Falscherkennungen kostspieliger als Malware-Kompromittierung

Falscherkennungen kostspieliger als Malware-Kompromittierung

Falsche Geschäftsentscheidungen können sehr kostspielig sein. Das gilt auch in der Cyber Security Welt, wenn Sicherheitslösungen zu aggressiv sind.

Falsche Geschäftsentscheidungen können sehr kostspielig sein. Das gilt auch in der Cyber Security Welt, wenn Sicherheitslösungen zu aggressiv sind.

Falsche Geschäftsentscheidungen können sehr kostspielig sein. Das gilt insbesondere dann, wenn eigentlich saubere Elemente als schädlich eingestuft werden. Die Konsequenzen einer solchen Falscherkennung können sehr destruierend sein.

Aber wie können wir gleichzeitig Fehlerraten niedrig, Erkennungsraten hoch und die Sicherheitslösung stark halten? Das gelingt nur mit der Kombination aus einer fein abgestimmten Cyber Security Solution und erfahrener menschlicher Überwachung.

« Im Cyber Security Universum dreht sich im Prinzip alles um eine Grundfrage: Ist das erkannte Element sauber oder nicht? »

Im Cyber Security Universum dreht sich im Prinzip alles um eine Grundfrage: Ist das erkannte Element sauber oder nicht? Wie im echten Leben ist die Antwort auf so eine Frage komplizierter, als dass sie mit nur zwei Optionen beantwortet werden könnte. Es gibt eine große Grauzone, in der sich gut- und bösartig einander ähneln.

Etablierte Cyber Security Anbieter wie ESET, begegnen diesem Dilemma jeden Tag. Nicht nur die Kundenzahl im globalen Netzwerk des Unternehmens steigt, sondern auch die Anzahl der zu untersuchenden Elemente und das Risiko für potentielle Falsch-Positive-Erkennungen.

In der Cyber Security beschreibt letzterer Ausdruck einen Fehler eines Antivirus. Die Sicherheitslösung stuft dabei eigentlich saubere Elemente als schädlich ein. Das führt dann dazu, dass ein Element in Quarantäne geschoben, geblockt oder gelöscht wird. Viele der postfaktischen Antiviren-Hersteller spielen die Bedeutung der Falsch-Positive-Erkennungen aber herunter und betonen stattdessen ihre Machine Learning Möglichkeiten.

Natürlich bedeutet nicht jede Falsch-Positive-Erkennung gleich den Zusammenbruch der kompletten IT-Infrastruktur. Einige Fehler haben nur einen geringen Einfluss auf den täglichen Betrieb und können durch Hinzufügen einer einfachen Ausnahme gelöst werden. Andere Störungen können die Geschäftsprozesse allerdings massiv beeinträchtigen und destruktiver als tatsächliche Malware-Kompromittierungen sein.

Aggressive Erkennung kann eine Flut von Falsch-Positive-Erkennungen verursachen

Die meisten Unternehmen nutzen Allzweck-Systeme – mit anderen Worten Endpunkte – die mit der „Außenwelt“ kommunizieren. Durch den Trend wechselnder eingehender Daten ist es sehr schwer vorherzusagen, wie alle sauberen Elemente aussehen sollten. Und nun, da sich Anwendungen in bloße „Ausführende“ verwandelt haben, kann jeder Dateninput sie zu „Schädlingen“ machen. Das muss überwacht und gegebenenfalls korrekt markiert werden.

« Aggressive Erkennungseinstellungen können zu alarmierenden Falsch-Positive-Erkennungen führen, die IT-Abteilungen überlasten und PC-Arbeitsplätze unbrauchbar machen. »

Aggressive Erkennungseinstellungen – wie sie bei einigen postfaktischen Antiviren-Herstellern zu finden sind – lösen das Problem nicht. Im Gegenteil, unter solchen Bedingungen kann eine aggressive Erkennung zu einer alarmierenden Falsch-Positive-Erkennungsrate führen, die IT-Abteilungen überlastet und PC-Arbeitsplätze unbrauchbar macht. Daraus können finanzielle und produktive Verluste für Unternehmen hervorgehen – die in unserem einfachen Rechner simuliert werden können (am Ende des Artikels).

Das Unangenehme an hunderten falschen Alarmen ist die Tatsache, dass Admins nur zwei Entscheidungen zur Verfügung stehen. Entweder sie halten die Regeln streng und akzeptieren Falsch-Positive-Erkennungen, oder sie lockern die Richtlinien der Sicherheitslösungen, was wiederum zu neuen Verwundbarkeiten im Unternehmenssystem führen könnte.

Jeder sollte sich selbst fragen, wie schwer es für Angreifer sein muss, ein Szenario zu provozieren und auszunutzen, wenn eine aggressive Sicherheitslösung vorhanden wäre?

Wieso wir uns um Falsch-Positive-Erkennungen kümmern

Neben unbrauchbaren PC-Arbeitsplätzen, gibt es noch weitere Szenarien, die durch Falsch-Positive-Erkennungen hervorgerufen werden. Stellen wir uns einmal einen Automobilhersteller vor, dessen Produktion stillsteht, weil eine Sicherheitslösung einen Teil der Software der Produktionslinie als bösartig markierte und anschließend löschte. Solche Pannen können massive Verzögerungen, Finanz- und Reputationsschäden mit sich bringen.

In solchen Situationen werden schnelle Lösungen gebraucht. Allerdings kann eine unbewachte Machine Learning Sicherheitslösung – wie die von vielen postfaktischen Antiviren-Herstellern – zu ausdauernden Update-Sessions führen. Dies liegt daran, dass das Machine Learning Modelle sowohl Updates benötigen als auch eine Lernphase durchlaufen müssen, um zwischen sauberen und bösartigen Elementen richtig zu entscheiden.

Fehler bei der Auswertung von Elementen kann bei Machine Learning bereits in der Lernphase auftreten und ohne Aufsicht des Prozesses für eine gewisse Zeit in dieser Phase verharren, bevor der Algorithmus letztendlich Unheil anrichtet.

Ein Gleichgewicht erreichen

Wie erreicht ein Unternehmen aber nun ein Gleichgewicht zwischen gutem Schutz vor Eindringlingen und möglichst wenigen Falsch-Positive-Erkennungen? Ideal wäre eine Erkennungsrate von 100% mit 0% Falsch-Positive-Erkennungen. Diese Zustände sind aber unmöglich zu erreichen.

« Einige IT-Umgebungen erfordern eine 24/7-Überwachung und eine verantwortliche Person, die sofort auf jede verdächtige Aktivität oder Sicherheitsbenachrichtigung reagieren kann. »

Einige IT-Umgebungen erfordern eine 24/7-Überwachung und eine verantwortliche Person, die sofort auf jede verdächtige Aktivität oder Sicherheitsbenachrichtigung reagieren kann. Das ist für sensible Systeme – wie das oben beschriebene Automobilhersteller-Szenario – sicherlich der Fall.

In restriktiven Umgebungen wie zum Beispiel Terminals von Bankangestellten (identische Geräte, denen nur ein begrenztes Set von Anwendungen zur Verfügung steht) können Admins Whitelists festlegen. Dadurch ergeben sich detaillierte Listen mit autorisierten Aktionen und legitimer Software. Alles was nicht auf der Liste auftaucht, wird blockiert, egal ob es sauber oder bösartig ist.

Dieses „Whitelisting Lockdown“ reduziert die potentielle Angriffsfläche erheblich und minimiert Falsch-Positive-Erkennungen. Natürlich engt es auch die Funktionalität des Systems ein und ist nicht universell einsetzbar. Eine weitere Unzulänglichkeit ergibt sich durch das Blockieren von automatischen Updates, wodurch die User gezwungen werden, alte und anfällige Versionen von Anwendungen auszuführen.

„Smartes“ Whitelisting, mit klar definierten Ausnahmen für Updater, Pfade oder Dateinamen, kann dieses Problem umgehen, aber auch eine Tür für Angreifer aufstoßen.

Was ist das Beste für mich?

Fast jedes Unternehmen in der Welt nutzt einen einzigartigen Mix aus Sicherheitslösungen für ihr Unternehmensnetzwerk. Es liegt an jedem Unternehmen selbst zu entscheiden, wie restriktiv seine Systeme agieren sollen, um das gewünschte Schutzniveau zu erreichen.

Wenn das System nur einen minimalen Funktionsumfang erfüllen soll, kann die Angriffsfläche auf ein Minimum abgesenkt werden. Viele sonst legitime Aktivitäten und Dateien sind dann vom Zugriff durch den User ausgeschlossen. Auf der anderen Seite verursachen Falsch-Positive-Erkennungen unter Umständen viel höhere Kosten in Unternehmen als potentielle Kompromittierungen, weswegen einige lieber mit einem Rest-Risiko leben.

Der effektivste Weg, Allzweck-Systeme, Netzwerke und / oder Endpunkte zu schützen, besteht in abgestimmten Sicherheitslösungen (mit guten Erkennungsraten und wenigen Falsch-Positive-Erkennungen) und der Überwachung durch erfahrene Admins. Letztere finden im seltenen Fall von Falsch-Positive-Erkennungen eine geeignete Lösung.

Einige postfaktische Antiviren-Hersteller argumentieren, dass sie die „menschliche Variable“ allein durch ihren Machine Learning Algorithmus vermeiden können. Allerdings zeigt ESETs Erfahrung, dass Machine Learning nur innerhalb bestimmter Grenzen sinnvoll einsetzbar ist, um auftretende Fehler von vornherein zu vermeiden.

 

 

Die Serie im Überblick:

  1. Prolog: Der Kampf um die Wahrheit in der Cyber Security
  2. Was ist Machine Learning und was künstliche Intelligenz?
  3. Häufige Missverständnisse bei Machine Learning und künstlicher Intelligenz
  4. Warum Machine Learning basierte Sicherheit intelligente Gegner nicht interessiert
  5. Warum eine Schutzschicht nicht genügt – auch wenn Machine Learning unterstützt
  6. Geister fangen: Die tatsächlichen Kosten der hohen Falsch-Positiv-Raten in der Cyber Security
  7. Wie Updates Antiviren Software stärkt
  8. Auch wir kennen Machine Learning und nutzen es seit Jahren

 

Mitwirkende: Jakub Debski & Peter Kosinar

Hier können Sie mitdiskutieren