden zwei große Bewegungen statt. Einerseits sind viele Arbeitnehmer in die Remote-Arbeit gewechselt und andererseits sind viele Daten und Service von einer lokalen Lösung in die Cloud gewandert. Neben den Vorteilen dieser digitalen Transformation gehen damit auch höhere Risiken im Bereich der Cybersecurity einher. Unternehmen schützen sich deshalb mit einer immer größer werdenden Zahl an Sicherheitslösungen. Zudem werden diese Sicherheitslösungen immer besser und umfangreicheren. Diese erfassen tagtäglich unzählige Events, sprechen Warnungen aus und behandeln Vorfälle. Das Problem: die Zahl an Mitteilungen der Sicherheitslösungen ist zu hoch. Infolgedessen lassen Sicherheitsteams der Unternehmen Events, Warnungen und Vorfälle unbehandelt liegen. Ein zu hohes Alarm-Volumen in der Cybersecurity ist somit kontraproduktiv im Kampf gegen Cyberangriffen.
Hinter den unbehandelten Mitteilungen steckt eine neue Form der Müdigkeit. Es handelt sich um die Ermüdung von Cybersicherheitswarnungen. Sicherheitsteams sehen tagtägliche dutzende Grafiken, auf denen unzählige Mitteilungen angezeigt werden. Man schenkt einem Alarm nun mal kaum Aufmerksamkeit, wenn dieser mehrere Male am Tag oder sogar pro Stunde losgeht.
Events, Warnungen und Vorfällen
Um mit den Mitteilungen der Sicherheitslösungen richtig umgehen zu können, müssen wir sie zuerst richtig definieren können.
Ein Event ist zunächst einmal nur eine einzelne Veränderung im IT-Netzwerk, welche die Sicherheitslösung identifiziert hat. Somit ist die Anmeldung eines Benutzers beispielsweise ein Event.
Häufen sich Events, die sich in ihrer Charakteristik ähneln, besteht das Potenzial für eine Warnung. Diese wird final ausgesprochen, wenn die Gruppe an Events aus dem Blickpunkt der Cybersecurity in irgendeiner Art und Weise auffällig ist.
Sobald sich eine Reihe an Warnungen ereignen, die in einem Ausfall eines Systems, einem Datenabfluss oder einem Einbrechen der Sicherheitsrichtlinien resultieren könnte, sprechen wir von einem Vorfall. Jeder Vorfall beinhaltet demnach einige Warnungen, welche wiederum einige Events beinhalten. Somit beinhaltet ein Vorfall eine große Anzahl an Events.
Der richtige Umgang mit Events, Warnungen und Vorfälle
Um das Problem zu beseitigen bedarf es neuer Herangehensweise und die Unterstützung von Werkzeugen. Dabei kann beispielsweise auf technische Unterstützung in Form von erfahrungsbasierter Informationsverarbeitung, KI und Automation gesetzt werden. Das Ziel ist vom jetzigen hohen Alarm-Volumen in der Cybersecurity auf ein Niveau zu kommen, mit dem Sicherheitsteam gut arbeiten können und die vor allem auch relevant sind.
Betrachtet man Produktlösungen von unterschiedlichen Anbietern, so sollte es nicht verwundern, dass diejenige auf eine unvorstellbar große Datenmengen zurückgreifen können. Das Wissen, was in diesen Daten steckt, nutzen die Anbieter, um Sicherheitsteam zu entlasten. So ermöglicht das Wissen das Entwerfen von Katalogen zur Klassifizierung von Warnungen und Vorfällen. Je nach Klasse können dann gewisse Sicherheitsauffälligkeiten automatisiert autonom abgearbeitet werden. Dadurch verringert sich der Arbeitsaufwand für das Sicherheitsteam. Dies hat zweierlei Vorteile. Einerseits erhöht sich so die Rate an Vorfällen, die vom Sicherheitsteam präventiv händisch entdeckt werden. Zudem kann das Sicherheitsteam die Vorfälle konzentriert angehen, die aktive Handlungen benötigen. Zusammenfassend werden die Fähigkeiten des Sicherheitsteams effizienter und effektiver eingesetzt, da jede Arbeit abgenommen wird, die eine Maschine machen kann.
Um die Anzahl an Mitteilungen auf ein taugliches Niveau zu drücken, verbinden Anbieter ihre Sicherheitslösungen untereinander. Ein gutes Beispiel ist der Microsoft Defender. Der Defender besteht aus verschiedenen Sicherheitslösungen, die das Sicherheitsteam zentral verwalten kann. So muss das Sicherheitsteam nicht zwischen Apps, Oberflächen und Daten wechseln, sondern hat alles auf einen Blick.
SIEM-Lösung: Microsoft Sentinel
Ein weiteres Beispiel ist Microsoft Sentinel. Die Plattform hat das Ziel, Vorfälle zu entdecken, bei denen die vereinende Charakteristik unauffällig ist. So ist es nicht immer der Fall, dass die Sicherheitslösung aus einer Reihe an Events direkt eine Warnung ableiten kann. Hierfür bedarf es maschinelles Training. Als Grundlage dienen riesige Datensätze, wodurch die Sicherheitslösungen immer besser werden. Infolgedessen können Sicherheitslösungen von heute Vorfälle entdecken, die vor einigen Jahren noch unentdeckt geblieben wären und Schaden angerichtet hätten.
Neben dem maschinellen Lernen werden mit Microsoft Sentinel auch Beobachtungslisten möglich. Auf diesen Listen kann das Sicherheitsteam Aktivitäten festhalten, die harmlos sind, welche allerdings eine Mitteilung von der Sicherheitslösung auslöst. Meist handelt es sich hierbei um die Aktivitäten einer bestimmten User-Gruppe, der man vertraut. Somit kann im Vorhinein die Anzahl an Mitteilungen reduziert werden, wenn man solche Aktivitäten auf entsprechende Listen setzt. Die Sicherheitslösung wird dann keine Mitteilung auswerfen.
Weiter führt Microsoft Sentinel Benutzer- und Entitätsverhaltensanalysen durch. Infolgedessen entstehen Verhaltensprofile, die das einzigartige Verhalten innerhalb ihrer Organisation repräsentieren. So wird es für ihr Sicherheitsteam möglich, diese Profile in die Evaluation einer Gefahr einfließen zu lassen. Dadurch verbessert sich die Evaluation, da die Unterschiede von ihrem Unternehmen zum Durchschnittsunternehmen berücksichtigt werden können. Schlussendlich wird so den richtigen Warnungen Aufmerksamkeit und Ressourcen gewidmet.
Fazit
Ein hohes Alarm-Volumen in der Cybersecurity ist nicht gleichbedeutend mit einem guten Schutz gegen Cybergefahren. Es bedarf einer angemessenen Menge an Mitteilungen an das Sicherheitsteam, damit dieses sich um die Vorfälle kümmern kann, bei der die automatisierten Abläufe der Sicherheitslösungen nicht ausreichen. Zudem ist es wichtig, dass sich das Sicherheitsteam um relevante Meldungen kümmert. Überall dort, wo Sicherheitslösungen automatisiert die Gefahren erfolgreich bekämpfen können, sollen die Sicherheitsteams entlastet werden. Grundvoraussetzung hierfür ist modernste technische Unterstützung in Form von maschinellem Lernen, Künstlicher Intelligenz und Automation.
Bei Fragen oder Anregungen zum Thema Zero Trust Security, IT-Security oder Security Governance stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.
