Channel Fokus: Datacenter & IT-Automation Die Stunde der MSPs

Autor Melanie Staudacher

Wieso sind Fehlalarme in Unternehmen gefährlich und wieso wird die Automatisierung immer wichtiger? Andreas Bunten, IT-Security Consultant beim Managed Service Provider (MSP) Controlware, über Alarmmüdigkeit, Machine Learning und Security Awareness.

Anbieter zum Thema

Stress und zu viele falsche Alarme können die Mitarbeiter in Security-Abteilungen belasten und zu Fehlern durch Alarmermüdung führen. Automatisierung soll sie davor bewahren, ständig durch Fehlalarme belastet zu werden.
Stress und zu viele falsche Alarme können die Mitarbeiter in Security-Abteilungen belasten und zu Fehlern durch Alarmermüdung führen. Automatisierung soll sie davor bewahren, ständig durch Fehlalarme belastet zu werden.
(Bild: Reddogs - stock.adobe.com)

Vulnerability Management, Advanced Log Analytics und Advanced Threat Detection. Wem diese Begriffe nichts sagen, der hat noch nicht im SOC (Security Operation Center) gearbeitet. Im SOC gehört es zum täglichen Ablauf, Schwachstellen und Sicherheitslücken im Unternehmen zu finden, zu bewerten und zu priorisieren. Doch zunehmende Angriffsflächen und häufige Fehlalarmen machen den Sicherheitsexperten zu schaffen.

Fehlalarme machen müde

Andreas Bunten, IT-Security Consultant bei Controlware
Andreas Bunten, IT-Security Consultant bei Controlware
(Bild: Controlware)

Alarm Fatigue, die sogenannte Alarmermüdung kann bei IT-Mitarbeitern auftreten, wenn sie einer großen Anzahl häufiger Fehlalarme ausgesetzt sind und folglich für Meldungen desensibilisiert werden. Dies kann zu längeren Reaktionszeiten oder Fehlern führen. Andreas Bunten, IT-Security Consultant bei Controlware, sagt, dass SOC-Mitarbeiter unter Umständen Burn Out gefährdet sind. „Wir sehen sehr viele Log-Meldungen und Alarme, die nicht relevant sind. Andererseits kommt es dann auf einzelne Aspekte an, die sich dazwischen verbergen und nicht ganz offensichtlich sind. Diese können einen Angriff offenbaren.“ Laut Bunten kann es passieren, dass SOC-Mitarbeiter permanent unter Stress stehen, um bloß keine Anzeichen für Angriffe zu übersehen und letztendlich möglicherweise kündigen. Das läge jedoch nicht an den Mitarbeitern selbst, sondern an der ermüdenden Aufgabe. Automatisierung kann hier die Lösung sein.

Bei der Bewertung von Alarmen setzt der IT-Dienstleister Controlware auf Künstliche Intelligenz (KI) und Machine Learning (ML). Das Ziel dabei ist es, getarnte Angriffe zeitnah zu erkennen und sicher erkannte Angriffe möglichst zu verhindern. Hacker entdecken jedoch leider immer häufiger Möglichkeiten, um an den Security-Perimetern vorbei und ins Firmennetzwerk zu gelangen. „Heutzutage kann man nicht mehr davon ausgehen, dass sich Angriffe gänzlich verhindern lassen. Sondern man muss davon ausgehen, dass ein Angriff schon erfolgreich war“, sagt Bunten. Automatisierungsprozesse entlasten die SOC-Teams dabei ungemein: „Wir bauen manuell eine Knowledge Base für jeden Kunden auf, in der die Besonderheiten seiner IT-Infrastruktur festgehalten werden, die manchmal Falschmeldungen generieren. Die Falschmeldungen werden dann automatisiert verarbeitet. So können sich die Analysten auf das konzentrieren, was wirklich relevant ist.“

Nicht alles geht automatisch

Eine große Belastung sind für SOC-Teams sogenannte False Positives. Dabei wird die legitime Aktion eines Nutzers als Angriff gemeldet. Diese Fehlalarme gilt es, frühzeitig und automatisiert zu erkennen. Um eine möglichst gute Vorqualifizierung der Log-Meldungen zu erhalten, setzt Buntens Team Sandbox-Technologien und Network Anomalie Detection als Input für SIEM-Systeme ein. Dennoch kann es passieren, dass trotz Automatisierung Fehlalarme aufschlagen. Laut Bunten haben Hersteller in den Bereichen KI und ML erhebliche Fortschritte gemacht, um Angriffe zu erkennen. „Den Algorithmen fehlt leider noch allgemeines Grundverständnis für den Kontext, in dem zum Beispiel E-Mails verschickt werden“, sagt Bunten. Zwar könne ein Algorithmus erkennen, ob eine E-Mail typische Eigenschaften eines Phishing-Angriffs besitzt, aber nur ein menschlicher Analyst versteht, dass die E-Mail eigentlich nur ein Vorwand zum Stehlen von Zugangsdaten darstellt. „Wenn ich zum Beispiel eine echt aussehende E-Mail von einem meiner Kontakte erhalte und ich in der Nachricht sogar richtig zitiert werde, die Nachricht allerdings die Antwort auf Weihnachtsgrüße von 2018 ist, kann das System diesen Angriff nicht erkennen. Dem Maschinellen Lernen fehlt der Kontext, dass man auf Weihnachtsgrüße nicht zwei Jahre später antwortet. Deswegen sind manuelle Eingriffe in der Regel immer noch erforderlich.“

Hidden Heros

„Je weiter sich KI und ML entwickeln, desto besser für uns im SOC“, meint Bunten. Dennoch gäbe es eine Schwelle des gesunden Menschenverstandes, die ML noch nicht verstehen könne. Deswegen würde ein SOC-Analyst immer derjenige bleiben, der auf das Ergebnis einer automatischen Analyse schaut und letztendlich den Kunden berät. Automatisierung sei jedoch auf jeden Fall eine Schlüssellösung, um den Part für SOC-Mitarbeiter zu reduzieren, der zu Burn Out und zu Ermüdung führt.

Buntens Empfehlungen für Unternehmen mit eigenem SOC-Team sind deshalb:

  • ein ausreichend großes Team zu haben,
  • dem Team möglichst viel Kontrolle über die Umgebung einzuräumen,
  • das Team zu motivieren, indem es viele Optimierungen am Setup selbst durchführen kann und
  • schlechte Alarmquellen, wie beispielsweise drei falsche Anmeldungen eines Nutzers, die zu einem Fehlalarm führen, auszuschließen.

Controlware bietet das Monitoring der Systeme als Managed Service an. Buntens Erfahrung zeigt, dass in einem SOC sehr viel passiert, von dem das betreute Unternehmen gar nichts mitbekommt. Denn aufgrund von Sicherheits-Policies würden Anwender oftmals Alarme auslösen, die sie überhaupt nicht bemerken. Dass nur wirklich relevante Informationen dem Kunden gemeldet werden, sei laut Bunten essenziell. „Wenn das SOC zu viele False Positives an den Kunden weiterleitet, wird der Kunde irgendwann nicht mehr reagieren. Und wenn dann mal ein echter Angriff dabei ist, wird dieser eventuell nicht beachtet.“

Vorbeugen durch Bewusstsein

Oftmals ist den Nutzern ihr möglicherweise unvorsichtiges Verhalten nicht bewusst. Für Bunten ist es deswegen ausschlaggebend, Benutzer auf gängige Angriffsarten vorzubereiten. Dazu seien Security Awareness Trainings eine gute Möglichkeit. Ebensolche Schulungen bietet Controlware an. Mit automatisierten Phishing-Tests, Fragerunden und weiteren Übungen sollen Mitarbeiter sensibilisiert werden. Er legt Unternehmen außerdem ans Herz, die eigene Sicherheitspolitik zu konkretisieren: An wen können sich die Mitarbeiter wenden, wenn sie glauben, einen Fehler gemacht zu haben? Denn für die IT-Security sei es wichtig, dass die Benutzer Fehler ohne Angst vor Konsequenzen eingestehen können. „Die Unternehmen, in denen die Mitarbeiter offen zugeben, dass sie einen Fehler gemacht haben, sind die Unternehmen, die in der IT-Security gewinnen.“

In einem SOC laufen alle sicherheitsrelevanten Informationen zusammen und werden detailliert bewertet. Laut Bunten wird dies auch in Zukunft notwendig sein. Unternehmen müssten sich jedoch fragen, ob sie diese Tätigkeit selbst übernehmen oder outsourcen. Durch die Vielzahl an Lösungen auf dem Markt und der teilweise hohen notwendigen Spezialisierung des Personals, sei es für Unternehmen oftmals schwer, diese gezielt zu benutzen und den vollen Mehrwert auszuschöpfen. Es könne also schnell zum Risiko werden, wenn eigene IT-Abteilungen den SOC-Betrieb neben den Kerntätigkeiten mitübernehmen, ohne über die dafür eigentlich notwendigen Ressourcen zu verfügen. Vor allem mittelgroße Unternehmen würden seiner Einschätzung nach einerseits die Gefahren erkennen, aber andererseits die hohen Investitionen, beispielsweise in qualifiziertes Personal, scheuen und daher immer mehr Security-Aufgaben outsourcen. „Managed Security Providern kommt eine immer größere Bedeutung zu. Wir sehen hier einen großen Markt. Es wird die Stunde der MSPs kommen.“

(ID:46903729)