Upozorenja su važan dio zaštite od cyber napada. Nažalost, nisu sva sigurnosna upozorenja korisna. Sigurnosni softver je poznat po tome što daje nepotrebna upozorenja i lažne pozitivne rezultate. Konačno, to može uzrokovati umor.

Umor od upozorenja može pretvoriti inače pažljivo IT osoblje u ljude koji zapravo ne obraćaju pažnju. Ovo je očito idealno za sve hakere koji pokušavaju otići tamo gdje ne bi trebali.

Dakle, što je točno alarmantni umor i kako ga možete spriječiti?

Što je Alert Fatigue?

Umor od upozorenja ono je što se događa kada osoblje stalno prima sigurnosna upozorenja koja ne moraju nužno značiti ništa.

To je prirodna posljedica sigurnosnog softvera kao što su antivirusni programi, vatrozidovi i upravljanje sigurnosnim informacijama i događajima (SIEM). Ova vrsta softvera je poznata po tome što je pretjerano osjetljiva.

Kada se sigurnosnom osoblju daju besmislena upozorenja, ona se još uvijek moraju istražiti čak i ako osoblje ne vjeruje da postoji stvarna prijetnja.

To na kraju rezultira time da timovi obraćaju manje pažnje i ignoriraju probleme koji su bitni. Haker tada može pokrenuti upozorenja i ništa neće biti poduzeto.

instagram viewer

Povezano: Kako prepoznati i prijaviti sigurnosne incidente

Zašto se javlja umor od upozorenja?

Oprezni umor prirodna je pojava. Bez obzira na to koliko je dobro obučen sigurnosni tim, oni će s vremenom postati desenzibilizirani na informacije koje ne zahtijevaju od njih da poduzmu akciju.

Djelomično je uzrokovano činjenicom da sigurnosni softver često ne pravi razliku između upozorenja različite važnosti. Ako sigurnosni tim prima stotine upozorenja dnevno i samo mali postotak njih zapravo zaslužuje pažnju, lako je imati osjećaj da se vrijeme gubi na istragu.

Vrijedi napomenuti da stres i loša ravnoteža između posla i privatnog života također mogu pridonijeti budnom umoru. Osoblje sigurnosti posebno je vjerojatno da će doživjeti ove probleme.

Koliko sigurnosnih upozorenja zapravo zahtijevaju pozornost?

Studija iz 2021. pokazuje da do polovice svih sigurnosnih upozorenja su lažno pozitivni. To je osobito problematično kada se uzme u obzir činjenica da jedno upozorenje može lako potrajati 10 do 30 minuta za istraživanje.

To znači da lažna upozorenja ne uzrokuju samo umor od upozorenja; također uzrokuju da zaposlenici provode veliki dio svog dana ne radeći ništa.

Zašto ima toliko lažno pozitivnih?

Sigurnosni softver obično dolazi u paketu s općim pravilima o tome što predstavlja prijetnju. To mu omogućuje da bude učinkovit u svakom okruženju. Problem s ovim pristupom je, međutim, što on također uzrokuje da se nedužno ponašanje prijavi kao sumnjivo.

Izdavači softvera imaju koristi od previše upozorenja, a ne od premalo. Prvi čini da se softver čini moćnim, dok će drugi uzrokovati njegovo deinstaliranje ako ne spriječi stvarnu prijetnju.

Koje su posljedice umora od upozorenja?

Umor od upozorenja veliki je problem čak i ako se tvrtka ne suočava s prijetnjama. To uzrokuje da sigurnosni timovi ne mare za svoj posao, a to ima predvidljive učinke i na fluktuaciju zaposlenika i na produktivnost.

Umor od upozorenja na sličan je način sigurnosni rizik. Takav se softver koristi jer kada ne daje lažne pozitivne rezultate, on daje upozorenja o aktivnim prijetnjama.

Ako ova upozorenja prođu neprimijećena, aktivne prijetnje možda neće biti zaustavljene. Očito nije važno koliko prijetnji softver preuzima ako nitko ne djeluje na njih.

Kako spriječiti umor od upozorenja

Umor od upozorenja osobito je čest u velikim organizacijama, ali može utjecati na svaki sigurnosni tim koji reagira na previše uočenih prijetnji. Evo osam načina da to spriječite.

Smanjite površinu napada

Napadna površina sastoji se od svih različitih hardverskih i softverskih komponenti koje su povezane s vašom mrežom. Što je širi, tim će morati istražiti više potencijalnih problema. Stoga se mnoga upozorenja mogu spriječiti jednostavnim odspajanjem uređaja s mreže.

Optimizirajte sigurnosni softver

Provjerite koja se sigurnosna upozorenja šalju. Ako manji problemi uzrokuju nepotrebna upozorenja, izmijenite postavke softvera kako biste to spriječili. Trebalo bi biti moguće da članovi osoblja počine nevine pogreške, a da sigurnosni tim ne bude upozoren.

Smanjite lažne pozitivne rezultate

Sav sigurnosni softver daje lažne pozitivne rezultate. Svaki put kada se dogodi lažno pozitivan, razlog treba zabilježiti i poduzeti korake kako bi se spriječilo da se to ponovi.

Na primjer, ako određena datoteka nastavi generirati upozorenje, ta bi se datoteka mogla staviti na popis dopuštenih.

Odredite prioritet upozorenja prema ozbiljnosti

Gdje je moguće, upozorenja bi trebala biti prioritetizirana prema potencijalnoj šteti koju mogu prouzročiti. Na primjer, potencijal napad grubom silom trebao bi uzrokovati upozorenje s višim prioritetom od jednog pokušaja netočne lozinke.

Upozorenja bi također trebala biti kategorizirana prema tome potječu li s internih ili vanjskih IP adresa.

Dodajte informacije u upozorenja

Sva sigurnosna upozorenja trebaju sadržavati detaljne informacije o tome što ih je uzrokovalo. To sprječava situaciju u kojoj se dva upozorenja različitih razina prioriteta čine identičnima. Na primjer, umjesto upozorenja koje kaže da se korisnik nije uspio prijaviti, treba objasniti razlog tog neuspjeha.

Podijelite istragu upozorenja

Umor upozorenja prvenstveno je uzrokovan ponavljanjem. Stoga bi odgovornost za istraživanje upozorenja trebala biti ravnopravno podijeljena među sigurnosnim timom. Ako sigurnosni tim nije dovoljno velik da to učini, problem se može spriječiti samo zapošljavanjem više ljudi.

Automatizirajte gdje je moguće

Mnogi aspekti istrage upozorenja mogu se automatizirati. Pogledajte aktivnosti koje obavlja sigurnosni tim i automatizirajte ih gdje je to moguće. To sprječava ponavljanje i trebalo bi smanjiti broj koraka potrebnih za istraživanje svakog upozorenja.

Optimizirajte tijek rada

Pogledajte način na koji se upozorenja trenutačno istražuju i pronađite načine za optimizaciju tijeka rada.

Najbolje prakse trebaju biti napisane gdje je to moguće. To sprječava različite ljude da pokušavaju riješiti isto upozorenje na različite načine.

Sve organizacije trebale bi nastojati spriječiti umor od upozorenja

Umor od upozorenja ozbiljna je prijetnja svakoj organizaciji. To pretvara inače učinkovit sigurnosni tim u osoblje koje je hakerima lako proći.

Sprječavanje zamora od upozorenja zahtijeva pažnju i članova sigurnosnog tima i vlasnika poduzeća. Ako su sigurnosni softver i postupci loše osmišljeni, sami sigurnosni timovi neće moći to spriječiti.

Čine li institucije dovoljno da zaštite vaše podatke?

Kršenja podataka i izloženost u porastu su u Sjedinjenim Državama. Dakle, kako tvrtke pokušavaju zadržati vaše podatke privatno? I kako se mogu poboljšati?

Pročitajte dalje

UdioCvrkutE-mail
Povezane teme
  • Sigurnost
  • Sigurnosni savjeti
  • Sigurnosni rizici
  • Sigurnost na mreži
  • Cybersigurnost
O autoru
Elliot Nesbo (Objavljeno 60 članaka)

Elliot je slobodni pisac o tehnologiji. On prvenstveno piše o fintech-u i kibernetičkoj sigurnosti.

Više od Elliota Nesba

Pretplatite se na naše obavijesti

Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!

Kliknite ovdje za pretplatu