In einer perfekten Welt wären alle Menschen rationale Wesen, die in der Lage sind, Entscheidungen auf der Grundlage von Fakten und Logik zu treffen.
Aber dies ist keine perfekte Welt.
Auch wenn das menschliche Gehirn leistungsfähig ist, unterliegt es bei der Vereinfachung von Informationen gewissen Einschränkungen. Unser Gehirn kann faul werden und Abkürzungen nehmen, um zu Entscheidungen zu gelangen. Diese Abkürzungen werden als kognitive Verzerrungen (cognitive biases) bezeichnet.
Kognitive Verzerrungen (cognitive biases) werden als systematische Muster der Abweichung von der Rationalität des Urteils definiert.
Um es einfacher zu machen, schauen wir uns ein Beispiel an. Stellen Sie sich vor, Sie haben ein Spiel mit einem Geldpreis von 300 $ gewonnen. Aber plötzlich wird bekannt gegeben, dass Sie wählen können, ob Sie die 300 $ heute oder 30 $ jedes Jahr für die nächsten 20 Jahre erhalten möchten. Natürlich, wer hat die Geduld, 20 Jahre zu warten, selbst wenn die Belohnung verdoppelt wird? Für jeden vernünftigen Menschen ist es instinktiv, das Geld sofort zu nehmen.
In der Welt der Psychologie wird dies als hyperbolische Wertminderung bezeichnet: unsere Neigung, sofortige Belohnungen gegenüber zukünftigen Belohnungen zu bevorzugen, selbst wenn diese Belohnungen ähnlich oder höher sind.
Jeder Mensch ist anfällig für diese Fehleinschätzungen. Wenn wir diese Verzerrungen verstehen, können wir sicherheitsbezogene Fehler vermeiden und eine robustere Verteidigungsstrategie entwickeln.
Sehen wir uns einige Denkfehler an, die Ihre Entscheidungen zur Cybersicherheit beeinflussen können.
Die Verfügbarkeitsverzerrung beeinflusst unsere Entscheidungen, indem sie uns dazu bringt, uns auf die neuesten Informationen zu konzentrieren. Wenn es beispielsweise Nachrichten über einen neuen Ransomware-Angriff gibt, konzentrieren sich die meisten Sicherheitsteams darauf, ihre Netzwerke davor zu schützen, auch wenn dies möglicherweise nicht auf ihre Branche zutrifft.
Solche Nachrichten können dazu führen, dass Organisationen andere wichtige Probleme ignorieren, die ihren Netzwerken mehr Schaden zufügen können. Obwohl es notwendig ist, sich vor Trendangriffen zu schützen, ist es ebenso wichtig, auch andere Fälle zu berücksichtigen.
Dies ist die Tendenz, Informationen zu bevorzugen, die unsere Überzeugungen bestätigen. Wir können diesen Fehler bei der Jagd auf Bedrohungen beobachten. Dieser Fehler kann Analysten dazu verleiten, nach bestimmten Informationen zu suchen, die mit ihren Überzeugungen und Fähigkeiten übereinstimmen. Viele erfahrene Sicherheitsanalysten konzentrieren sich vor der Untersuchung auf die Ursache eines Problems und suchen nur nach Beweisen, die diese Ursache stützen.
Wenn ein Analyst beispielsweise glaubt, dass ein Verstoß auf einen Insiderangriff zurückzuführen ist, ignoriert er möglicherweise völlig die Tatsache, dass eine bestimmte Interaktion mit verbundenen Parteien (an der Drittanbieter und Wiederverkäufer, Regierungsbehörden oder interne Prüfer beteiligt sind) die Reihe von Ereignissen hätte auslösen können, die zu dem Verstoß geführt haben.
Sicherheitsexperten sollten auch offener für Vorschläge sein und andere Standpunkte akzeptieren. Dies kann ihnen helfen, Probleme zu analysieren, die sie zuvor möglicherweise übersehen haben.
Auch bekannt als die Illusion der Unverwundbarkeit, lässt uns die Voreingenommenheit durch Optimismus glauben, dass die Wahrscheinlichkeit, etwas Positives zu erleben, höher (oder etwas Negatives niedriger) ist, als sie tatsächlich ist.
Ein SIEM-Tool mit allen eingerichteten Korrelationsregeln und Warnmeldungen bedeutet nicht, dass Ihr Netzwerk nicht kompromittiert werden kann. Ein einfacher Phishing-Angriff kann es Gegnern ermöglichen, in kürzester Zeit Zugang zu Ihrem Netzwerk zu erhalten.
Während diese Voreingenommenheit für unser Privatleben von Vorteil sein kann, ist es in der Cybersicherheit immer besser, bei der Konfiguration von Servern, Anwendungen, Firewalls und mehr die gegenteilige Denkweise zu haben. Wir empfehlen Ihnen, Vorsichtsmaßnahmen zu ergreifen, indem Sie fortschrittliche Bedrohungsinformationen, UEBA und andere Funktionen einrichten, um Ihre Sicherheitslage zu verbessern.
Wir können diesen Denkfehler in Aktion sehen, wenn wir dazu neigen, anhand von Daten über eine größere Population etwas über eine Einzelperson zu schließen.
Stellen Sie sich vor, es gab eine Datenpanne in Ihrer Organisation. Wessen Protokolle würden Sie zuerst überprüfen? Auf jeden Fall die von Personen mit viel Zugriff, oder? Diese Voreingenommenheit kann dazu führen, dass sich Analysten auf eine bestimmte Person konzentrieren, basierend auf der Gruppe dieser Person, z. B. Administratoren oder privilegierte Benutzer. In Wirklichkeit hätte jedoch jeder normale Mitarbeiter auf einen Phishing-Link klicken können, was eine Reihe von Ereignissen auslöste, die schließlich zur Datenpanne führten.
Wir empfehlen Ihnen, das individuelle menschliche Verhalten zu analysieren, um Anomalien durch das Erkennen subtiler Veränderungen bei regelmäßigen Aktivitäten zu erkennen. Die Implementierung von UEBA zur Erkennung böswilligen Verhaltens kann Ihre Abwehr gegen Insider-Bedrohungen stärken. Erfahren Sie mehr über UEBA.
Der Framing-Effekt beeinflusst die Entscheidungen von Menschen auf der Grundlage der Art und Weise, wie Entscheidungen präsentiert werden, und nicht auf der Grundlage einer Prüfung der Fakten. Dies kann von Hackern ausgenutzt werden, wenn sie Phishing-E-Mails versenden, die als etwas Wichtiges von einem höheren Beamten oder als Produktaktualisierung dargestellt werden.
Diese kognitive Verzerrung kann auch beim Kauf von Sicherheitstools auftreten. Analysten entscheiden sich möglicherweise für den Kauf teurer Lösungen, die Risiken mit geringer Wahrscheinlichkeit wie Ransomware aufgrund eines kürzlich aufgetretenen Vorfalls (auch aufgrund von Verfügbarkeitsverzerrung) angehen.
Wir empfehlen Entscheidungsträgern, beim Kauf eines Sicherheitstools analytischer vorzugehen. Es gibt zahlreiche Tools, die spezifische Sicherheitsprobleme angehen. Ziehen Sie die Evaluierung eines SIEM-Tools in Betracht, das alle verschiedenen Funktionen ausführen kann, die zur Verbesserung der Sicherheit Ihrer Organisation erforderlich sind.
Kognitive Verzerrungen beeinflussen unsere täglichen Entscheidungen. Ob es sich um den einfachen Kauf eines Artikels im Supermarkt oder um die komplexe Entscheidung handelt, in welche Aktien investiert werden soll, Verzerrungen sind allgegenwärtig.
Eine Möglichkeit, diese Tendenzen zu überwinden, besteht darin, sich ihrer immer bewusst zu sein. Wie bereits erwähnt, beeinflussen diese Tendenzen nicht nur die Art und Weise, wie Sie Bedrohungen in Ihrem Netzwerk analysieren, sondern auch Ihre Entscheidungen, in Sicherheitstools zu investieren. Die Schulung Ihrer Mitarbeiter in Bezug auf diese Tendenzen und die Implementierung von Tools und Verfahren zur Identifizierung, Analyse und Verwaltung fortgeschrittener Bedrohungen sind die Mittel, die Sie benötigen.
Denken Sie daran, dass es bei Sicherheit nicht nur um die Tools geht; es ist eine Kombination aus Prozessen, Technologie und dem Verständnis menschlichen Verhaltens.