Advarsler er en vigtig del af beskyttelsen mod cyberangreb. Desværre er ikke alle sikkerhedsadvarsler nyttige. Sikkerhedssoftware er berygtet for at give unødvendige advarsler og falske positiver. Til sidst kan dette forårsage alarmtræthed.

Alarmtræthed kan gøre ellers opmærksomme it-medarbejdere til mennesker, der ikke rigtig er opmærksomme. Dette er naturligvis ideelt for enhver hacker, der forsøger at gå, hvor de ikke burde.

Så hvad er alarmtræthed præcist, og hvordan kan du forhindre det?

Hvad er alarmtræthed?

Alerttræthed er, hvad der sker, når personalet bliver ved med at modtage sikkerhedsadvarsler, der ikke nødvendigvis betyder noget.

Det er en naturlig konsekvens af sikkerhedssoftware såsom antivirus, firewalls og Security Information and Event Management (SIEM'er). Denne type software er berygtet for at være alt for følsom.

Når sikkerhedspersonale får meningsløse alarmer, skal de stadig undersøges, selvom personalet ikke nødvendigvis mener, at der er en reel trussel.

Dette resulterer i sidste ende i, at teams betaler mindre opmærksomhed og ignorerer problemer, der betyder noget. En hacker kan derefter udløse advarsler, og der vil ikke blive foretaget nogen handling.

instagram viewer

Relaterede: Sådan identificeres og rapporteres sikkerhedshændelser

Hvorfor opstår alarmtræthed?

Alert træthed er en naturlig begivenhed. Uanset hvor godt et sikkerhedsteam er uddannet, vil de i sidste ende blive ufølsomme over for information, der ikke kræver, at de handler.

Det skyldes delvist, at sikkerhedssoftware ofte ikke skelner mellem advarsler af forskellig betydning. Hvis et sikkerhedsteam modtager hundredvis af advarsler om dagen, og kun en lille procentdel af dem faktisk berettiger opmærksomhed, er det let at føle, at tiden bliver spildt ved at undersøge.

Det er værd at bemærke, at stress og dårlig balance mellem arbejde og privatliv også kan bidrage til alarmtræthed. Sikkerhedspersonale er særligt tilbøjelige til at opleve disse problemer.

Hvor mange sikkerhedsadvarsler kræver faktisk opmærksomhed?

En undersøgelse fra 2021 viser, at op til halvdelen af ​​alle sikkerhedsadvarsler er falske positive. Dette er især problematisk, når man tænker på, at en enkelt advarsel nemt kan tage 10 til 30 minutter at undersøge.

Det betyder, at falske alarmer ikke kun forårsager alarmtræthed; de får også medarbejderne til at bruge store dele af deres dag på stort set ingenting.

Hvorfor er der så mange falske positive?

Sikkerhedssoftware leveres normalt pakket med generiske regler om, hvad der udgør en trussel. Dette gør det muligt at være effektiv i ethvert miljø. Problemet med denne tilgang er dog, at den også medfører, at uskyldig adfærd bliver rapporteret som mistænkelig.

Softwareudgivere drager fordel af at have for mange advarsler frem for at have for få. Førstnævnte får software til at virke kraftfuld, mens sidstnævnte vil få den til at blive afinstalleret, hvis den ikke forhindrer en faktisk trussel.

Hvad er konsekvenserne af alarmtræthed?

Alert træthed er et stort problem, selvom en virksomhed ikke står over for nogen trusler. Det får sikkerhedsteams til ikke at bekymre sig om deres arbejde, og det har forudsigelige effekter på både medarbejderomsætning og produktivitet.

Alarmtræthed er ligeledes en sikkerhedsrisiko. Sådan software bruges, fordi når den ikke giver falske positiver, giver den advarsler om aktive trusler.

Hvis disse advarsler forbliver ubemærket, kan aktive trusler muligvis ikke stoppes. Det er naturligvis ligegyldigt, hvor mange trusler et stykke software opfanger, hvis ingen reagerer på dem.

Sådan forhindrer du alarmtræthed

Alerttræthed er især almindelig i store organisationer, men kan påvirke ethvert sikkerhedsteam, der reagerer på for mange opfattede trusler. Her er otte måder at forhindre det på.

Reducer din angrebsoverflade

En angrebsflade består af alle de forskellige hardware- og softwarekomponenter, der er forbundet til dit netværk. Jo bredere det er, jo flere potentielle problemer skal et team undersøge. Mange advarsler kan derfor forhindres ved blot at afbryde enheder fra dit netværk.

Optimer sikkerhedssoftware

Tjek hvilke sikkerhedsadvarsler der sendes. Hvis mindre problemer forårsager unødvendige advarsler, skal du ændre softwareindstillingerne for at forhindre, at dette sker. Det skal være muligt for medarbejdere at begå uskyldige fejl, uden at sikkerhedsteamet bliver alarmeret.

Reducer falske positiver

Al sikkerhedssoftware producerer falske positiver. Hver gang en falsk positiv opstår, skal årsagen noteres, og trin skal implementeres for at forhindre, at det sker igen.

For eksempel, hvis en bestemt fil bliver ved med at generere en advarsel, kan den fil blive hvidlistet.

Prioriter advarsler efter sværhedsgrad

Hvor det er muligt, bør advarsler prioriteres i forhold til den potentielle skade, de kan forårsage. For eksempel et potentiale brute force angreb bør forårsage en advarsel med højere prioritet end et enkelt forkert adgangskodeforsøg.

Advarsler bør også kategoriseres efter, om de stammer fra interne eller eksterne IP-adresser.

Tilføj oplysninger til alarmer

Alle sikkerhedsadvarsler bør give detaljerede oplysninger om, hvad der forårsagede dem. Dette forhindrer en situation, hvor to advarsler med forskellige prioritetsniveauer fremstår identiske. For eksempel i stedet for en advarsel, der siger, at en bruger ikke kunne logge på, skal årsagen til fejlen forklares.

Opdel alarmundersøgelse

Alarmtræthed skyldes primært gentagelser. Ansvaret for at undersøge alarmer bør derfor deles ligeligt mellem et sikkerhedsteam. Hvis sikkerhedsteamet ikke er stort nok til at gøre dette, kan problemet kun forhindres ved at ansætte flere folk.

Automatiser hvor det er muligt

Mange aspekter af alarmundersøgelser kan automatiseres. Se på de aktiviteter, der udføres af sikkerhedsteamet, og automatiser, hvor det er muligt. Dette forhindrer gentagelse og bør reducere antallet af trin, der kræves for at undersøge hver advarsel.

Optimer arbejdsgangen

Se på den måde, advarsler i øjeblikket undersøges på, og find måder at optimere arbejdsgangen på.

Bedste praksis bør skrives, hvor det er muligt. Dette forhindrer forskellige personer i at forsøge at løse den samme alarm på forskellige måder.

Alle organisationer bør sigte mod at forhindre alarmtræthed

Alert træthed er en alvorlig trussel mod enhver organisation. Det gør et ellers effektivt sikkerhedsteam til personale, som er nemme for hackere at komme forbi.

Forebyggelse af alarmtræthed kræver opmærksomhed fra både sikkerhedsteammedlemmer og virksomhedsejere. Hvis sikkerhedssoftware og -procedurer er dårligt designet, vil sikkerhedsteams selv have ringe evne til at forhindre det.

Gør institutioner nok for at beskytte dine data?

Databrud og eksponeringer er stigende i USA. Så hvordan forsøger virksomheder at holde dine oplysninger private? Og hvordan kan de forbedre sig?

Læs Næste

DelTweetE-mail
Relaterede emner
  • Sikkerhed
  • Sikkerhedstips
  • Sikkerhedsrisici
  • Online sikkerhed
  • Cybersikkerhed
Om forfatteren
Elliot Nesbo (60 artikler udgivet)

Elliot er en freelance tech-skribent. Han skriver primært om fintech og cybersikkerhed.

Mere fra Elliot Nesbo

Abonner på vores nyhedsbrev

Tilmeld dig vores nyhedsbrev for tekniske tips, anmeldelser, gratis e-bøger og eksklusive tilbud!

Klik her for at abonnere