Alerty są ważnym elementem ochrony przed cyberatakami. Niestety nie wszystkie alerty bezpieczeństwa są przydatne. Oprogramowanie zabezpieczające jest znane z dostarczania niepotrzebnych ostrzeżeń i fałszywych alarmów. W końcu może to spowodować czujne zmęczenie.
Zmęczenie czujnością może zmienić uważny personel IT w ludzi, którzy tak naprawdę nie zwracają uwagi. Jest to oczywiście idealne rozwiązanie dla każdego hakera, który próbuje dotrzeć tam, gdzie nie powinien.
Czym dokładnie jest zmęczenie czujności i jak można mu zapobiegać?
Co to jest zmęczenie alarmowe?
Zmęczenie alertem ma miejsce, gdy personel otrzymuje alerty bezpieczeństwa, które niekoniecznie mają jakiekolwiek znaczenie.
Jest to naturalna konsekwencja oprogramowania zabezpieczającego, takiego jak oprogramowanie antywirusowe, zapory sieciowe oraz systemy zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM). Ten rodzaj oprogramowania jest znany z tego, że jest nadmiernie wrażliwy.
Gdy pracownicy ochrony otrzymują bezsensowne ostrzeżenia, nadal należy je zbadać, nawet jeśli pracownicy niekoniecznie wierzą, że istnieje prawdziwe zagrożenie.
To ostatecznie powoduje, że zespoły zwracają mniej uwagi i ignorują ważne problemy. Haker może wtedy wywołać alerty i żadne działanie nie zostanie podjęte.
Związane z: Jak identyfikować i zgłaszać incydenty związane z bezpieczeństwem
Dlaczego pojawia się zmęczenie alarmowe?
Zmęczenie czujności jest zjawiskiem naturalnym. Niezależnie od tego, jak dobrze wyszkolony jest zespół ds. bezpieczeństwa, w końcu staną się niewrażliwi na informacje, które nie wymagają od nich podejmowania działań.
Częściowo jest to spowodowane faktem, że oprogramowanie zabezpieczające często nie rozróżnia alertów o różnym znaczeniu. Jeśli zespół ds. bezpieczeństwa otrzymuje setki alertów dziennie, a tylko niewielki procent z nich rzeczywiście zasługuje na uwagę, łatwo można poczuć, że marnuje się czas na dochodzenie.
Warto zauważyć, że stres i słaba równowaga między życiem zawodowym a prywatnym mogą również przyczyniać się do czujnego zmęczenia. Szczególnie narażone na te problemy są pracownicy ochrony.
Ile alertów bezpieczeństwa faktycznie wymaga uwagi?
Badanie z 2021 r. pokazuje, że nawet połowa wszystkich alertów dotyczących bezpieczeństwa są fałszywe alarmy. Jest to szczególnie problematyczne, biorąc pod uwagę fakt, że zbadanie pojedynczego alertu może zająć od 10 do 30 minut.
Oznacza to, że fałszywe alerty nie tylko powodują zmęczenie czujnością; powodują również, że pracownicy spędzają dużą część dnia w zasadzie nic nie robiąc.
Dlaczego jest tak wiele fałszywych pozytywów?
Oprogramowanie zabezpieczające jest zwykle dostarczane z ogólnymi zasadami dotyczącymi tego, co stanowi zagrożenie. Dzięki temu może być skuteczny w każdym środowisku. Problem z tym podejściem polega jednak na tym, że powoduje ono również zgłaszanie niewinnego zachowania jako podejrzanego.
Wydawcy oprogramowania czerpią korzyści z posiadania zbyt wielu alertów zamiast ich zbyt małej. Pierwsza z nich sprawia, że oprogramowanie wydaje się potężne, podczas gdy druga powoduje jej odinstalowanie, jeśli nie zapobiegnie rzeczywistemu zagrożeniu.
Jakie są konsekwencje zmęczenia czujnością?
Zmęczenie alertem jest dużym problemem, nawet jeśli firma nie stoi w obliczu żadnych zagrożeń. Powoduje to, że zespoły ds. bezpieczeństwa nie dbają o swoją pracę, co ma przewidywalny wpływ zarówno na rotację pracowników, jak i produktywność.
Zmęczenie alertem jest podobnie zagrożeniem dla bezpieczeństwa. Takie oprogramowanie jest używane, ponieważ gdy nie dostarcza fałszywych alarmów, wyświetla alerty o aktywnych zagrożeniach.
Jeśli te alerty pozostaną niezauważone, aktywne zagrożenia mogą nie zostać zatrzymane. Oczywiście nie ma znaczenia, ile zagrożeń wykryje oprogramowanie, jeśli nikt na nie nie działa.
Jak zapobiegać zmęczeniu alertów
Zmęczenie alertami jest szczególnie powszechne w dużych organizacjach, ale może mieć wpływ na każdy zespół ds. bezpieczeństwa reagujący na zbyt wiele dostrzeżonych zagrożeń. Oto osiem sposobów, aby temu zapobiec.
Zmniejsz powierzchnię ataku
Powierzchnia ataku składa się z różnych komponentów sprzętowych i programowych, które są podłączone do Twojej sieci. Im jest szerszy, tym więcej potencjalnych problemów zespół będzie musiał zbadać. Wielu alertom można zatem zapobiec, po prostu odłączając urządzenia od sieci.
Zoptymalizuj oprogramowanie zabezpieczające
Sprawdź, jakie alerty bezpieczeństwa są wysyłane. Jeśli drobne problemy powodują niepotrzebne alerty, zmodyfikuj ustawienia oprogramowania, aby temu zapobiec. Członkowie personelu powinni mieć możliwość popełniania niewinnych błędów bez powiadamiania zespołu bezpieczeństwa.
Zmniejsz liczbę fałszywych trafień
Każde oprogramowanie zabezpieczające generuje fałszywe alarmy. Za każdym razem, gdy pojawia się fałszywy alarm, należy odnotować przyczynę i podjąć kroki, aby zapobiec powtórzeniu się tego zdarzenia.
Na przykład, jeśli określony plik nadal generuje alert, plik ten może zostać umieszczony na białej liście.
Priorytety alertów według wagi
Tam, gdzie to możliwe, ostrzeżeniom należy nadać priorytet zgodnie z potencjalnymi szkodami, jakie mogą spowodować. Na przykład potencjał brutalny atak powinien spowodować alert o wyższym priorytecie niż pojedyncza próba podania nieprawidłowego hasła.
Alerty należy również podzielić na kategorie według tego, czy pochodzą z wewnętrznych czy zewnętrznych adresów IP.
Dodaj informacje do alertów
Wszystkie alerty bezpieczeństwa powinny zawierać szczegółowe informacje o tym, co je spowodowało. Zapobiega to sytuacji, w której dwa alerty o różnych poziomach priorytetu wydają się identyczne. Na przykład zamiast alertu informującego, że użytkownik nie zalogował się, należy wyjaśnić przyczynę tego niepowodzenia.
Dochodzenie w sprawie alertów podziału
Czujne zmęczenie jest spowodowane przede wszystkim powtarzaniem. Odpowiedzialność za badanie ostrzeżeń należy zatem podzielić równo między zespół ds. bezpieczeństwa. Jeśli zespół ds. bezpieczeństwa nie jest wystarczająco duży, aby to zrobić, problemowi można zapobiec tylko poprzez zatrudnienie większej liczby osób.
Automatyzuj tam, gdzie to możliwe
Wiele aspektów badania alertów można zautomatyzować. Przyjrzyj się czynnościom wykonywanym przez zespół ds. bezpieczeństwa i zautomatyzuj je tam, gdzie to możliwe. Zapobiega to powtarzaniu się i powinno zmniejszyć liczbę kroków wymaganych do zbadania każdego ostrzeżenia.
Optymalizacja przepływu pracy
Przyjrzyj się, w jaki sposób alerty są obecnie badane, i znajdź sposoby na optymalizację przepływu pracy.
Tam, gdzie to możliwe, należy spisać najlepsze praktyki. Zapobiega to próbom rozwiązania tego samego alertu na różne sposoby przez różne osoby.
Wszystkie organizacje powinny dążyć do zapobiegania zmęczeniu alertami
Zmęczenie alarmowe jest poważnym zagrożeniem dla każdej organizacji. Zmienia to skuteczny zespół ds. bezpieczeństwa w personel, z którym hakerzy mogą się z łatwością ominąć.
Zapobieganie zmęczeniu alertami wymaga uwagi zarówno członków zespołu ds. bezpieczeństwa, jak i właścicieli firm. Jeśli oprogramowanie i procedury bezpieczeństwa są źle zaprojektowane, same zespoły ds. bezpieczeństwa będą miały niewielkie możliwości, aby temu zapobiec.
W Stanach Zjednoczonych wzrasta liczba naruszeń i ujawnień danych. Jak więc firmy starają się zachować prywatność Twoich informacji? A jak mogą się poprawić?
Czytaj dalej
- Bezpieczeństwo
- Wskazówki dotyczące bezpieczeństwa
- Zagrożenia bezpieczeństwa
- Bezpieczeństwo w Internecie
- Bezpieczeństwo cybernetyczne
Elliot jest niezależnym pisarzem technicznym. Pisze przede wszystkim o fintechu i cyberbezpieczeństwie.
Zapisz się do naszego newslettera
Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Kliknij tutaj, aby zasubskrybować