Email Security 2022

    Falschmeldungen belasten weiterhin die Cybersicherheitsbranche

    Falsch positive Sicherheitswarnungen werden die Ressourcen und die Leistung des Cybersecurity-Teams weiter belasten, bis die Automatisierung vollständig implementiert und eng integriert ist.

    by Karen Lynch
    0071-000165b.jpg

    Wichtige Punkte

    • Inmitten einer "Alarmflut" sehen sich Cybersicherheitsexperten mit einem besonders akuten Problem konfrontiert, nämlich der Bewältigung der Flut von falsch-positiven Alarmen.
    • Neue Umfragedaten unterstreichen die Auswirkungen auf die nachhaltige Sicherheit und die Zufriedenheit der Mitarbeiter.
    • Automatisierung und Integration bei der Überwachung und dem Schutz vor Bedrohungen werden die Verwaltung von Warnmeldungen deutlich vereinfachen.

    Das Problem der Fehlalarme in der Cybersicherheit will einfach nicht verschwinden. Es gibt immer mehr Beweise dafür, wie sehr Fehlalarme die IT-Sicherheitsteams von Unternehmen und die von ihnen aufgebauten Schutzmaßnahmen untergraben. Und obwohl Innovationen im Bereich der Bedrohungsüberwachung und des Schutzes das Problem angehen, brauchen die meisten Unternehmen Zeit, um sie einzuführen.

    Das Problem beginnt mit der schieren Menge an Warnungen, die von Tools zur Überwachung und zum Schutz vor Bedrohungen ausgelöst werden. Chronisch unterbesetzte Cybersecurity-Teams sind kaum in der Lage, sie alle zu bewältigen, und viele sind in dem gefangen, was ein Beobachter als "Tinder für bösartiges Verhalten" bezeichnete - sie wischen effektiv nach rechts oder links durch eine Vielzahl potenzieller Bedrohungen. Auf der grundlegendsten Ebene, in einem Security Operations Center (SOC), "ist das eine Art Arbeitsablauf, und es ist einfach ein Rezept für Fehler", sagte Patrick Gray, Moderator eines Sicherheitspodcasts.[i] Das Problem wird durch die fehlende Integration verschiedener Tools zur Überwachung von Bedrohungen noch verschlimmert, so dass die Analysten von Dashboard zu Dashboard wandern.

    Falsch positive Sicherheitswarnungen machen Berichten zufolge ein Drittel bis die Hälfte aller Warnmeldungen aus. Zwar sind die Tools zur Überwachung und zum Schutz vor Bedrohungen darauf ausgerichtet, verdächtige Ereignisse zu erkennen, doch allzu oft erzeugen sie falsche Warnungen bei gut verstandenen, sicheren Aktivitäten, die das Personal dennoch untersuchen muss.

    Umfragen zeigen Besorgnis über Überwachung und Schutz vor Bedrohungen

    Umfragen unter Fachleuten für Cybersicherheit unterscheiden sich zwar im Detail, zeigen aber eine einheitlich große Besorgnis darüber, wie viel Zeit mit der Verfolgung falscher Spuren verschwendet wird, was von proaktiven Sicherheitsmaßnahmen ablenkt und das Risiko erhöht, echte Bedrohungen zu übersehen. Hier sind einige der Ergebnisse zur Überwachung und zum Schutz vor Bedrohungen:

    • Umfang und Qualität der Warnmeldungen: Laut Forrester's 2020 State of Security Operations bearbeitet ein durchschnittliches SOC-Team über 11.000 Warnmeldungen pro Tag, meist manuell. Fast ein Drittel davon sind Fehlalarme. Weniger als die Hälfte der Teams gibt an, dass sie in der Lage sind, alle Warnungen an einem einzigen Tag zu bearbeiten, und mehr als ein Viertel der Warnungen wird von Analysten ignoriert, die mit der Arbeitsbelastung nicht zurechtkommen.[ii]
    • Zeitverschwendung durch falsch-positive Warnmeldungen: Die Mehrheit der Befragten einer anderen Umfrage verbringt bis zu fünf Stunden pro Tag mit der Untersuchung von Warnmeldungen. Fast die Hälfte von ihnen stellt fest, dass es sich bei der Hälfte ihrer Warnmeldungen um Fehlalarme handelt.[iii]
    • Erhöhtes Risiko durch Alarme: Die im Bericht 2020 State of SecOps and Automation von Dimensional Research befragten Sicherheitsexperten gaben an, dass die Menge an Alarmen und falschen Hinweisen von wichtigeren Problemen ablenkt und das Sicherheitsrisiko erhöht. Siebzig Prozent der Befragten gaben an, dass sich das Gesamtvolumen der Sicherheitswarnungen in den letzten fünf Jahren verdoppelt hat. Zwei Drittel der Befragten gaben an, dass sie Zeit mit der Verfolgung von Fehlalarmen verschwenden.[iv]
    • Die Sorgen kleiner Teams: CISOs mit kleineren Cybersicherheitsteams nennen "zu viele Alarme" als einen ihrer fünf größten Schmerzpunkte in der Umfrage 2021 von Cynet, einem IT-Personal- und Personalvermittlungsunternehmen, unter CISOs mit kleinen Cybersicherheitsteams. Fast vier von fünf haben ein Vollzeit-Teammitglied, das sich um Warnmeldungen kümmert. Die anderen größten Beschwerden der CISOs hängen alle miteinander zusammen: sich überschneidende Technologien, zu viele Dashboards, Verzögerungen bei der Datenverarbeitung und letztlich die Unfähigkeit, das Gesamtbild eines Angriffs zu überblicken.[v]

    Falsch positive Sicherheitswarnungen tragen zum Mangel an Fachkräften bei

    Nur wenige Sicherheitsteams können es sich leisten, Zeit mit Fehlalarmen zu verschwenden. Aufgrund des anhaltenden Fachkräftemangels in der Branche haben CISOs Schwierigkeiten, genügend Analysten für die Überwachung und den Schutz von Bedrohungen einzustellen. Und in einem Teufelskreis kann die "Alarmmüdigkeit" zu Unzufriedenheit und Kündigung der Mitarbeiter führen. Wie eine Forbes-Schlagzeile es ausdrückte: "Cybersicherheit hat ein Personalproblem". [vi]

    Darüber hinaus "ist es offensichtlich, dass die Einstellung und Bindung von Mitarbeitern im Bereich der Cybersicherheit nicht nur eine Herausforderung für die Teams ist - sie kann einen sehr realen Einfluss auf die Sicherheit ihrer Unternehmen haben", sagte Sandy Silk, Direktorin der IT Security Education & Consulting, Harvard University.[vii] Umfrageergebnisse zu diesem Thema sind

    • Unterbesetzung: Fast zwei Drittel der Sicherheitsteams sind laut dem State of Cybersecurity 2020 von ISACA, einem IT-Fachverband, weiterhin unterbesetzt. Mehr als ein Drittel der Befragten, die drei Monate oder länger gebraucht haben, um Stellen zu besetzen, mussten eine Zunahme der Angriffe verzeichnen.[viii]
    • Unzufriedenheit der Mitarbeiter: In der Studie Life and Times of Cybersecurity Professionals 2020 der Enterprise Strategy Group nannte fast ein Drittel der Cybersicherheitsexperten eine überwältigende Arbeitsbelastung als den stressigsten Aspekt ihrer Arbeit, und etwa ein Fünftel nannte "ständige Notfälle und Störungen, die mich von meinen Hauptaufgaben ablenken". Fast ein Drittel gab an, dass sie oder ein Kollege infolgedessen erhebliche persönliche Probleme hatten. [ix]

    Technologie ist Ursache und Heilmittel zugleich

    Die meisten sind sich einig, dass Automatisierung helfen kann, ihr Problem mit dem Volumen und der Qualität der Warnungen zu lösen, obwohl etwa zwei Drittel nur teilweise automatisiert haben, so der 2020 State of SecOps and Automation Report. Diejenigen, die automatisiert haben, stehen oft vor der Herausforderung, mehrere Tools zur Überwachung und zum Schutz vor Bedrohungen zu verwalten.

    Künftig werden CISOs verstärkt Plattformen nutzen, die Bedrohungsdaten aus verschiedenen Quellen integrieren. Anbieter wie Mimecast beispielsweise blockieren als sicherer E-Mail-Dienstleister nicht nur Cyberangriffe, sondern bieten auch die Integration mit führenden Systemen für security orchestration, automation and response (SOAR).

    Die Quintessenz

    Technologische Lösungen für das hartnäckige Problem der falsch-positiven Sicherheitswarnungen sind auf dem Weg. Für viele Unternehmen wird es jedoch einige Zeit dauern, bis diese Lösungen zur Überwachung und zum Schutz vor Bedrohungen eingeführt werden können. In der Zwischenzeit bleiben das Risiko von Cyberangriffen und die Unzufriedenheit der Mitarbeiter in den Cybersecurity-Teams für diejenigen höher, die sich nicht an die Regeln halten.

    [i] "Schlangenöler"-Podcast

    [ii] "The 2020 State of Security Operations," Forrester

    [iii] "Die Auswirkungen der Überlastung durch Sicherheitswarnungen," CriticalStart

    [iv] "2020 State of SecOps and Automation," Dimensional Research

    [v] "2021 Umfrage unter CISOs mit kleinen Sicherheitsteams," Cynet

    [vi] "Cybersecurity Has A People Problem," Forbes

    [vii] "Stand der Cybersicherheit 2020, Teil 2," ISACA

    [viii] "Stand der Cybersicherheit 2020, Teil 2," ISACA

    [ix] "The Life and Times of Cybersecurity Professionals 2020," Enterprise Strategy Group

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang