Opozorila so pomemben del zaščite pred kibernetskimi napadi. Na žalost vsa varnostna opozorila niso uporabna. Varnostna programska oprema je znana po tem, da daje nepotrebna opozorila in lažno pozitivne rezultate. Sčasoma lahko to povzroči alarmantno utrujenost.

Alarmna utrujenost lahko sicer pozorno osebje IT spremeni v ljudi, ki v resnici niso pozorni. To je očitno idealno za vse hekerje, ki poskušajo iti tja, kamor ne bi smeli.

Kaj pravzaprav je budna utrujenost in kako jo lahko preprečite?

Kaj je opozorilna utrujenost?

Utrujenost zaradi opozoril je tisto, kar se zgodi, ko osebje nenehno prejema varnostna opozorila, ki ne pomenijo nujno nič.

Je naravna posledica varnostne programske opreme, kot so protivirusni programi, požarni zidovi ter upravljanje varnostnih informacij in dogodkov (SIEM). Ta vrsta programske opreme je znana po tem, da je preveč občutljiva.

Ko varnostno osebje prejme nesmiselna opozorila, jih je treba še vedno raziskati, tudi če osebje ne verjame nujno, da obstaja resnična grožnja.

instagram viewer

To sčasoma povzroči, da ekipe posvečajo manj pozornosti in ignorirajo težave, ki so pomembne. Heker lahko nato sproži opozorila in ne bo ukrepal.

Povezano: Kako prepoznati in prijaviti varnostne incidente

Zakaj se pojavi opozorilna utrujenost?

Previdna utrujenost je naraven pojav. Ne glede na to, kako dobro je varnostna ekipa usposobljena, bodo sčasoma postali desenzibilizirani za informacije, ki od njih ne zahtevajo ukrepanja.

Delno je posledica dejstva, da varnostna programska oprema pogosto ne razlikuje med različno pomembnimi opozorili. Če varnostna ekipa prejme na stotine opozoril na dan in le majhen odstotek teh dejansko zasluži pozornost, se lahko zdi, da se s preiskavo zapravlja čas.

Omeniti velja, da lahko stres in slabo ravnovesje med poklicnim in zasebnim življenjem prispevata tudi k budni utrujenosti. S temi težavami se bo še posebej verjetno soočilo varnostno osebje.

Koliko varnostnih opozoril dejansko zahteva pozornost?

Študija iz leta 2021 kaže, da do polovice vseh varnostnih opozoril so lažno pozitivni. To je še posebej problematično, če upoštevate dejstvo, da lahko preiskava posameznega opozorila zlahka traja od 10 do 30 minut.

To pomeni, da lažna opozorila ne povzročajo le utrujenosti opozorila; prav tako povzročajo, da zaposleni preživijo velik del svojega dneva v bistvu nič.

Zakaj je toliko lažno pozitivnih?

Varnostna programska oprema je običajno opremljena s splošnimi pravili o tem, kaj predstavlja grožnjo. To mu omogoča, da je učinkovit v katerem koli okolju. Težava tega pristopa pa je v tem, da povzroči, da se nedolžno vedenje prijavi kot sumljivo.

Izdajatelji programske opreme imajo koristi od prevelikega števila opozoril namesto premalo. Prva naredi programsko opremo videti zmogljivo, medtem ko jo bo druga povzročila odstranitev, če ne bo preprečila dejanske grožnje.

Kakšne so posledice opozorilne utrujenosti?

Utrujenost zaradi opozoril je velika težava, tudi če se podjetje ne sooča z nobenimi grožnjami. Zaradi tega varnostne ekipe ne skrbijo za svoje delo, kar ima predvidljive učinke tako na fluktuacijo zaposlenih kot na produktivnost.

Utrujenost zaradi opozorila je podobno varnostno tveganje. Takšna programska oprema se uporablja, ker ko ne zagotavlja lažnih pozitivnih rezultatov, zagotavlja opozorila o aktivnih grožnjah.

Če ta opozorila ostanejo neopažena, aktivnih groženj morda ni mogoče ustaviti. Očitno ni pomembno, koliko groženj prevzame programska oprema, če nihče ne ukrepa nanje.

Kako preprečiti opozorilno utrujenost

Utrujenost zaradi opozoril je še posebej pogosta v velikih organizacijah, vendar lahko vpliva na vsako varnostno ekipo, ki se odzove na preveč zaznanih groženj. Tukaj je osem načinov, kako to preprečiti.

Zmanjšajte površino napada

Napadna površina je sestavljen iz vseh različnih komponent strojne in programske opreme, ki so povezane z vašim omrežjem. Širši kot je, več potencialnih težav bo morala ekipa raziskati. Številna opozorila je zato mogoče preprečiti s preprostim odklopom naprav iz omrežja.

Optimizirajte varnostno programsko opremo

Preverite, katera varnostna opozorila se pošiljajo. Če manjše težave povzročajo nepotrebna opozorila, spremenite nastavitve programske opreme, da se to prepreči. Uslužbencem bi moralo biti omogočeno, da delajo nedolžne napake, ne da bi bila varnostna ekipa opozorjena.

Zmanjšajte lažno pozitivne rezultate

Vsa varnostna programska oprema daje lažno pozitivne rezultate. Vsakič, ko se pojavi lažno pozitiven, je treba opozoriti na razlog in sprejeti ukrepe, da se prepreči ponovitev.

Na primer, če določena datoteka še naprej ustvarja opozorilo, je lahko ta datoteka na seznamu dovoljenih.

Dajte prednost opozorilom glede na resnost

Kadar je mogoče, je treba opozorila razvrstiti glede na morebitno škodo, ki jo lahko povzročijo. Na primer potencial napad s surovo silo mora povzročiti opozorilo z višjo prioriteto kot en sam poskus napačnega gesla.

Opozorila je treba razvrstiti tudi glede na to, ali izvirajo iz notranjih ali zunanjih naslovov IP.

Dodajte informacije v opozorila

Vsa varnostna opozorila morajo vsebovati podrobne informacije o tem, kaj jih je povzročilo. To preprečuje situacijo, v kateri sta dve opozorili različnih prioritetnih stopenj videti enaki. Na primer, namesto opozorila, ki pravi, da se uporabnik ni uspel prijaviti, je treba pojasniti razlog za to napako.

Razdelite preiskavo opozorila

Opozorilna utrujenost je predvsem posledica ponavljanja. Odgovornost za preiskavo opozoril je zato treba enakomerno porazdeliti med varnostno skupino. Če varnostna ekipa ni dovolj velika, da bi to storila, je težavo mogoče preprečiti le z najemom več ljudi.

Avtomatizirajte, kjer je mogoče

Številne vidike preiskave opozoril je mogoče avtomatizirati. Oglejte si dejavnosti, ki jih izvaja varnostna ekipa, in jih po možnosti avtomatizirajte. To preprečuje ponavljanje in bi moralo zmanjšati število korakov, potrebnih za preiskavo vsakega opozorila.

Optimizirajte potek dela

Oglejte si, kako se opozorila trenutno preiskujejo in poiščite načine za optimizacijo delovnega toka.

Če je mogoče, je treba napisati najboljše prakse. To preprečuje različnim ljudem, da bi poskušali rešiti isto opozorilo na različne načine.

Vse organizacije bi si morale prizadevati za preprečevanje utrujenosti zaradi opozoril

Alarmna utrujenost je resna grožnja za vsako organizacijo. Sicer učinkovito varnostno ekipo spremeni v osebje, ki ga hekerji zlahka premagajo.

Preprečevanje utrujenosti zaradi opozorila zahteva pozornost tako članov varnostne skupine kot lastnikov podjetij. Če so varnostna programska oprema in postopki slabo zasnovani, bodo varnostne ekipe same imele le malo zmožnosti, da to preprečijo.

Ali institucije storijo dovolj za zaščito vaših podatkov?

Število kršitev podatkov in izpostavljenosti v Združenih državah narašča. Kako torej podjetja poskušajo ohraniti vaše podatke zasebne? In kako se lahko izboljšajo?

Preberite Naprej

DelitiTweetE-naslov
Povezane teme
  • Varnost
  • Varnostni nasveti
  • Varnostna tveganja
  • Spletna varnost
  • Spletna varnost
O avtorju
Elliot Nesbo (Objavljenih 60 člankov)

Elliot je samostojni tehnološki pisatelj. Piše predvsem o fintechu in kibernetski varnosti.

Več od Elliota Nesba

Naročite se na naše novice

Pridružite se našemu glasilu za tehnične nasvete, ocene, brezplačne e-knjige in ekskluzivne ponudbe!

Kliknite tukaj, da se naročite