Share
Beitragsbild zu Verbesserung der Sicherheitserkennung: Eine völlig neue Art der risikobasierten Alarmierung

Verbesserung der Sicherheitserkennung: Eine völlig neue Art der risikobasierten Alarmierung

Was ist risikobasierte Alarmierung?

Risikobasiertes Alerting (RBA) ist eine Strategie, die Datenanalyse und Priorisierung verwendet, um Warnungen oder Benachrichtigungen auszugeben, wenn potenzielle Risiken bestimmte vordefinierte Werte erreichen. Der Schweregrad und die potenziellen Auswirkungen einer Warnung werden bewertet, und eine Warnung, die auf eine potenzielle Datenverletzung oder kritische Systemkompromittierung hinweist, wird einer höheren Risikostufe zugeordnet als eine Warnung, die sich auf einen isolierten Vorfall mit geringen Auswirkungen bezieht. Sobald den erkannten Ereignissen Risikobewertungen und Verstärkungsfaktoren zugewiesen wurden, kann das System Warnmeldungen auf der Grundlage der zugehörigen Risikostufen priorisieren. Ereignisse mit höherem Risiko und höherer Priorität werden an Sicherheitsanalysten weitergeleitet, die sofortige Maßnahmen ergreifen können, oder an automatische Reaktionsmechanismen.

Dieser Ansatz gilt als effizienter und effektiver als die Generierung von Warnmeldungen für jedes mögliche Ereignis und hilft Unternehmen, Risiken gezielter zu verwalten und darauf zu reagieren. Im Laufe der Zeit sollte sich die risikobasierte Alarmierung auf der Grundlage der Erfahrungen und Anpassungen eines Unternehmens weiterentwickeln und verbessern. Diese Anpassungsfähigkeit soll sicherstellen, dass die Sicherheitsstrategie angesichts der sich verändernden Bedrohungslandschaft wirksam bleibt. Schließlich geht es auch um Geld: Durch die gezielte Ausrichtung auf Hochrisikobereiche und -bedrohungen können Unternehmen ihr Sicherheitsbudget effizienter einsetzen und sicherstellen, dass Investitionen dort getätigt werden, wo sie am dringendsten benötigt werden.

Network Detection and Response (NDR) ermöglicht es Unternehmen, mithilfe von kontinuierlicher Überwachung, maschinellem Lernen und kontextbezogener Intelligenz fortschrittliche Bedrohungsbewertungen zu erstellen, die möglicherweise auf der Grundlage der unternehmenseigenen Risikoannahmen gewichtet werden, und somit Warnmeldungen entsprechend dem wahrgenommenen Risikograd zu priorisieren und zu kategorisieren, wodurch die Identifizierung von Bedrohungen und die Reaktion darauf verbessert werden.

 

How RBA reduces alert volumes - Exeon graph 4.webp

Ein neuer Standard, der über das übliche Maß hinausgeht

NDR-Lösungen überwachen kontinuierlich den Netzwerkverkehr, Endpunkte und andere Datenquellen, um potenziell verdächtige oder bösartige Aktivitäten zu identifizieren. Sie sammeln und aggregieren Daten aus verschiedenen Quellen, wie Netzwerkgeräten, Servern, Anwendungen und Endpunkten. Zu diesen Daten gehören Netzwerkprotokolle (NetFlow, IPFIX, Firewall-Protokolle) sowie andere Kommunikationsprotokolle, Ereignisse und Warnungen oder Verbindungen, die vom System erzeugt oder von internen Servern ausgelöst werden.

Die gesammelten Daten werden vom NDR normalisiert und angereichert, um sicherzustellen, dass sie in einem einheitlichen Format vorliegen und so viel Kontext wie möglich enthalten. Die Anreicherung umfasst das Hinzufügen von Metadaten, Anlagendetails, Benutzerinformationen und die möglichen Auswirkungen des Ereignisses, z. B. Quelle und Ziel. Dies ermöglicht eine noch umfassendere Überwachung möglicher Anomalien, kontextbezogener Informationen über den Netzwerkverkehr und das Benutzerverhalten.

Die Echtzeit-Verhaltensanalyse des Netzwerkverkehrs und der Benutzeraktionen durch den NDR und der umfassende Kontext können die Genauigkeit der individuellen Risikobewertung verbessern und ermöglichen eine schnelle Identifizierung und Reaktion, selbst auf fortgeschrittene Vorfälle, APTs (Advanced Persistent Threats).

How ExeonTrace, a leading ML-based NDR, analyzes meta data in order to provide network visibility, anomaly detection and incident response

Wie gut funktioniert die risikobasierte Alarmierung mit NDR?

Der Mehrwert einer Network Detection and Response (NDR)-Lösung für risikobasiertes Alerting liegt neben den kontinuierlichen Überwachungsfunktionen in der Implementierung von maschinellem Lernen: Es erleichtert risikobasiertes Alerting durch die Verwendung von fortschrittlichen Analysen, Kontextinformationen, Bedrohungsdaten und Verhaltensanalysen, um das potenzielle Risiko im Zusammenhang mit den erkannten Ereignissen in den verschiedenen Netzwerkbereichen zu bewerten. NDR-Lösungen können Ereignisse unterschiedlich gewichtet auslösen und auf der Grundlage der Risikobewertungen auf Vorfälle reagieren, indem sie z. B. gefährdete Endpunkte isolieren oder bösartigen Datenverkehr blockieren.

Die Schweizer NDR-Lösung ExeonTrace verfügt über dynamische Analyse- und Machine-Learning-Funktionen. Sie nutzt verhaltensbasierte Anomalie-Erkennungstechniken, um Bedrohungen aufgrund von Abweichungen vom normalen Netzwerk- und Benutzerverhalten zu identifizieren.

Die maschinellen Lernalgorithmen in ExeonTrace erkennen Muster und Anomalien im Netzwerkverkehr. Die Algorithmen können mit oder ohne vorab zugewiesene Risikowerte eine Warnung ausgeben, die auf Abweichungen von etablierten Mustern basiert. Ungewöhnliche Aktivitäten mit hohen Anomaliewerten in kritischen Netzwerkbereichen können als risikoreiche Ereignisse gekennzeichnet werden. Während SIEMs meist Ereignisse generieren, können NDRs sehr gut zwischen einem Ereignis und einem Alarm unterscheiden. Ein Ereignis ist eine – z.B. von SIEM beobachtete – Veränderung des normalen Verhaltens des Systems oder einer Person, z.B. wenn Router-ACLs aktualisiert wurden, die Firewall-Policy gepusht wurde usw. Ein wichtigerer Alarm ist hingegen die Benachrichtigung, wenn ein bestimmtes Ereignis eingetreten ist (das durch die SOC-Definition, Bedrohungsmuster oder ML-Algorithmen als abnormal und potenziell verdächtig definiert oder identifiziert und in einen Kontext gebracht wird) und über NDR gesendet wird, um Maßnahmen für das Sicherheitsteam einzuleiten, z. B. wenn eine bösartige, laufende Kommunikation zwischen Endpunkten stattfindet. Die generierten Ereignisse werden immer nach einem Bedrohungs-Score bewertet, und wenn ein bestimmter Schwellenwert überschritten wird, werden Alarme ausgelöst.

Um die risikobasierte Alarmierung zu verbessern, beinhaltet ExeonTrace das Konzept des „Risk Boosting“. Es arbeitet mit einem zusätzlichen Verstärkungsfaktor für unterschiedliche Netzwerke: In der Konfiguration können SOC-Analysten Netzwerke/IPs angeben, die sie höher gewichten wollen. Dies verbessert die risikobasierte Alarmierung und ermöglicht es ihnen, Alarme auf der Grundlage ihrer potenziellen Bedrohungsstufe zu priorisieren und gleichzeitig einzelne Anomalien unabhängig von ihrer Anlagenklasse zu überwachen. Das Herausfiltern von Alarmen mit geringerer Priorität oder von Fehlalarmen kann die Alarmmüdigkeit verringern: Die Verwendung von „Verstärkungsfaktoren“, die standardmäßig auf 1 eingestellt sind, kann zu weniger Alarmen führen, indem die Skala für weniger kritische Netzwerke auf einen Wert unter 1 reduziert wird. Ein Risikofaktor, der auf ein Vielfaches von 1 eingestellt ist, führt zu einer höheren Anzahl von Alarmen im Vergleich zur vorherigen Situation und sollte insbesondere für kritische Netzwerke verwendet werden.

Bessere Sichtbarkeit und schnellere Qualifizierung für Ihre RBA: NDR vs. SIEM

Risikobasierte Alarmierung in einem Security Information and Event Management System (SIEM) ist möglich, aber nicht ohne Herausforderungen. Die reine Anzahl von Ereignissen kann sowohl zu falsch negativen als auch zu falsch positiven Meldungen führen, wodurch möglicherweise echte Bedrohungen übersehen oder Sicherheitsteams mit Warnmeldungen niedriger Priorität überfordert werden.

Da NDR in erster Linie netzwerkorientiert ist, eignet es sich gut für die Erkennung und Eindämmung netzwerkbezogener Bedrohungen, während Tools wie das sehr umfassende SIEM möglicherweise nicht die gleiche Tiefe der Netzwerktransparenz erreichen.

Die risikobasierte Alarmierung mit einem NDR und maschinellem Lernen kann die Anzahl der falsch-positiven und irrelevanten Alarme reduzieren, so dass sich die Sicherheitsteams auf echte Bedrohungen konzentrieren können. Das bedeutet, dass weniger Zeit mit der Untersuchung von Nicht-Problemen verschwendet wird: Anders als bei einem SIEM können Ermüdungserscheinungen und verschwendete Ressourcen minimiert werden, was NDR zu einer entscheidenden Komponente einer proaktiven und effektiven Cybersicherheitsstrategie macht. Mit Hilfe des maschinellen Lernens im NDR kann die Reaktion auf risikoreiche Alarme automatisiert werden, während SIEM-Systeme für ihre Reaktionsmaßnahmen oft zunächst manuelle Eingriffe erfordern. Die Algorithmen des maschinellen Lernens im NDR können historische Daten analysieren, um potenzielle zukünftige Bedrohungen vorherzusagen.

Das System kann sich an neue und sich entwickelnde Bedrohungen anpassen, indem es kontinuierlich aus den eingehenden Daten lernt und seine RBA-Risikobewertungsfunktionen mit der Zeit verbessert.

Durch die Konzentration auf Hochrisikowarnungen erleichtern NDR-Systeme auch einen organisierten und effizienten Reaktionsprozess auf Vorfälle. Die Entscheidungsfindung wird gestrafft, und es wird sichergestellt, dass der Aufwand für die Reaktion dem Risiko angemessen ist. Sogar eine automatisierte Reaktion auf Vorfälle ist möglich, z. B. das Isolieren anfälliger Endpunkte oder das Blockieren von bösartigem Datenverkehr, während SIEM-Systeme für Reaktionsmaßnahmen möglicherweise zunächst manuelle Eingriffe erfordern. Darüber hinaus stellt sich die Frage nach der subjektiven Priorisierung von Warnmeldungen und der Bedeutung von genauen Kontextinformationen. Insider-Bedrohungen können übersehen werden, und die Datenqualität und Altsysteme können zu blinden Flecken führen. Die Einhaltung gesetzlicher Vorschriften ist möglicherweise nicht mit der risikobasierten Alarmierung vereinbar, was sich auf Unternehmen auswirkt, die bestimmten Vorschriften unterliegen.

Machen Sie es einfach, aber effizient: Weniger Fehlalarme, mehr Erkennung

Zusammenfassend lässt sich sagen, dass die risikobasierte Alarmierung zwar die Sicherheit erhöht, aber auch Probleme wie Fehlalarme, Komplexität, sich entwickelnde Bedrohungen, Ressourcenzuweisung, Insider-Bedrohungen und Datenqualität berücksichtigen muss. NDR-Lösungen sind für die risikobasierte Alarmierung besser geeignet, da sie sich auf die Echtzeit-Transparenz des Netzwerks, die Verhaltensanalyse und die Reduzierung von Fehlalarmen konzentrieren. Während SIEM-Systeme ihre Stärken in der Protokollverwaltung und historischen Analyse haben, ist NDR eine wichtige Komponente im Hinblick auf die sich entwickelnde Bedrohungslandschaft und die Notwendigkeit einer frühzeitigen Risikobewertung.

Wenn Sie genauere Informationen darüber wünschen, wie dies konkret für Unternehmen und spezifische Anwendungsfälle funktioniert, laden Sie das nachstehende Whitepaper herunter oder sprechen Sie mit einem unserer Sicherheitsexperten.

Remove False Positives, Raise the Bar
A Security Detection Whitepaper

 

Firma zum Thema

ftapi

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden