Alarm Fatigue im Security Operations Center bewältigen

In vielen Teilen der Welt existieren unterschiedliche Varianten der Kindergeschichte „Der Hirtenjunge und der Wolf“. Die Geschichte dreht sich im Wesentlichen um den Hirtenjungen, der, von seiner Langeweile getrieben, um Hilfe ruft. Die Dorfbewohner reagieren auf den Hilferuf, um festzustellen, dass sich der Junge einen Spaß erlaubt hat. Als am nächsten Tag tatsächlich Wölfe die Schafe einkreisen, reagiert niemand mehr auf die Hilferufe und die Kurzgeschichte endet tragisch. 

SOC-Analysten bilden die reaktive Komponente eines Security Operations Center (SOC) und sind dafür verantwortlich, einkommende Alarme nachzuvollziehen, diese zu priorisieren und erste Gegenmaßnahmen zu ergreifen.  

Die Geschichte vom Hirtenjungen ist eine gute Beschreibung für die tägliche Arbeit von Analysten. Sie verbringen ihre Arbeitszeit damit, korrelierte Alarme und Rohdaten zu analysieren. Große Mengen von Fehlalarmen, für deren Ersteinschätzung nur begrenzt Zeit zur Verfügung steht, führen zu einer Abstumpfung, die als Alarm Fatigue bezeichnet wird. Parallel zur Geschichte des Hirtenjungen resultiert aus der Alarm Fatigue die Gefahr, dass Analysten unter der großen Menge Fehlalarme die echte Bedrohung nicht mehr erkennen. 

Deswegen ist eine große Menge an (falschen) Alarmen ein starker Indikator für Optimierungspotenzial der Alarmsysteme und schafft eine Schwachstelle in der Bedrohungserkennung. Die Effizienz der Analysten sinkt, ihre Nachlässigkeit und persönliche Unzufriedenheit steigen. Eine erhöhte Fluktuation ist die Folge.   

Um dem entgegenzuwirken, müssen vor allem die Ursachen der Alarm Fatigue behoben, also die Belastung der Analysten gesenkt werden, indem man die Qualität der Alarme deutlich über die Quantität stellt. Die Qualität und damit auch die Menge der Alarme lässt sich durch die forcierte Pflege und Optimierung der Sicherheitssysteme steuern. Dazu gehört, neben der Erweiterung der Detektionsregeln, auch bestehende Regelwerke und Alarme kontinuierlich zu überprüfen. Gängige Optimierungsmaßnahmen sind das Schärfen der Detektionsregeln durch Korrektur bzw. Verfeinerung der Korrelationslogik, das Erstellen und Erweitern von Ausnahmeregelungen, das Zusammenfassen von Einzelalarmen in risikobasierte Alarme, sowie das Abstellen von veralteten Detektionsregeln, wenn beispielsweise abgebildete Indikatoren gar nicht mehr auf schadhaftes Verhalten rückschließen lassen. Zusätzlich können Alarme auch an der Quelle beseitigt werden. Dafür steht das SOC im engen Austausch mit den Administratoren, um etwaige Konfigurationsfehler oder aktuelle Schwachstellen beheben zu lassen. 

Wenn sich die Menge der Alarme nicht mehr durch Optimierung des Regelwerks oder durch Konfiguration der Infrastruktur reduzieren lässt, greifen Analysten heute auf Automatisierung zurück, die viele Arbeitsschritte der Analyse und Reaktion übernehmen können. Dies betrifft vor allem die Anreicherung von Analysen um weitere interne Datenquellen oder externe Threat Intelligence. Zunehmend wird die Arbeit der Analysten auch durch künstliche Intelligenz unterstützt. Diese KI-Analysten lernen gängige Analyseschritte, die sie dann in zukünftigen Analysen reproduzieren und diese so um zusätzliche Informationen und Handlungsempfehlungen anreichern. 

Neben den vielfältigen technologischen Möglichkeiten, der Alarm Fatigue zu begegnen, gibt es auch noch organisatorische Möglichkeiten innerhalb des SOC. Besonders hervorzuheben ist die Einteilung der Analysten in verkürzte Schichten. Ähnlich wie im Tagesbetrieb von Fluglotsen hat man nur dann permanenten Zugriff auf frische Analysten, wenn man diese in kurze Analyseblöcke aufteilt, die durch Pausen und andere Tätigkeiten unterbrochen werden. Auch Modelle, in denen die Teams innerhalb des SOC wochen- oder monatsweise zwischen Analyse, Pentesting, Content Engineering und Consulting rotieren, haben in der Praxis große Vorteile im Hinblick auf Zufriedenheit und Weiterentwicklung der Mitarbeitenden gezeigt.

Dem Hirtenjungen beizubringen, nur um Hilfe zu rufen, wenn es tatsächlich eine Bedrohung gibt, schützt also nicht nur die Schafe, sondern fördert auch die Akzeptanz im Dorf.