Varsler er en viktig del av beskyttelsen mot nettangrep. Dessverre er ikke alle sikkerhetsvarsler nyttige. Sikkerhetsprogramvare er beryktet for å gi unødvendige advarsler og falske positiver. Til slutt kan dette forårsake varslingstretthet.

Varseltretthet kan gjøre ellers oppmerksomme IT-medarbeidere til personer som egentlig ikke tar hensyn. Dette er åpenbart ideelt for enhver hacker som prøver å gå dit de ikke burde.

Så hva er egentlig alarmtrøtthet og hvordan kan du forhindre det?

Hva er Alert Fatigue?

Varslingstrøtthet er det som skjer når ansatte stadig mottar sikkerhetsvarsler som ikke nødvendigvis betyr noe.

Det er en naturlig konsekvens av sikkerhetsprogramvare som antivirus, brannmurer og Security Information and Event Management (SIEM). Denne typen programvare er beryktet for å være altfor sensitiv.

Når sikkerhetspersonell får meningsløse varsler, må disse fortsatt undersøkes selv om personalet ikke nødvendigvis tror at det er en reell trussel.

Dette resulterer til slutt i at team betaler mindre oppmerksomhet og ignorerer problemer som betyr noe. En hacker kan da utløse varsler og ingen handling vil bli iverksatt.

I slekt: Hvordan identifisere og rapportere sikkerhetshendelser

Hvorfor oppstår varslingstrøtthet?

Alert trøtthet er en naturlig foreteelse. Uansett hvor godt et sikkerhetsteam er trent, vil de til slutt bli ufølsomme for informasjon som ikke krever at de iverksetter handling.

Det er delvis forårsaket av det faktum at sikkerhetsprogramvare ofte ikke skiller mellom varsler av ulik betydning. Hvis et sikkerhetsteam mottar hundrevis av varsler om dagen og bare en liten prosentandel av dem faktisk krever oppmerksomhet, er det lett å føle at tiden blir bortkastet ved å undersøke.

Det er verdt å merke seg at stress og dårlig balanse mellom arbeid og privatliv også kan bidra til våkentretthet. Sikkerhetspersonell er spesielt sannsynlig å oppleve disse problemene.

Hvor mange sikkerhetsvarsler krever faktisk oppmerksomhet?

En studie fra 2021 viser at opptil halvparten av alle sikkerhetsvarsler er falske positive. Dette er spesielt problematisk når du tar i betraktning det faktum at et enkelt varsel lett kan ta 10 til 30 minutter å undersøke.

Dette betyr at falske varsler ikke bare forårsaker varslingstretthet; de får også ansatte til å bruke store deler av dagen på å egentlig ikke gjøre noe.

Hvorfor er det så mange falske positive?

Sikkerhetsprogramvare kommer vanligvis pakket med generiske regler om hva som utgjør en trussel. Dette gjør at den kan være effektiv i alle miljøer. Problemet med denne tilnærmingen er imidlertid at den også fører til at uskyldig oppførsel rapporteres som mistenkelig.

Programvareutgivere drar nytte av å ha for mange varsler i stedet for å ha for få. Førstnevnte får programvare til å virke kraftig, mens sistnevnte vil føre til at den avinstalleres hvis den ikke klarer å forhindre en faktisk trussel.

Hva er konsekvensene av varslingstrøtthet?

Varslingstrøtthet er et stort problem selv om en bedrift ikke står overfor noen trusler. Det fører til at sikkerhetsteam ikke bryr seg om arbeidet sitt, og dette har forutsigbare effekter på både ansatteomsetning og produktivitet.

Varslingstrøtthet er på samme måte en sikkerhetsrisiko. Slik programvare brukes fordi når den ikke gir falske positiver, gir den varsler om aktive trusler.

Hvis disse varslene ikke blir lagt merke til, kan det hende at aktive trusler ikke stoppes. Det spiller åpenbart ingen rolle hvor mange trusler et stykke programvare fanger opp hvis ingen reagerer på dem.

Hvordan forhindre varslingstrøtthet

Varslingstrøtthet er spesielt vanlig i store organisasjoner, men kan påvirke ethvert sikkerhetsteam som reagerer på for mange oppfattede trusler. Her er åtte måter å forhindre det på.

Reduser angrepsoverflaten

En angrepsflate består av alle de forskjellige maskinvare- og programvarekomponentene som er koblet til nettverket ditt. Jo bredere den er, desto flere potensielle problemer vil et team måtte undersøke. Mange varsler kan derfor forhindres ved ganske enkelt å koble enheter fra nettverket ditt.

Optimaliser sikkerhetsprogramvare

Sjekk hvilke sikkerhetsvarsler som sendes. Hvis mindre problemer forårsaker unødvendige varsler, endre programvareinnstillingene for å forhindre at dette skjer. Det skal være mulig for ansatte å gjøre uskyldige feil uten at sikkerhetsteamet blir varslet.

Reduser falske positive

All sikkerhetsprogramvare produserer falske positiver. Hver gang en falsk positiv oppstår, bør årsaken noteres og tiltak bør implementeres for å forhindre at det skjer igjen.

For eksempel, hvis en bestemt fil fortsetter å generere et varsel, kan den filen bli hvitelistet.

Prioriter varsler etter alvorlighetsgrad

Der det er mulig, bør varsler prioriteres i henhold til den potensielle skaden de kan forårsake. For eksempel et potensial brutalt styrkeangrep skal forårsake et varsel med høyere prioritet enn et enkelt feil passordforsøk.

Varsler bør også kategoriseres etter om de stammer fra interne eller eksterne IP-adresser.

Legg til informasjon i varsler

Alle sikkerhetsvarsler skal gi detaljert informasjon om hva som forårsaket dem. Dette forhindrer en situasjon der to varsler med forskjellige prioritetsnivåer vises identiske. For eksempel i stedet for et varsel som sier at en bruker ikke klarte å logge på, bør årsaken til feilen forklares.

Divide Up Alert Investigation

Alert trøtthet er først og fremst forårsaket av repetisjon. Ansvaret for å undersøke varsler bør derfor deles likt mellom et sikkerhetsteam. Hvis sikkerhetsteamet ikke er stort nok til å gjøre dette, kan problemet bare forhindres ved å ansette flere personer.

Automatiser der det er mulig

Mange aspekter ved varslingsundersøkelse kan automatiseres. Se på aktivitetene utført av sikkerhetsteamet og automatiser der det er mulig. Dette forhindrer gjentakelse og bør redusere antall trinn som kreves for å undersøke hvert varsel.

Optimaliser arbeidsflyten

Se på hvordan varsler for tiden undersøkes og finn måter å optimalisere arbeidsflyten på.

Beste praksis bør skrives der det er mulig. Dette hindrer forskjellige personer i å prøve å løse det samme varselet på forskjellige måter.

Alle organisasjoner bør ha som mål å forhindre varslingstretthet

Alert trøtthet er en alvorlig trussel for enhver organisasjon. Det gjør et ellers effektivt sikkerhetsteam til ansatte som er enkle for hackere å komme forbi.

Forebygging av varslingstrøtthet krever oppmerksomhet fra både sikkerhetsteammedlemmer og bedriftseiere. Hvis sikkerhetsprogramvare og -prosedyrer er dårlig utformet, vil sikkerhetsteam selv ha liten evne til å forhindre det.

Gjør institusjoner nok for å beskytte dataene dine?

Datainnbrudd og eksponeringer øker i USA. Så hvordan prøver selskaper å holde informasjonen din privat? Og hvordan kan de forbedre seg?

Les Neste

DelekvitringE-post
Relaterte temaer
  • Sikkerhet
  • Sikkerhetstips
  • Sikkerhetsrisikoer
  • Online sikkerhet
  • Cybersikkerhet
Om forfatteren
Elliot Nesbo (60 artikler publisert)

Elliot er en freelance teknologiskribent. Han skriver først og fremst om fintech og cybersikkerhet.

Mer fra Elliot Nesbo

Abonner på vårt nyhetsbrev

Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!

Klikk her for å abonnere