Was ist schlimmer, wenn es um ungenaue Daten geht: ein falsches Negativ oder ein falsches Positiv? Die Frage ist ein wenig unfair, denn natürlich will niemand beides. Aber sie erinnert daran, dass falsch negative Daten oft als die problematischere Art der Ungenauigkeit angesehen werden. Ein falsches Negativ bedeutet, dass etwas (meist Schlimmes) übersehen wurde. Das, was man aufdecken wollte, ist tatsächlich da, aber man hat es nicht gefunden. So wie bei einer Röntgenuntersuchung, bei der ein verdächtiger Tumor nicht entdeckt wurde. Oder eine Fingerabdruckanalyse, die den Verbrecher nicht korrekt identifiziert hat.
Falsch-positive Meldungen sind dagegen eher als harmlose Fehlalarme zu betrachten. Sie dachten, Sie hätten etwas Schändliches gefunden, aber es ist eigentlich gutartig. "Der Arzt sagte mir, ich hätte eine bedenkliche Diagnose, aber es stellte sich heraus, dass ich gesund bin. Puh!
Im Bereich der Cybersicherheit können falsch-positive Ergebnisse jedoch ebenso problematisch sein wie falsch-negative. Das Fehlen von Beweisen für eine bösartige Bedrohung (Ihr falsches Negativ) ist zweifellos schlecht. Aber Zeit und Ressourcen zu verschwenden, um etwas zu untersuchen, von dem Sie glauben, dass es bösartig ist, es aber nicht ist (Ihr falsches Positiv) - das ist auch schlecht.
Falsche Positivmeldungen sind weit verbreitet
Eine neue Studie zeigt, dass Bedrohungsjäger Fehlalarme als eine ihrer größten Herausforderungen betrachten. In unserem demnächst erscheinenden Bericht "State of Bedrohungsabwehr ", in dem über 200 Bedrohungsjäger in Nordamerika und Europa befragt wurden, gaben die Befragten an, dass die Beseitigung von Fehlalarmen zu den drei wichtigsten Dingen gehört, die ihre Arbeit erleichtern würden. Ungefähr ⅓ der Befragten gaben an, dass mehr als 20 % ihrer Bedrohungsabwehr Ergebnisse im letzten Jahr falsch positiv waren.
Censys Bericht über den Stand der Dinge Bedrohungsabwehr
Warum False Positives problematisch sind
1.Alert Müdigkeit und Desensibilisierung
Eine der unmittelbarsten und folgenreichsten Auswirkungen von Fehlalarmen ist die Alarmmüdigkeit. Wenn Sicherheitsteams mit einer Flut von Alarmen überschwemmt werden, von denen sich viele als Fehlalarme herausstellen, ist die natürliche Reaktion eine Desensibilisierung. Im Laufe der Zeit können Teams selbstgefällig werden oder, schlimmer noch, Alarme ganz ignorieren, wodurch eine Umgebung entsteht, in der echte Bedrohungen unentdeckt bleiben könnten.
2. Vergeudete Zeit und Anstrengung
Falschmeldungen erfordern die Aufmerksamkeit der Teams, Untersuchungen und Ressourcen. Jeder Moment, der damit verbracht wird, ein gutartiges Ereignis aufzuspüren, ist ein Moment, der nicht für die Bewältigung echter Bedrohungen verwendet wird. Diese Abzweigung von Ressourcen kann zu Ineffizienzen und unnötiger Belastung der Cybersicherheitsteams führen und ihre Fähigkeit beeinträchtigen, sich auf die eigentlichen Sicherheitsbelange zu konzentrieren.
3. Erosion des Vertrauens in Sicherheitswerkzeuge
Das wiederholte Auftreten von Fehlalarmen untergräbt das Vertrauen, das Teams in ihre Sicherheitstools setzen. Wenn sich Bedrohungsjäger nicht auf die Genauigkeit ihrer Tools verlassen können, untergräbt dies die Glaubwürdigkeit der gesamten Sicherheitsinfrastruktur. Dieser Vertrauensschwund kann weitreichende Folgen haben, da Unternehmen dadurch möglicherweise für tatsächliche Bedrohungen anfällig werden.
4. Schlechte Entscheidungsfindung
Im schlimmsten Fall können Fehlalarme die Unternehmensleitung zu unklugen Entscheidungen veranlassen. Wenn ein CISO der Meinung ist, dass das Unternehmen einer wirklich glaubwürdigen Bedrohung ausgesetzt ist oder erfolgreich angegriffen wurde, könnte er eine Reaktion auf den Vorfall einleiten, die eine Warnung an den Vorstand, die Mitglieder des Verwaltungsrats oder sogar die Kunden beinhaltet. Die Zurücknahme dieser Art von Warnungen kann das Vertrauen in das Cybersicherheitsteam und die Führung des Unternehmens beeinträchtigen.
Häufige Ursachen für False Positives
1. Übermäßig aggressive Unterschriften
Sicherheitstools, die zu aggressive, auf Signaturen basierende Erkennungsmethoden verwenden, können Fehlalarme auslösen, indem sie normale oder gutartige Aktivitäten als bösartig fehlinterpretieren. Die Abstimmung dieser Signaturen auf ein ausgewogenes Verhältnis zwischen Empfindlichkeit und Spezifität ist ein entscheidender Faktor, um die Wahrscheinlichkeit von Fehlalarmen zu verringern.
2. Fehlende kontextabhängige Analyse
Vielen Sicherheitstools fehlt das nötige Kontextbewusstsein, um zwischen normalen und verdächtigen Aktivitäten unterscheiden zu können. Ohne ein differenziertes Verständnis der spezifischen Umgebung eines Unternehmens können diese Tools Routineaktionen als potenzielle Bedrohungen kennzeichnen.
3. Veraltete, unvollständige Internet-Informationen
Die Wirksamkeit von Bedrohungsabwehr hängt in hohem Maße von der Qualität und Relevanz der Internet-Informationen ab. Veraltete oder unvollständige Informationsquellen können zu Fehlinterpretationen führen, die zu falsch positiven Ergebnissen führen. Die Verwendung vollständiger, genauer und aktueller Internet-Intelligence-Quellen (d. h. die Daten werden täglich und nicht wöchentlich aktualisiert) ist für die Gewährleistung der Genauigkeit und die Vermeidung von Fehlalarmen von entscheidender Bedeutung.
Zusätzlich zu den direkten Quellen für Internetinformationen, auf die sich Bedrohungsjäger verlassen können, ist es wichtig, die Informationen zu berücksichtigen, die ihren Bedrohungsabwehr Tools zugrunde liegen. Stützen sich die von Ihnen verwendeten Tools auf zuverlässige Daten?
Falsche Positivmeldungen sind nicht unvermeidlich
Bedrohungsjäger müssen sich nicht damit abfinden, dass es immer wieder zu Fehlalarmen kommt. Wenn Sie sich auf frische, vollständige Internet-Informationen verlassen und Tools verwenden, die eine kontextbezogene Analyse ermöglichen, müssen Fehlalarme nicht ständig Ihre Bedrohungsabwehr Untersuchungen beeinträchtigen.
Erfahren Sie mehr darüber, wie Censys' proprietäre, branchenführende Internet-Intelligenz dazu beiträgt, die Wahrscheinlichkeit von Fehlalarmen zu verringern.
