Alertele sunt o parte importantă a protecției împotriva atacurilor cibernetice. Din păcate, nu toate alertele de securitate sunt utile. Software-ul de securitate este renumit pentru furnizarea de avertismente inutile și fals pozitive. În cele din urmă, acest lucru poate provoca oboseală alertă.
Oboseala de alertă poate transforma personalul IT, altfel atent, în oameni care nu prea acordă atenție. Acest lucru este, evident, ideal pentru orice hacker care încearcă să meargă acolo unde nu ar trebui.
Deci, ce este exact oboseala alertă și cum o poți preveni?
Ce este oboseala alertă?
Oboseala de alertă este ceea ce se întâmplă atunci când personalul continuă să primească alerte de securitate care nu înseamnă neapărat nimic.
Este o consecință naturală a software-ului de securitate, cum ar fi antivirus, firewall-uri și Security Information and Event Management (SIEM-uri). Acest tip de software este renumit pentru că este prea sensibil.
Când personalul de securitate primește alerte fără sens, acestea trebuie să fie investigate, chiar dacă personalul nu cred neapărat că există o amenințare reală.
Acest lucru are ca rezultat în cele din urmă ca echipele să acorde mai puțină atenție și să ignore problemele care contează. Un hacker poate declanșa apoi alerte și nu va fi luată nicio măsură.
Legate de: Cum să identificați și să raportați incidentele de securitate
De ce apare oboseala alertă?
Oboseala alertă este un eveniment natural. Indiferent de cât de bine este pregătită o echipă de securitate, ei vor deveni în cele din urmă desensibilizați la informații care nu le impun să ia măsuri.
Este parțial cauzată de faptul că software-ul de securitate adesea nu face distincție între alertele de importanță diferită. Dacă o echipă de securitate primește sute de alerte pe zi și doar un mic procent dintre acestea merită de fapt atenție, este ușor să simți că se pierde timpul prin investigare.
Este demn de remarcat faptul că stresul și echilibrul deficitar dintre viața profesională și viața personală pot contribui, de asemenea, la alertarea oboselii. Este foarte probabil ca personalul de securitate să se confrunte cu aceste probleme.
Câte alerte de securitate necesită de fapt atenție?
Un studiu din 2021 arată că până la jumătate din toate alertele de securitate sunt fals pozitive. Acest lucru este deosebit de problematic când luați în considerare faptul că o singură alertă poate dura cu ușurință 10 până la 30 de minute pentru a investiga.
Aceasta înseamnă că alertele false nu cauzează doar oboseală de alertă; de asemenea, îi determină pe angajați să-și petreacă o mare parte a zilei fără a face nimic.
De ce sunt atât de multe false pozitive?
Software-ul de securitate vine, de obicei, cu reguli generice despre ceea ce constituie o amenințare. Acest lucru îi permite să fie eficient în orice mediu. Problema cu această abordare, totuși, este că, de asemenea, face ca comportamentul nevinovat să fie raportat ca suspect.
Editorii de software beneficiază de a avea prea multe alerte, mai degrabă decât de a avea prea puține. Primul face ca software-ul să pară puternic, în timp ce al doilea va face ca acesta să fie dezinstalat dacă nu reușește să prevină o amenințare reală.
Care sunt consecințele oboselii de alertă?
Oboseala de alertă este o problemă mare, chiar dacă o afacere nu se confruntă cu nicio amenințare. Determină echipelor de securitate să nu le pese de munca lor și acest lucru are efecte previzibile atât asupra fluctuației angajaților, cât și asupra productivității.
Oboseala de alertă este, în mod similar, un risc de securitate. Un astfel de software este folosit deoarece, atunci când nu furnizează rezultate false pozitive, furnizează alerte despre amenințările active.
Dacă aceste alerte trec neobservate, este posibil ca amenințările active să nu fie oprite. Evident, nu contează câte amenințări primește o bucată de software dacă nimeni nu acționează asupra lor.
Cum să preveniți oboseala de alertă
Oboseala de alertă este deosebit de comună în organizațiile mari, dar poate afecta orice echipă de securitate care răspunde la prea multe amenințări percepute. Iată opt modalități de a o preveni.
Reduceți suprafața de atac
O suprafață de atac este alcătuit din toate componentele hardware și software diferite care sunt conectate la rețeaua dvs. Cu cât este mai larg, cu atât o echipă va trebui să investigheze mai multe probleme potențiale. Prin urmare, multe alerte pot fi prevenite prin simpla deconectare a dispozitivelor de la rețea.
Optimizați software-ul de securitate
Verificați ce alerte de securitate sunt trimise. Dacă probleme minore cauzează alerte inutile, modificați setările software-ului pentru a preveni acest lucru. Ar trebui să fie posibil ca membrii personalului să facă greșeli nevinovate fără ca echipa de securitate să fie alertată.
Reduceți falsele pozitive
Toate programele de securitate produc false pozitive. De fiecare dată când apare un fals pozitiv, trebuie notat motivul și ar trebui implementați pași pentru a preveni să se repete.
De exemplu, dacă un anumit fișier continuă să genereze o alertă, acel fișier ar putea fi trecut în lista albă.
Prioritizează alertele în funcție de gravitate
Acolo unde este posibil, alertele ar trebui să aibă prioritate în funcție de potențialele daune pe care le pot provoca. De exemplu, un potențial atac cu forță brută ar trebui să provoace o alertă cu prioritate mai mare decât o singură încercare de parolă incorectă.
Alertele ar trebui, de asemenea, clasificate în funcție de dacă provin de la adrese IP interne sau externe.
Adăugați informații la Alerte
Toate alertele de securitate ar trebui să ofere informații detaliate despre ce le-a cauzat. Acest lucru previne o situație în care două alerte cu niveluri de prioritate diferite apar identice. De exemplu, în loc de o alertă care spune că un utilizator nu s-a conectat, ar trebui explicat motivul acelui eșec.
Investigație de alertă împărțită
Oboseala alertă este cauzată în primul rând de repetare. Responsabilitatea pentru investigarea alertelor ar trebui, prin urmare, împărțită în mod egal între o echipă de securitate. Dacă echipa de securitate nu este suficient de mare pentru a face acest lucru, problema poate fi prevenită doar prin angajarea mai multor persoane.
Automatizați acolo unde este posibil
Multe aspecte ale investigației alertelor pot fi automatizate. Priviți activitățile efectuate de echipa de securitate și automatizați acolo unde este posibil. Acest lucru previne repetarea și ar trebui să reducă numărul de pași necesari pentru a investiga fiecare alertă.
Optimizați fluxul de lucru
Priviți modul în care alertele sunt investigate în prezent și găsiți modalități de optimizare a fluxului de lucru.
Cele mai bune practici trebuie scrise acolo unde este posibil. Acest lucru împiedică diferiți oameni să încerce să rezolve aceeași alertă în moduri diferite.
Toate organizațiile ar trebui să urmărească prevenirea oboselii de alertă
Oboseala alertă este o amenințare serioasă pentru orice organizație. Se transformă o echipă de securitate altfel eficientă într-un personal ușor de trecut de hackeri.
Prevenirea oboselii de alertă necesită atenția atât a membrilor echipei de securitate, cât și a proprietarilor de afaceri. Dacă software-ul și procedurile de securitate sunt prost proiectate, echipele de securitate în sine vor avea o capacitate redusă de a preveni acest lucru.
Încălcările de date și expunerile sunt în creștere în Statele Unite. Deci, cum încearcă companiile să vă păstreze informațiile private? Și cum se pot îmbunătăți?
Citiți în continuare
- Securitate
- Sfaturi de securitate
- Riscuri de securitate
- Securitate online
- Securitate cibernetică
Elliot este un scriitor independent de tehnologie. El scrie în primul rând despre fintech și securitate cibernetică.
Aboneaza-te la newsletter-ul nostru
Alăturați-vă buletinului nostru informativ pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!
Click aici pentru a te abona
