Varningar är en viktig del av skyddet mot cyberattacker. Tyvärr är inte alla säkerhetsvarningar användbara. Säkerhetsprogramvara är ökända för att ge onödiga varningar och falska positiva meddelanden. Så småningom kan detta orsaka varningströtthet.

Alert trötthet kan förvandla annars uppmärksam IT-personal till personer som inte riktigt är uppmärksamma. Detta är uppenbarligen idealiskt för alla hackare som försöker ta sig dit de inte borde.

Så vad exakt är alert trötthet och hur kan du förhindra det?

Vad är Alert Fatigue?

Alertrötthet är vad som händer när personalen hela tiden får säkerhetsvarningar som inte nödvändigtvis betyder någonting.

Det är en naturlig följd av säkerhetsprogram som antivirus, brandväggar och SIEM (Security Information and Event Management). Den här typen av programvara är ökänd för att vara alltför känslig.

När säkerhetspersonal ges meningslösa larm behöver de fortfarande utredas även om personalen inte nödvändigtvis tror att det finns ett genuint hot.

Detta resulterar så småningom i att team uppmärksammar mindre och ignorerar problem som spelar roll. En hacker kan sedan utlösa varningar och inga åtgärder kommer att vidtas.

instagram viewer

Relaterad: Hur man identifierar och rapporterar säkerhetsincidenter

Varför uppstår Alert Fatigue?

Alert trötthet är en naturlig händelse. Oavsett hur väl ett säkerhetsteam är utbildat kommer de så småningom att bli okänsliga för information som inte kräver att de vidtar åtgärder.

Det beror delvis på att säkerhetsprogramvaran ofta inte gör någon skillnad mellan varningar av olika betydelse. Om ett säkerhetsteam får hundratals varningar om dagen och bara en liten andel av dem faktiskt kräver uppmärksamhet, är det lätt att känna att tid slösas bort på att undersöka.

Det är värt att notera att stress och dålig balans mellan arbete och privatliv också kan bidra till alert trötthet. Säkerhetspersonal är särskilt benägna att uppleva dessa problem.

Hur många säkerhetsvarningar kräver faktiskt uppmärksamhet?

En studie från 2021 visar att upp till hälften av alla säkerhetsvarningar är falska positiva. Detta är särskilt problematiskt när du tänker på det faktum att en enskild varning lätt kan ta 10 till 30 minuter att undersöka.

Detta innebär att falska varningar inte bara orsakar larmtrötthet; de får också anställda att tillbringa stora delar av sin dag med att göra ingenting.

Varför finns det så många falska positiva?

Säkerhetsprogramvara kommer vanligtvis med generiska regler om vad som utgör ett hot. Detta gör att den är effektiv i alla miljöer. Problemet med detta tillvägagångssätt är dock att det också gör att oskyldigt beteende rapporteras som misstänkt.

Programutgivare tjänar på att ha för många varningar snarare än att ha för få. Den förra gör att programvaran verkar kraftfull medan den senare kommer att göra att den avinstalleras om den inte lyckas förhindra ett verkligt hot.

Vilka är konsekvenserna av Alert Fatigue?

Alertrötthet är ett stort problem även om ett företag inte står inför några hot. Det gör att säkerhetsteam inte bryr sig om sitt arbete och det har förutsägbara effekter på både personalomsättning och produktivitet.

Varningströtthet är på samma sätt en säkerhetsrisk. Sådan programvara används för att när den inte ger falska positiva meddelanden, ger den varningar om aktiva hot.

Om dessa varningar förblir obemärkta kan det hända att aktiva hot inte stoppas. Det spelar uppenbarligen ingen roll hur många hot en mjukvara tar upp om ingen agerar mot dem.

Hur man förhindrar varningströtthet

Alertrötthet är särskilt vanligt i stora organisationer men kan påverka alla säkerhetsteam som reagerar på för många upplevda hot. Här är åtta sätt att förhindra det.

Minska din attackyta

En attackyta består av alla olika hårdvaru- och mjukvarukomponenter som är anslutna till ditt nätverk. Ju bredare den är, desto fler potentiella problem måste ett team undersöka. Många varningar kan därför förhindras genom att helt enkelt koppla bort enheter från ditt nätverk.

Optimera säkerhetsprogramvara

Kontrollera vilka säkerhetsvarningar som skickas. Om mindre problem orsakar onödiga varningar, ändra programinställningarna för att förhindra att detta händer. Det ska vara möjligt för personalen att göra oskyldiga misstag utan att säkerhetsteamet larmas.

Minska False Positives

All säkerhetsprogramvara ger falska positiva resultat. Varje gång en falsk positiv inträffar bör orsaken noteras och åtgärder bör implementeras för att förhindra att det händer igen.

Till exempel, om en viss fil fortsätter att generera en varning, kan den filen vitlistas.

Prioritera varningar efter svårighetsgrad

Om möjligt bör varningar prioriteras efter den potentiella skada som de kan orsaka. Till exempel en potential brute force attack bör orsaka en varning med högre prioritet än ett enda felaktigt lösenordsförsök.

Varningar bör också kategoriseras efter om de kommer från interna eller externa IP-adresser.

Lägg till information till varningar

Alla säkerhetsvarningar bör ge detaljerad information om vad som orsakade dem. Detta förhindrar en situation där två varningar med olika prioritetsnivåer visas identiska. Till exempel istället för en varning som säger att en användare misslyckades med att logga in, bör orsaken till detta misslyckande förklaras.

Dela upp varningsutredning

Alert trötthet orsakas främst av upprepning. Ansvaret för att utreda larm bör därför delas lika mellan ett säkerhetsteam. Om säkerhetsteamet inte är tillräckligt stort för att göra detta kan problemet bara förhindras genom att anställa fler.

Automatisera där det är möjligt

Många aspekter av larmutredning kan automatiseras. Titta på de aktiviteter som utförs av säkerhetsteamet och automatisera där det är möjligt. Detta förhindrar upprepning och bör minska antalet steg som krävs för att undersöka varje varning.

Optimera arbetsflödet

Titta på hur varningar för närvarande undersöks och hitta sätt att optimera arbetsflödet.

Bästa praxis bör skrivas där det är möjligt. Detta hindrar olika personer från att försöka lösa samma varning på olika sätt.

Alla organisationer bör sträva efter att förhindra larmtrötthet

Alert trötthet är ett allvarligt hot mot alla organisationer. Det förvandlar ett annars effektivt säkerhetsteam till personal som är lätta för hackare att ta sig förbi.

För att förhindra larmtrötthet krävs uppmärksamhet från både säkerhetsteammedlemmar och företagsägare. Om säkerhetsprogramvaran och säkerhetsprocedurerna är dåligt utformade har säkerhetsteamen själva liten förmåga att förhindra det.

Gör institutioner tillräckligt för att skydda dina data?

Dataintrång och exponeringar ökar i USA. Så hur försöker företag att hålla din information privat? Och hur kan de förbättras?

Läs Nästa

Dela med sigTweetE-post
Relaterade ämnen
  • säkerhet
  • Säkerhetstips
  • Säkerhetsrisker
  • Online säkerhet
  • Cybersäkerhet
Om författaren
Elliot Nesbo (60 artiklar publicerade)

Elliot är en frilansande teknikskribent. Han skriver främst om fintech och cybersäkerhet.

Mer från Elliot Nesbo

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!

Klicka här för att prenumerera