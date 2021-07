SOC-Grundlagen: Weniger Fehlmeldungen durch besseren Kontext

Wer als Sicherheitsspezialist in einem Security Operations Center arbeitet, der wird tagein, tagaus mit einer schier endlosen Flut an Meldungen konfrontiert. Jedoch sind nicht alle dieser Nachrichten wirklich sicherheitsrelevant, denn bei einem Großteil handelt es sich um Fehlalarme oder unwichtige Informationen. Der Artikel erklärt, wie mehr Datenkontext dabei helfen kann, zwischen echten Signalen und sogenanntem Rauschen zu unterscheiden, um dem Problem der Alarmmüdigkeit entgegenzuwirken.

Zu viele Informationen überlagern sich und erzeugen auch im SOC ein störendes Rauschen.

Eine der Hauptaufgaben von Sicherheitsanalysten ist es, relevante Bedrohungsindikatoren zu erkennen und von Fehlalarmen zu unterscheiden. Wissenschaftler und Ingenieure sprechen bei dieser Trennung zwischen nützlichen und irrelevanten Daten vom Verhältnis zwischen Signal und Rauschen. Die Signale sind dabei die wichtigen Daten, das Rauschen ist alles andere. Ist das Signal-Rausch-Verhältnis unvorteilhaft, überlagert das Rauschen das, was von Wert ist. Dies ist auch eine Herausforderung für die heutigen Incident-Response-Teams, die unter Informationsüberflutung leiden. Sie werden von einer zunehmenden Menge an Daten zu Ereignissen im Netzwerk förmlich überschwemmt und haben Mühe, all diese Informationen zu sichten, um die wahren Bedrohungen zu finden.



Zu viele Daten, zu wenig Ressourcen

Das Problem, vor dem die Experten eines Security Operations Center (SOC) stehen, ist zweifacher Natur. Das erste Problem ist die Datenmenge: Es gibt Daten ohne Ende. Moderne Netzwerke sind Informationsschleudern. Und aufgrund besserer Netzwerktelemetrie wachsen die Datenmengen Jahr für Jahr weiter. Das Ergebnis ist ein Übermaß an Alarmen, die wir als "Signalkandidaten" bezeichnen: Datenpunkte, die von Interesse sind und eventuell näher untersucht werden sollten.



Ein zweites Problem kommt erschwerend hinzu: Ressourcenknappheit. SOCs tun sich schwer, genügend Mitarbeiter zu finden, um die Datenfluten aus den immer komplexeren Infrastrukturen zu bewältigen. Mangels ausreichender Kapazitäten für manuelle Untersuchungen sind viele SOCs überfordert und außerstande, die benötigten Erkenntnisse aus den eingehenden Daten zu gewinnen.



Die natürliche Reaktion auf ein unzureichendes Signal ist, mehr Daten heranzuziehen. Also schaffen viele SOCs weitere Tools und Telemetriewerkzeuge an, meist in Form von zusätzlichen Produkten aus dem Bereich Endpoint Detection & Response (EDR). Das ist jedoch der falsche Ansatz. Viele Incident-Response-Plattformen in SOCs bestehen aus Flickenteppichen aus im Laufe der Zeit erworbener Tools verschiedener Anbieter, die nicht gut zusammenarbeiten. Das macht es schwer, eine umfassende Sicht auf den Incident-Response-Prozess zu erhalten. Zudem erschwert es das Austauschen nützlicher Telemetrie-Untersuchungen innerhalb von Teams.



Werden diese Plattformen noch weiter ausgebaut, erzeugen diese zwar vielleicht mehr relevante Signale, doch hilft dieser Ansatz den SOCs nicht, sie zu erkennen. Vielmehr bewirkt er das Gegenteil und erzeugt noch mehr Rauschen, das die Nutzsignale übertönt. Jeder Versuch, dem SOC durch mehr Daten zu helfen, verschlimmert nur das zugrunde liegende Problem. Sind die Signalkandidaten schlecht gefiltert, wissen die Mitarbeiter nicht, wo sie anfangen sollen, und können echte Angriffe nicht erkennen, auf die dringend eine Reaktion erfolgen muss.