Echte Warnungen von Fehlalarmen aufspüren

Unternehmen von heute sehen sich mit immer komplexer werdenden Cyberbedrohungen konfrontiert. Hacker können sich zunehmend den Präventions- und Detektivmassnahmen neuer und alter Sicherheitsinfrastrukturen entziehen und sind für Sicherheitsteams leider bittere Realität geworden. Die Herausforderung besteht darin, eine echte Warnung in einer Flut an Fehlalarmen aufzuspüren, also das Gleichgewicht zwischen Risiko und Häufigkeit zu finden. IT-Experten sehen dies als eine ihrer grössten Herausforderungen an, so die Studie „Security, Operations, Challenges, Priorities and Strategies“ von ESG Research.

Neue Technologien mit Elementen der künstlichen Intelligenz (KI) und Machine Learning (ML) unterstützen bei der Erkennung von echten Bedrohungen und optimieren Geschwindigkeit und Genauigkeit der Sicherheitszentrale. Dabei sollte die Software gemäss Logrhythm folgendes beinhalten:

1.Eine ganzheitliche Bedrohungsanalyse

Zu viele unterschiedliche Sicherheitstechnologien, die nicht zusammenarbeiten, stehen sich gegenseitig im Weg. Die Folge: IT-Experten werden von einer Informationsflut überwältigt und echte Angriffe können überhört werden. Wichtig ist daher ein einheitliches Sicherheitssystem mit einer ganzheitlichen Bedrohungsanalyse und einheitlichen Prozessen, das mit Hilfe von künstlicher Intelligenz, Cyberattacken rechtzeitig aufspüren, klassifizieren und vereinfacht darstellen kann, wo diese wann und warum entstehen. Untersucht werden dabei Endpunkt, Server, Anwendung, Gerät und Benutzer.

2. Eine transparente Plattform

Die Technologie sollte es Unternehmen schliesslich ermöglichen, sowohl bekannte als auch unbekannte Cyberbedrohungen über die gesamte Angriffsfläche hinweg zu erkennen. Auf einer Plattform müssen daher Daten gesammelt, modelliert sowie angereichert und auf deren Basis ausgefeilte Szenarioanalysen (Taktiken, Techniken, Verfahren) erstellt werden. Das Sicherheitssystem muss dabei durchgängig transparent bleiben, um IT-Experten weitere tiefgreifende Verhaltensanalysen zu ermöglichen. Nur so werden subtile Verhaltensänderungen erkannt, die auf eine potenzielle oder aktuelle Bedrohung hindeuten.

3. Optimierung der Relation von Fehlalarmen zu echten Alarmen

Eine neue Technologie muss es letztendlich möglich machen, dass sich das Verhältnis zwischen Fehlalarmen und echten Warnungen im Vergleich zu vorher optimiert. Risiko und Häufigkeit müssen mit Hilfe von KI-gestützter Analytik abgewogen und letztendlich echte von falschen Warnungen unterschieden werden – so werden Fehlalarme reduziert, jedoch nicht die Anzahl der entdeckten Angriffe. Sicherheitsanbieter müssen ihren Kunden fortschrittliche und pragmatische Ansätze bieten, mit dem Ziel Sicherheitsexperten zu entlasten und die Kosten zu verringern, ohne dabei an Qualität einzubüssen.

Text: Ross Brewer, Managing Director und Vice President EMEA, LogRhythm