:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Fehlalarme richtig bewerten False Positives – Falscher Alarm oder falsche Kennzahl?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
In der Cybersecurity steigt die Nachfrage nach Sicherheitsexperten schneller an als ihr nachgekommen werden kann und die Probleme, die daraus entstehen können, sind gewaltig, denn viele Unternehmen sind nicht mehr in der Lage, auf alle Sicherheitsvorfälle zu reagieren. Bei einer derartigen Überlastung der Arbeitskräfte sollten Ressourcen nicht an Sicherheitsbedrohungen verschwendet werden, die nicht einmal real sind.
Security-Tools sollen Alarm schlagen, wenn sie Bedrohungen identifizieren. Nur handelt es sich in der Praxis nicht immer um tatsächliche Bedrohungen. Sondern auch um normale Aktivitäten, die fälschlicherweise als Bedrohung einsortiert werden. Diese sogenannten False Positives sind daher eigentlich harmlos – binden aber trotzdem wichtige Ressourcen.
Wenn ein System einen Alarm auslöst, muss dieser vom Sicherheitsteam untersucht werden. Handelt es sich dabei aber um einen falschen Alarm, müssen die Experten ihre Zeit an eine Bedrohung verschwenden, die nicht existiert. Dies kostet Zeit und Ressourcen, welche dann im Extremfall bei echten Angriffen fehlen.
Treten False Positives kontinuierlich und gehäuft auf, kann es außerdem passieren, dass Alarmmeldungen von den Sicherheitsteams vernachlässigt oder gar ignoriert werden. So werden schlussendlich tatsächliche Bedrohungen übersehen. Dies kompromittiert die Effektivität der Sicherheitsvorkehrungen.
False Positives können also reale negative Auswirkungen auf die Sicherheit des Netzwerkes haben, weshalb sie oftmals als wichtige Kennzahl für Cybersecurity-Teams herangezogen werden. Doch was ist, wenn diese Zahl überbewertet wird?
Es kommt auch auf die Umgebungsfaktoren an!
Zur Veranschaulichung ein Beispiel aus dem DNS-Bereich. Stellen wir uns einen Algorithmus vor, der 80 Prozent aller schadhaften Domains erkennt, mit denen ein Netzwerk kommuniziert. Außerdem schätzt er 5 Prozent der legitimen Domains fälschlicherweise ebenfalls als bedrohlich ein. Diesen Algorithmus wenden wir auf einen Datensatz an, der insgesamt 50 Domains enthält, unter denen 20 Prozent, also 10 Stück, tatsächlich schadhaft sind.
Der Algorithmus liefert dann folgende Ergebnisse:
- 8 der 10 schadhaften Domains werden als gefährlich gekennzeichnet.
- 2 der 40 legitimen Domains werden fälschlicherweise als gefährlich gekennzeichnet.
- 2 der 10 schadhaften Domains werden fälschlicherweise nicht als gefährlich gekennzeichnet.
- 38 der 40 legitimen Domains werden als nicht gefährlich gekennzeichnet.
In diesem fiktiven Szenario findet der Algorithmus insgesamt 10 schadhafte Domains, wobei zwei davon eigentlich legitim sind. Die False-Positives-Rate liegt in diesem Beispiel bei 2 von 10, also bei 20 Prozent. Durch die Beschreibung des Algorithmus wäre die Vermutung fälschlicherweise nahe gelegen, dass die Rate bei 5 Prozent liegt. Bei nur 50 Domains ist das noch überschaubar.
In der Realität haben Netzwerke jedoch mit sehr viel mehr Domains zu tun. Nicht selten mit einer Anzahl in Millionen-Höhe. Hinzu kommt, dass der Anteil an schadhaften Domains oft deutlich unter 10 Prozent liegt. Deshalb passiert es nicht selten, dass die Anzahl der False Positives die der True Positives übersteigt.
Was passiert, wenn das Netzwerk aus dem Beispiel nicht 50 zu prüfende Domains umfasst, sondern eine Million? Und der Anteil der schadhaften Domains bei den realistischeren 5 Prozent anstatt bei 20 Prozent liegt? Faktisch gibt es dann insgesamt 50.000 schadhafte Domains und 950.000 legitime.
Der Algorithmus gibt in diesem Beispiel die folgenden Zahlen aus:
- 40.000 der 50.000 schadhaften Domains werden als gefährlich gekennzeichnet.
- 47.500 der 950.000 legitimen Domains werden fälschlicherweise als gefährlich gekennzeichnet.
- 10.000 der 50.000 schadhaften Domains werden fälschlicherweise nicht als gefährlich gekennzeichnet.
- 902.500 der 950.000 legitimen Domains werden als nicht gefährlich gekennzeichnet.
Die False-Positive-Rate liegt in diesem Beispiel bei 54 Prozent und übersteigt damit bereits die True Positives. Aber wie entstehen solche Zahlen? Die Antwort ist eigentlich ganz einfach. False Positives steigen proportional zur Anzahl der Objekte. In anderen Worten: je größer die Menge der legitimen Domains, desto mehr False Positives treten auf. Außerdem wird die Rate von dem Ungleichgewicht zwischen den legitimen und den schädlichen Domains beeinflusst. Dies ist ein klassisches Beispiel der Fehlerfortsetzung, welche immer wieder in der Cybersecurity vorkommt. Denn egal, ob die Analyse auf Domänennamen, URLs, Netflow oder anderen netzwerkbezogenen Daten basiert: das Volumen ist groß und das Ungleichgewicht zwischen legitimen und bösartigen Aktivitäten extrem.
Der Impact zählt!
Sollten wir also auf die Verwendung von Machine Learning in der Cybersecurity verzichten? Die Antwort lautet ganz klar nein. Viele Anbieter von Netzwerksicherheitslösungen verwenden Machine Learning und statistische Analyseverfahren, um resilientere Netzwerke zu schaffen, die besser vor Angriffen geschützt sind. Allerdings sollten sowohl Experten als auch Anwender verstehen, dass selbst die besten Algorithmen nicht allmächtig sind.
Je nach Umgebung fällt die Leistungsfähigkeit von Bedrohungsanalysen unterschiedlich aus. Die False-Positive-Rate ist daher nicht unbedingt die aussagekräftigste Kennzahl. Vielmehr kommt es darauf an, wie groß die tatsächliche Auswirkung auf Netzwerk und Ressourcen ist. Das Johns Hopkins University Applied Physics Lab (JHU/APL) nennt dies die Low-Regret-Methode für die Übernahme von Intelligenz. Sie sind Experten auf dem Feld und haben bereits Threat Intelligence Feeds für mehrere kritische Infrastrukturen getestet. Auch sind sie der festen Überzeugung, dass positive und negative Auswirkungen als Maßstab für den Erfolg beachtet werden müssen, anstatt zu versuchen, allein False Positives zu quantifizieren. Außerdem ist jede Umgebung anders, weshalb die Sicherheitslösungen immer an das Umfeld angepasst werden müssen. Nur so können individuelle Bedürfnisse erfüllt und sicherere und widerstandsfähigere Umgebungen geschaffen werden.
Security-Experten sollten sich daher die Kennzahlen hinter den Algorithmen ganz genau anschauen. „False Positive“-Rates von 0.00015 Prozent sind auch heute schon möglich. Beispielsweise durch die Verwendung von mehreren statistischen und nicht statistischen Algorithmen. Auch weitere Methoden wie die Human-in-the-Loop-Strategie und die Verwendung von mehreren Verarbeitungsebenen sind hilfreich. Insgesamt kommt eine sichere und schützende DNS-Architektur dem Unternehmen zugute. Sie gewährleistet zuverlässige sowie vertrauenswürdige DNS-Dienste, die für mehr Leistung und Schutz sorgen. Gleichzeitig reduziert sie mit Hilfe von DNS-Threat Intelligence das „Rauschen“, welches durch False Positives entsteht und einen realen Impact für die Sicherheitsteams hat.
Über den Autor: Steffen Eid ist Manager Solution Architects für Central Europe bei Infoblox. Als Fachinformatiker kennt er die Branche von der Pike auf. Seit 2016 begleitet er Infoblox auf der Reise vom Netzwerkmanagement Unternehmen zum SaaS-Anbieter für DDI-basierte Netzwerk- und Security-Lösungen.
(ID:49777179)
:quality(80)/p7i.vogel.de/wcms/a0/c8/a0c803ce5f66af3c4374f2d8ac360394/0111274640.jpeg "Vertrauenswürdige Webseiten durch „IP Use After Free“-Attacken sind die perfide Weiterentwicklung der Lookalike Domains. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/c9/b9c9606ca5d8cd7c7151864a79ec6e9f/0109224031.jpeg "Bei allen nachvollziehbaren Gründen, warum Unternehmen ihre Softwareentwicklung beschleunigen wollen, sollten sie dennoch nicht die Sicherheit ihrer Applikationen vernachlässigen. (Bild: Gorodenkoff - stock.adobe.com)")