Hälytykset ovat tärkeä osa kyberhyökkäyksiä vastaan suojautumista. Valitettavasti kaikki tietoturvavaroitukset eivät ole hyödyllisiä. Tietoturvaohjelmistot ovat tunnettuja tarpeettomista varoituksista ja vääristä positiivisista tuloksista. Lopulta tämä voi aiheuttaa hälyttävää väsymystä.
Valpas väsymys voi muuttaa muuten tarkkaavaisen IT-henkilöstön ihmisiksi, jotka eivät todellakaan kiinnitä huomiota. Tämä on tietysti ihanteellinen kaikille hakkereille, jotka yrittävät mennä sinne, missä heidän ei pitäisi.
Mitä tarkkaan ottaen on valppausväsymys ja miten voit estää sen?
Mikä on Alert-väsymys?
Hälytysväsymys on sitä, mitä tapahtuu, kun henkilökunta saa jatkuvasti turvahälytyksiä, jotka eivät välttämättä tarkoita mitään.
Se on luonnollinen seuraus tietoturvaohjelmistoista, kuten virustentorjunnasta, palomuureista ja Security Information and Event Managementista (SIEM). Tämäntyyppiset ohjelmistot ovat tunnetusti liian herkkiä.
Kun turvallisuushenkilöstölle annetaan merkityksettömiä hälytyksiä, ne on silti tutkittava, vaikka henkilökunta ei välttämättä uskoisi, että kyseessä on todellinen uhka.
Tämä johtaa lopulta siihen, että tiimit kiinnittävät vähemmän huomiota ja jättävät huomioimatta tärkeitä ongelmia. Hakkeri voi sitten laukaista hälytyksiä, eikä toimenpiteitä ryhdytä.
Aiheeseen liittyvä: Turvallisuushäiriöiden tunnistaminen ja niistä ilmoittaminen
Miksi hälytysväsymys tapahtuu?
Valpas väsymys on luonnollinen ilmiö. Riippumatta siitä, kuinka hyvin turvallisuustiimi on koulutettu, heistä tulee lopulta epäherkkä tiedoille, jotka eivät vaadi heidän ryhtymistä toimiin.
Se johtuu osittain siitä, että tietoturvaohjelmistot eivät usein tee eroa eri tärkeydellä olevien hälytysten välillä. Jos turvallisuustiimi saa satoja hälytyksiä päivässä ja vain pieni osa niistä todella ansaitsee huomiota, on helppoa tuntea, että aikaa menee hukkaan tutkimiseen.
On syytä huomata, että stressi ja huono työ- ja perhe-elämän tasapaino voivat myös vaikuttaa valppaaseen väsymykseen. Varsinkin turvallisuushenkilöstö kohtaa näitä ongelmia.
Kuinka monta tietoturvavaroitusta todella vaatii huomiota?
Vuoden 2021 tutkimus osoittaa, että jopa puolet kaikista tietoturvahälytyksistä ovat vääriä positiivisia. Tämä on erityisen ongelmallista, kun otetaan huomioon, että yhden hälytyksen tutkimiseen voi helposti mennä 10–30 minuuttia.
Tämä tarkoittaa, että väärät hälytykset eivät vain aiheuta hälytysten väsymistä; ne saavat myös työntekijät viettämään suuren osan päivästään tekemättä mitään.
Miksi on niin paljon vääriä positiivisia?
Tietoturvaohjelmisto on yleensä pakattu yleisiin sääntöihin siitä, mikä on uhka. Tämän ansiosta se on tehokas missä tahansa ympäristössä. Tämän lähestymistavan ongelmana on kuitenkin se, että se aiheuttaa myös viattoman käytöksen ilmoittamisen epäilyttäväksi.
Ohjelmistojen julkaisijat hyötyvät siitä, että heillä on liian monta hälytystä liian vähän. Edellinen saa ohjelmiston näyttämään tehokkaalta, kun taas jälkimmäinen saa sen poistamaan, jos se ei pysty estämään todellista uhkaa.
Mitä seurauksia valppaamisesta on?
Valpas väsymys on suuri ongelma, vaikka yritystä ei uhkaisikaan. Se saa turvallisuustiimit olemaan välittämättä työstään ja tällä on ennakoitavissa olevia vaikutuksia sekä henkilöstön vaihtumiseen että tuottavuuteen.
Hälytysväsymys on myös turvallisuusriski. Tällaista ohjelmistoa käytetään, koska kun se ei anna vääriä positiivisia tuloksia, se antaa hälytyksiä aktiivisista uhista.
Jos nämä hälytykset jäävät huomaamatta, aktiivisia uhkia ei ehkä voida pysäyttää. Sillä ei tietenkään ole väliä kuinka monta uhkaa ohjelmisto havaitsee, jos kukaan ei puutu niihin.
Kuinka ehkäistä hälytysväsymystä
Hälytysväsymys on erityisen yleistä suurissa organisaatioissa, mutta se voi vaikuttaa mihin tahansa tietoturvatiimiin, jotka reagoivat liian moniin havaittuihin uhkiin. Tässä on kahdeksan tapaa estää se.
Pienennä hyökkäyspintasi
Hyökkäyspinta koostuu kaikista eri laitteisto- ja ohjelmistokomponenteista, jotka on kytketty verkkoosi. Mitä laajempi se on, sitä enemmän mahdollisia ongelmia tiimin on tutkittava. Monet hälytykset voidaan siksi estää yksinkertaisesti irrottamalla laitteet verkosta.
Optimoi suojausohjelmisto
Tarkista, mitä turvahälytyksiä lähetetään. Jos pienet ongelmat aiheuttavat tarpeettomia hälytyksiä, muokkaa ohjelmistoasetuksia estääksesi tämän. Henkilökunnan jäsenten pitäisi voida tehdä viattomia virheitä ilman, että turvaryhmää varoitetaan.
Vähennä vääriä positiivisia
Kaikki tietoturvaohjelmistot tuottavat vääriä positiivisia tuloksia. Joka kerta, kun virheellinen positiivinen tulos ilmenee, syy tulee merkitä muistiin ja ryhtyä toimiin sen toistumisen estämiseksi.
Jos esimerkiksi tietty tiedosto tuottaa jatkuvasti hälytyksen, tiedosto voidaan lisätä sallittujen luetteloon.
Priorisoi hälytykset vakavuuden mukaan
Hälytykset tulisi mahdollisuuksien mukaan priorisoida niiden mahdollisten vahinkojen mukaan. Esimerkiksi potentiaali isku brutaalilla voimalla pitäisi aiheuttaa korkeamman prioriteetin varoituksen kuin yhden väärän salasanan yritys.
Hälytykset tulee myös luokitella sen mukaan, ovatko ne peräisin sisäisestä vai ulkoisesta IP-osoitteesta.
Lisää tietoja hälytyksiin
Kaikkien tietoturvavaroitusten tulee antaa yksityiskohtaista tietoa siitä, mikä aiheutti ne. Tämä estää tilanteen, jossa kaksi eri prioriteettitasoa olevaa hälytystä näyttävät samanlaisilta. Esimerkiksi sen hälytyksen sijaan, että käyttäjä ei kirjautunut sisään, epäonnistumisen syy tulee selittää.
Divide Up Alert -tutkimus
Valpas väsymys johtuu ensisijaisesti toistosta. Vastuu hälytysten tutkimisesta olisi siksi jaettava tasapuolisesti turvallisuustiimin kesken. Jos turvallisuustiimi ei ole tarpeeksi suuri tähän, ongelma voidaan estää vain palkkaamalla lisää ihmisiä.
Automatisoi aina kun mahdollista
Monet hälytystutkimuksen osa-alueet voidaan automatisoida. Tarkastele turvatiimin suorittamia toimintoja ja automatisoi mahdollisuuksien mukaan. Tämä estää toistumisen ja vähentää kunkin hälytyksen tutkimiseen tarvittavien vaiheiden määrää.
Optimoi työnkulku
Katso, miten hälytyksiä tällä hetkellä tutkitaan, ja löydä tapoja optimoida työnkulku.
Parhaat käytännöt tulee kirjoittaa mahdollisuuksien mukaan. Tämä estää eri ihmisiä yrittämästä ratkaista samaa hälytystä eri tavoilla.
Kaikkien organisaatioiden tulee pyrkiä estämään hälytysväsymystä
Valvova väsymys on vakava uhka mille tahansa organisaatiolle. Se muuttaa muuten tehokkaan tietoturvatiimin henkilökunnaksi, jonka ohi hakkerit voivat helposti päästä.
Hälytysväsymyksen ehkäiseminen vaatii sekä turvallisuustiimin jäsenten että yritysten omistajien huomion. Jos tietoturvaohjelmistot ja -menettelyt ovat huonosti suunniteltuja, turvallisuustiimeillä itsellään on vain vähän mahdollisuuksia estää sitä.
Tietomurrot ja altistuminen lisääntyvät Yhdysvalloissa. Joten miten yritykset yrittävät pitää tietosi yksityisinä? Ja miten ne voivat parantaa?
Lue Seuraava
- Turvallisuus
- Turvallisuusvinkkejä
- Turvallisuusriskit
- Verkkoturvallisuus
- Kyberturvallisuus
Elliot on freelance-tekniikan kirjoittaja. Hän kirjoittaa ensisijaisesti fintechistä ja kyberturvallisuudesta.
tilaa uutiskirjeemme
Liity uutiskirjeemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia e-kirjoja ja eksklusiivisia tarjouksia!
Klikkaa tästä tilataksesi