A riasztások fontos részét képezik a kibertámadások elleni védekezésnek. Sajnos nem minden biztonsági figyelmeztetés hasznos. A biztonsági szoftverek arról híresek, hogy szükségtelen figyelmeztetéseket és hamis pozitív üzeneteket adnak. Végül ez éber fáradtságot okozhat.

Az éber fáradtság az egyébként figyelmes informatikusokat olyan emberekké változtathatja, akik nem igazán figyelnek oda. Ez nyilvánvalóan ideális minden hacker számára, aki oda akar menni, ahol nem kellene.

Mi tehát pontosan az éber fáradtság, és hogyan lehet megelőzni?

Mi az éber fáradtság?

A riasztási fáradtság az, ami akkor történik, amikor a személyzet folyamatosan olyan biztonsági figyelmeztetéseket kap, amelyek nem feltétlenül jelentenek semmit.

Ez természetes következménye a biztonsági szoftvereknek, például a víruskeresőknek, a tűzfalaknak és a biztonsági információ- és eseménykezelésnek (SIEM). Ez a fajta szoftver arról híres, hogy túl érzékeny.

Amikor a biztonsági személyzet értelmetlen riasztásokat kap, akkor is ki kell vizsgálni azokat, még akkor is, ha a személyzet nem feltétlenül hiszi el, hogy valódi fenyegetésről van szó.

instagram viewer

Ez végül azt eredményezi, hogy a csapatok kevesebb figyelmet fordítanak, és figyelmen kívül hagyják a lényeges problémákat. A hacker ezután riasztásokat indíthat el, és nem tesz semmit.

Összefüggő: Hogyan lehet azonosítani és jelenteni a biztonsági eseményeket

Miért jelentkezik az Alert Fáradtság?

Az éber fáradtság természetes jelenség. Függetlenül attól, hogy a biztonsági csapat milyen jól képzett, végül érzéketlenné válik az olyan információk iránt, amelyek nem igényelnek intézkedést.

Ezt részben az okozza, hogy a biztonsági szoftverek gyakran nem tesznek különbséget a különböző fontosságú riasztások között. Ha egy biztonsági csapat naponta több száz riasztást kap, és ezeknek csak egy kis százaléka érdemel figyelmet, könnyen úgy érezhetjük, időt veszítenek a nyomozással.

Érdemes megjegyezni, hogy a stressz és a rossz munka-magánélet egyensúly szintén hozzájárulhat az éber fáradtsághoz. A biztonsági személyzet különösen nagy valószínűséggel tapasztalja ezeket a problémákat.

Valójában hány biztonsági figyelmeztetés igényel figyelmet?

Egy 2021-es tanulmány szerint az összes biztonsági riasztás akár fele is hamis pozitívak. Ez különösen problémás, ha figyelembe vesszük azt a tényt, hogy egyetlen riasztás kivizsgálása 10-30 percet is igénybe vehet.

Ez azt jelenti, hogy a téves riasztások nem csak riasztási fáradtságot okoznak; ezek arra is késztetik az alkalmazottakat, hogy a napjuk nagy részét lényegében semmittevéssel töltsék.

Miért van olyan sok hamis pozitívum?

A biztonsági szoftverek általában általános szabályokat tartalmaznak arról, hogy mi minősül fenyegetésnek. Ez lehetővé teszi, hogy bármilyen környezetben hatékony legyen. Ezzel a megközelítéssel azonban az a probléma, hogy az ártatlan viselkedést is gyanúsként jelenti be.

A szoftverkiadók számára előnyös, ha túl sok riasztást kapnak, nem pedig túl kevés. Az előbbi a szoftvert erőteljesnek tűnik, míg az utóbbi eltávolítja azt, ha nem képes megakadályozni egy tényleges fenyegetést.

Milyen következményekkel jár az éber fáradtság?

Az éber fáradtság akkor is nagy probléma, ha egy vállalkozást nem fenyeget semmilyen veszély. Ez arra készteti a biztonsági csapatokat, hogy nem törődnek a munkájukkal, és ennek előre látható hatásai vannak az alkalmazottak fluktuációjára és a termelékenységre egyaránt.

A riasztási fáradtság szintén biztonsági kockázatot jelent. Az ilyen szoftvereket azért használják, mert amikor nem ad téves pozitív eredményt, akkor riasztást ad az aktív fenyegetésekről.

Ha ezeket a riasztásokat nem veszik észre, előfordulhat, hogy az aktív fenyegetéseket nem lehet leállítani. Nyilvánvalóan nem számít, hogy egy szoftver hány fenyegetést észlel, ha senki sem lép fel ellenük.

Hogyan lehet megelőzni a riasztási fáradtságot

A riasztási fáradtság különösen gyakori a nagy szervezetekben, de hatással lehet bármely biztonsági csapatra, amely túl sok észlelt fenyegetésre reagál. Íme nyolc módszer a megelőzésére.

Csökkentse a támadási felületet

Támadási felület a hálózathoz csatlakoztatott összes hardver és szoftver összetevőből áll. Minél szélesebb, annál több lehetséges problémát kell a csapatnak kivizsgálnia. Ezért sok riasztás megelőzhető, ha egyszerűen leválasztja az eszközöket a hálózatról.

Biztonsági szoftver optimalizálása

Ellenőrizze, hogy milyen biztonsági figyelmeztetéseket küldenek. Ha kisebb problémák okoznak szükségtelen riasztásokat, módosítsa a szoftverbeállításokat, hogy ez ne forduljon elő. Lehetővé kell tenni a személyzet tagjai számára, hogy ártatlan hibákat kövessenek el a biztonsági csapat figyelmeztetése nélkül.

Csökkentse a hamis pozitívumot

Minden biztonsági szoftver hamis pozitív eredményt produkál. Minden alkalommal, amikor téves pozitív eredmény fordul elő, fel kell jegyezni az okot, és lépéseket kell tenni az újbóli előfordulás megelőzése érdekében.

Például, ha egy adott fájl folyamatosan riasztást generál, akkor az a fájl engedélyezőlistára kerülhet.

A riasztások prioritása a súlyosság szerint

Ahol lehetséges, a riasztásokat az általuk okozott lehetséges károk szerint kell rangsorolni. Például egy potenciál nyers erő támadás magasabb prioritású riasztást kell okoznia, mint egyetlen helytelen jelszókísérlet.

A riasztásokat aszerint is kategorizálni kell, hogy belső vagy külső IP-címről származnak-e.

Információ hozzáadása a figyelmeztetésekhez

Minden biztonsági figyelmeztetésnek részletes információt kell adnia arról, hogy mi okozta őket. Ez megakadályozza azt a helyzetet, hogy két különböző prioritási szintű riasztás azonosnak tűnjön. Például egy olyan riasztás helyett, amely azt mondja, hogy a felhasználó nem jelentkezett be, a hiba okát kell megmagyarázni.

Divide Up Alert vizsgálat

Az éber fáradtságot elsősorban az ismétlés okozza. A riasztások kivizsgálásával kapcsolatos felelősséget ezért egyenlően kell felosztani a biztonsági csoport között. Ha a biztonsági csapat nem elég nagy ehhez, akkor a probléma csak több ember felvételével előzhető meg.

Automatizálja, ahol csak lehetséges

A riasztások vizsgálatának számos vonatkozása automatizálható. Tekintse meg a biztonsági csapat által végzett tevékenységeket, és lehetőség szerint automatizálja. Ez megakadályozza az ismétlődést, és csökkenti az egyes riasztások kivizsgálásához szükséges lépések számát.

Munkafolyamat optimalizálása

Tekintse meg, hogyan vizsgálják jelenleg a riasztásokat, és találjon módokat a munkafolyamat optimalizálására.

Lehetőség szerint meg kell írni a legjobb gyakorlatokat. Ez megakadályozza, hogy különböző emberek különböző módon próbálják megoldani ugyanazt a riasztást.

Minden szervezetnek törekednie kell a riasztási fáradtság megelőzésére

Az éber fáradtság komoly veszélyt jelent minden szervezetre. Az egyébként hatékony biztonsági csapatból olyan személyzetet alakít, amelyen a hackerek könnyen túljuthatnak.

A riasztási fáradtság megelőzése megköveteli a biztonsági csapat tagjainak és a cégtulajdonosoknak a figyelmét. Ha a biztonsági szoftverek és eljárások rosszul vannak megtervezve, maguknak a biztonsági csapatoknak alig lesz lehetősége megakadályozni.

Az intézmények eleget tesznek adatai védelméért?

Az Egyesült Államokban növekszik az adatszivárgás és a kitettség. Tehát hogyan próbálják meg a cégek az Ön adatait titokban tartani? És hogyan tudnak fejlődni?

Olvassa el a következőt

RészvényCsipogEmail
Kapcsolódó témák
  • Biztonság
  • Biztonsági tippek
  • Biztonsági kockázatok
  • Online biztonság
  • Kiberbiztonság
A szerzőről
Elliot Nesbo (60 publikált cikk)

Elliot szabadúszó műszaki író. Elsősorban a fintechről és a kiberbiztonságról ír.

Továbbiak Elliot Nesbótól

Iratkozzon fel hírlevelünkre

Csatlakozzon hírlevelünkhöz műszaki tippekért, ismertetőkért, ingyenes e-könyvekért és exkluzív ajánlatokért!

Kattintson ide az előfizetéshez