Оповещения - важная часть защиты от кибератак. К сожалению, не все предупреждения системы безопасности полезны. Программное обеспечение безопасности известно тем, что выдает ненужные предупреждения и ложные срабатывания. В конце концов, это может вызвать утомление.
Усталость от предупреждений может превратить внимательный ИТ-персонал в людей, которые на самом деле не обращают внимания. Очевидно, это идеальный вариант для любого хакера, пытающегося пойти туда, куда им не следует.
Так что же такое тревожная усталость и как ее предотвратить?
Что такое тревожная усталость?
Усталость от предупреждений - это то, что происходит, когда персонал продолжает получать предупреждения системы безопасности, которые не обязательно ничего значат.
Это естественное следствие использования программного обеспечения безопасности, такого как антивирус, брандмауэры, а также управление информацией и событиями безопасности (SIEM). Этот тип программного обеспечения печально известен своей чрезмерной чувствительностью.
Когда сотрудники службы безопасности получают бессмысленные предупреждения, их все равно необходимо расследовать, даже если сотрудники не обязательно считают, что существует реальная угроза.
В конечном итоге это приводит к тому, что команды уделяют меньше внимания и игнорируют важные проблемы. После этого хакер может инициировать оповещения, и никаких действий предпринято не будет.
Связанный: Как выявлять инциденты безопасности и сообщать о них
Почему возникает тревожная усталость?
Бдительная усталость - естественное явление. Независимо от того, насколько хорошо обучена группа безопасности, в конечном итоге они теряют чувствительность к информации, которая не требует от них действий.
Частично это вызвано тем фактом, что программное обеспечение безопасности часто не делает различий между предупреждениями разной важности. Если группа безопасности получает сотни предупреждений в день и лишь небольшой процент из них действительно требует внимания, легко подумать, что на расследование тратится время.
Стоит отметить, что стресс и плохой баланс между работой и личной жизнью также могут способствовать повышенной утомляемости. Сотрудники службы безопасности особенно часто сталкиваются с этими проблемами.
Сколько предупреждений системы безопасности действительно требуют внимания?
Исследование 2021 года показывает, что до половины всех предупреждений системы безопасности ложные срабатывания. Это особенно проблематично, если учесть тот факт, что на расследование одного предупреждения может уйти от 10 до 30 минут.
Это означает, что ложные предупреждения не просто вызывают утомление от предупреждений; они также заставляют сотрудников проводить большую часть своего дня, по сути, ничего не делая.
Почему так много ложных срабатываний?
Программное обеспечение безопасности обычно поставляется с общими правилами о том, что представляет собой угрозу. Это позволяет ему быть эффективным в любой среде. Проблема с этим подходом, однако, заключается в том, что он также приводит к тому, что невинное поведение считается подозрительным.
Издателям программного обеспечения выгодно иметь слишком много предупреждений, а не слишком мало. В первом случае программное обеспечение выглядит мощным, а во втором случае оно будет удалено, если не сможет предотвратить реальную угрозу.
Каковы последствия усталости от предупреждений?
Усталость от предупреждений - большая проблема, даже если бизнес не сталкивается с какими-либо угрозами. Это заставляет службы безопасности не заботиться о своей работе, что предсказуемо сказывается как на текучести кадров, так и на производительности.
Усталость от предупреждений также представляет угрозу безопасности. Такое программное обеспечение используется, потому что, когда оно не дает ложных срабатываний, оно выдает предупреждения об активных угрозах.
Если эти предупреждения останутся незамеченными, активные угрозы невозможно остановить. Очевидно, не имеет значения, сколько угроз обнаруживает часть программного обеспечения, если на них никто не действует.
Как предотвратить усталость от предупреждений
Усталость от предупреждений особенно характерна для крупных организаций, но может повлиять на любую группу безопасности, реагирующую на слишком много предполагаемых угроз. Вот восемь способов предотвратить это.
Уменьшите поверхность атаки
Поверхность атаки состоит из различных аппаратных и программных компонентов, подключенных к вашей сети. Чем он шире, тем больше потенциальных проблем предстоит исследовать команде. Поэтому многие предупреждения можно предотвратить, просто отключив устройства от сети.
Оптимизация программного обеспечения безопасности
Проверьте, какие предупреждения системы безопасности отправляются. Если незначительные проблемы вызывают ненужные предупреждения, измените настройки программного обеспечения, чтобы этого не произошло. Сотрудники должны иметь возможность совершать невинные ошибки без предупреждения службы безопасности.
Уменьшите количество ложных срабатываний
Все программы безопасности дают ложные срабатывания. Каждый раз, когда происходит ложное срабатывание, следует указывать причину и предпринимать шаги, чтобы предотвратить его повторение.
Например, если определенный файл продолжает генерировать предупреждение, этот файл может быть внесен в белый список.
Приоритет предупреждений по серьезности
По возможности, предупреждения должны быть расставлены по приоритету в соответствии с потенциальным ущербом, который они могут причинить. Например, потенциальный атака грубой силой должен вызвать предупреждение с более высоким приоритетом, чем одна попытка неверного пароля.
Оповещения также следует классифицировать в зависимости от того, исходят ли они от внутреннего или внешнего IP-адреса.
Добавить информацию в оповещения
Все предупреждения системы безопасности должны содержать подробную информацию о том, что их вызвало. Это предотвращает ситуацию, когда два предупреждения с разными уровнями приоритета выглядят одинаково. Например, вместо предупреждения о том, что пользователю не удалось войти в систему, следует объяснить причину этого сбоя.
Расследование по предупреждению разделения
Усталость, связанная с предупреждением, в первую очередь вызвана повторением. Поэтому ответственность за расследование предупреждений должна быть разделена поровну между командой безопасности. Если группа безопасности недостаточно велика для этого, проблему можно предотвратить, только наняв больше людей.
Автоматизируйте там, где это возможно
Многие аспекты расследования предупреждений можно автоматизировать. Посмотрите на действия, выполняемые командой безопасности, и по возможности автоматизируйте их. Это предотвращает повторение и должно сократить количество шагов, необходимых для исследования каждого предупреждения.
Оптимизировать рабочий процесс
Посмотрите, как в настоящее время исследуются предупреждения, и найдите способы оптимизировать рабочий процесс.
Где возможно, следует записать передовой опыт. Это предотвращает попытки разных людей решить одно и то же предупреждение по-разному.
Все организации должны стремиться предотвращать усталость от предупреждений
Усталость от предупреждений - серьезная угроза для любой организации. Это превращает в остальном эффективную команду безопасности в персонал, с которым легко справиться хакерам.
Предотвращение усталости от предупреждений требует внимания как членов группы безопасности, так и владельцев бизнеса. Если программное обеспечение и процедуры безопасности плохо спроектированы, у самих служб безопасности будет мало возможностей предотвратить это.
Утечки данных и разоблачения становятся все чаще в Соединенных Штатах. Так как же компании пытаются сохранить конфиденциальность вашей информации? И как их можно улучшить?
Читать далее
- Безопасность
- Советы по безопасности
- Риски безопасности
- Интернет-безопасность
- Информационная безопасность
Эллиот - внештатный технический писатель. В первую очередь он пишет о финтехе и кибербезопасности.
Подписывайтесь на нашу новостную рассылку
Подпишитесь на нашу рассылку технических советов, обзоров, бесплатных электронных книг и эксклюзивных предложений!
Нажмите здесь, чтобы подписаться