False Negative
Was ist False Negative?
False NegativeBoesartige Aktivitaet, die eine Detection nicht erkannt hat, sodass die Bedrohung unbemerkt bleibt und der Angreifer unbehelligt weiterarbeiten kann.
Ein False Negative ist das stille Versagen der Detection: Es findet ein echter Angriff statt, aber kein Alarm wird ausgeloest, und Analysten haben keine Chance zu reagieren. Ursachen sind fehlende Log-Quellen, umgangene Signaturen, zu eng gefasste Detections, defekte Pipelines, Zeitfensterluecken und Angreifer-Techniken wie Living-off-the-Land oder verschluesseltes C2. False Negatives sind schwerer messbar als False Positives, weil sie per Definition unsichtbar sind. Sie werden reduziert durch Purple-Team-Uebungen, Breach-and-Attack-Simulation, MITRE-ATT&CK-Coverage-Mapping, Detection-Unit-Tests und kontinuierliche Telemetrie-Gap-Analyse.
● Beispiele
- 01
Ein Angreifer nutzt signierte Windows-Binaries (LOLBins), um Befehle auszufuehren, die keine Signatur erkennt.
- 02
Eine neue Malware-Familie wird uebersehen, weil ihr TLS-C2-Verkehr nicht am Proxy inspiziert wird.
● Häufige Fragen
Was ist False Negative?
Boesartige Aktivitaet, die eine Detection nicht erkannt hat, sodass die Bedrohung unbemerkt bleibt und der Angreifer unbehelligt weiterarbeiten kann. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet False Negative?
Boesartige Aktivitaet, die eine Detection nicht erkannt hat, sodass die Bedrohung unbemerkt bleibt und der Angreifer unbehelligt weiterarbeiten kann.
Wie funktioniert False Negative?
Ein False Negative ist das stille Versagen der Detection: Es findet ein echter Angriff statt, aber kein Alarm wird ausgeloest, und Analysten haben keine Chance zu reagieren. Ursachen sind fehlende Log-Quellen, umgangene Signaturen, zu eng gefasste Detections, defekte Pipelines, Zeitfensterluecken und Angreifer-Techniken wie Living-off-the-Land oder verschluesseltes C2. False Negatives sind schwerer messbar als False Positives, weil sie per Definition unsichtbar sind. Sie werden reduziert durch Purple-Team-Uebungen, Breach-and-Attack-Simulation, MITRE-ATT&CK-Coverage-Mapping, Detection-Unit-Tests und kontinuierliche Telemetrie-Gap-Analyse.
Wie schützt man sich gegen False Negative?
Schutzmaßnahmen gegen False Negative kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für False Negative?
Übliche alternative Bezeichnungen: FN, Verpasste Detection.
● Verwandte Begriffe
- defense-ops№ 406
False Positive
Sicherheitsalarm, der harmlose Aktivitaeten als boesartig kennzeichnet, Analystenzeit kostet und das Vertrauen in die Detection schwaecht.
- defense-ops№ 307
Detection Engineering
Disziplin, Sicherheits-Detections wie Code zu entwerfen, zu testen, auszurollen und zu pflegen, mit messbarer Abdeckung gegnerischer Techniken.
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- defense-ops№ 1147
Threat Hunting
Proaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.
- defense-ops№ 1039
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
● Siehe auch
- № 041Alert-Fatigue