Сигналите са важна част от защитата срещу кибератаки. За съжаление, не всички сигнали за сигурност са полезни. Софтуерът за сигурност е известен с предоставянето на ненужни предупреждения и фалшиви положителни резултати. В крайна сметка това може да причини тревожна умора.
Предупредителната умора може да превърне иначе внимателния ИТ персонал в хора, които всъщност не обръщат внимание. Това очевидно е идеално за всеки хакер, който се опитва да отиде там, където не трябва.
И така, какво точно е тревожна умора и как можете да я предотвратите?
Какво е предупредителна умора?
Умората от предупреждения е това, което се случва, когато персоналът продължава да получава сигнали за сигурност, които не означават непременно нищо.
Това е естествена последица от софтуер за сигурност като антивирус, защитни стени и управление на информация и събития за сигурност (SIEM). Този тип софтуер е известен с това, че е прекалено чувствителен.
Когато служителите по сигурността получават безсмислени сигнали, те все още трябва да бъдат разследвани, дори ако служителите не вярват непременно, че има реална заплаха.
Това в крайна сметка води до това, че екипите обръщат по-малко внимание и игнорират проблемите, които имат значение. След това хакер може да задейства сигнали и няма да се предприемат никакви действия.
Свързани: Как да идентифицираме и докладваме за инциденти със сигурността
Защо се случва предупредителна умора?
Предупредителната умора е естествено явление. Независимо от това колко добре е обучен екипът за сигурност, в крайна сметка те ще станат нечувствителни към информация, която не изисква от тях да предприемат действия.
Това е частично причинено от факта, че софтуерът за сигурност често не прави разлика между сигнали с различно значение. Ако екип по сигурността получава стотици сигнали на ден и само малък процент от тях действително заслужават внимание, лесно е да почувствате, че времето се губи с разследване.
Струва си да се отбележи, че стресът и лошият баланс между работата и личния живот също могат да допринесат за предупредителната умора. Служителите по сигурността са особено вероятно да се сблъскат с тези проблеми.
Колко сигнала за сигурност всъщност изискват внимание?
Проучване от 2021 г. показва, че до половината от всички сигнали за сигурност са фалшиви положителни резултати. Това е особено проблематично, когато вземете предвид факта, че разследването на едно предупреждение може лесно да отнеме от 10 до 30 минути.
Това означава, че фалшивите сигнали не само причиняват умора на предупреждението; те също така карат служителите да прекарват голяма част от деня си, като по същество не правят нищо.
Защо има толкова много фалшиви положителни резултати?
Софтуерът за сигурност обикновено идва с общи правила за това какво представлява заплаха. Това му позволява да бъде ефективен във всяка среда. Проблемът с този подход обаче е, че той също така кара невинното поведение да бъде докладвано като подозрително.
Издателите на софтуер се възползват от твърде много сигнали, вместо от твърде малко. Първият прави софтуера да изглежда мощен, докато вторият ще доведе до деинсталирането му, ако не успее да предотврати действителна заплаха.
Какви са последствията от предупредителната умора?
Умората от предупреждение е голям проблем, дори ако бизнесът не е изправен пред никакви заплахи. Това кара екипите по сигурността да не се интересуват от работата си и това има предвидими ефекти както върху текучеството на служителите, така и върху производителността.
Умората от предупреждение също е риск за сигурността. Такъв софтуер се използва, защото когато не предоставя фалшиви положителни резултати, той предоставя сигнали за активни заплахи.
Ако тези сигнали останат незабелязани, активните заплахи може да не бъдат спрени. Очевидно няма значение колко заплахи улавя даден софтуер, ако никой не действа срещу тях.
Как да предотвратим предупредителната умора
Умората от предупреждения е особено често срещана в големите организации, но може да засегне всеки екип по сигурността, който реагира на твърде много възприемани заплахи. Ето осем начина да го предотвратите.
Намалете повърхността на атака
Повърхност за атака се състои от всички различни хардуерни и софтуерни компоненти, които са свързани към вашата мрежа. Колкото по-широк е той, толкова повече потенциални проблеми ще трябва да проучи един екип. Следователно много сигнали могат да бъдат предотвратени чрез просто изключване на устройства от вашата мрежа.
Оптимизирайте софтуера за сигурност
Проверете какви сигнали за сигурност се изпращат. Ако незначителни проблеми причиняват ненужни сигнали, променете настройките на софтуера, за да предотвратите това. Трябва да е възможно членовете на персонала да правят невинни грешки, без екипът по сигурността да бъде предупреден.
Намалете фалшивите положителни резултати
Целият софтуер за сигурност дава фалшиви положителни резултати. Всеки път, когато се появи фалшиво положително, трябва да се отбележи причината и да се предприемат стъпки, за да се предотврати това да се случи отново.
Например, ако конкретен файл продължава да генерира предупреждение, този файл може да бъде в белия списък.
Приоритизиране на сигналите по сериозност
Когато е възможно, сигналите трябва да бъдат приоритизирани според потенциалните щети, които могат да причинят. Например потенциал атака с груба сила трябва да предизвика предупреждение с по-висок приоритет от единичен неправилен опит за парола.
Сигналите също трябва да бъдат категоризирани според това дали произлизат от вътрешни или външни IP адреси.
Добавяне на информация към сигнали
Всички сигнали за сигурност трябва да предоставят подробна информация за това какво ги е причинило. Това предотвратява ситуация, при която два сигнала с различни нива на приоритет изглеждат идентични. Например вместо предупреждение, което казва, че потребителят не е успял да влезе, трябва да се обясни причината за този неуспех.
Разделете аларменото разследване
Предупредителната умора се причинява предимно от повторение. Следователно отговорността за разследване на сигнали трябва да бъде разпределена поравно между екип по сигурността. Ако екипът по сигурността не е достатъчно голям, за да направи това, проблемът може да бъде предотвратен само чрез наемане на повече хора.
Автоматизирайте, където е възможно
Много аспекти на разследването на сигналите могат да бъдат автоматизирани. Вижте дейностите, извършвани от екипа по сигурността, и автоматизирайте, когато е възможно. Това предотвратява повторение и трябва да намали броя на стъпките, необходими за разследване на всеки сигнал.
Оптимизиране на работния процес
Вижте начина, по който сигналите се разследват в момента и намерете начини за оптимизиране на работния процес.
Най-добрите практики трябва да бъдат написани, където е възможно. Това не позволява на различни хора да се опитват да разрешат едно и също предупреждение по различни начини.
Всички организации трябва да се стремят към предотвратяване на умора от предупреждение
Предупредителната умора е сериозна заплаха за всяка организация. Той превръща иначе ефективен екип по сигурността в персонал, който хакерите лесно могат да преодолеят.
Предотвратяването на умора от предупреждение изисква вниманието както на членовете на екипа по сигурността, така и на собствениците на бизнес. Ако софтуерът и процедурите за сигурност са лошо проектирани, самите екипи по сигурността ще имат малка възможност да го предотвратят.
Нарушенията на данни и излагането на данни се увеличават в Съединените щати. И така, как компаниите се опитват да запазят информацията ви поверителна? И как могат да се подобрят?
Прочетете Следващото
- Сигурност
- Съвети за сигурност
- Рискове за сигурността
- Онлайн сигурност
- Кибер защита
Елиът е технически писател на свободна практика. Той пише предимно за финтех и киберсигурност.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, ревюта, безплатни електронни книги и ексклузивни оферти!
Щракнете тук, за да се абонирате