Warnungen sind ein wichtiger Bestandteil des Schutzes vor Cyberangriffen. Leider sind nicht alle Sicherheitswarnungen nützlich. Sicherheitssoftware ist dafür bekannt, unnötige Warnungen und Fehlalarme bereitzustellen. Dies kann schließlich zu wacher Müdigkeit führen.
Wache Müdigkeit kann ansonsten aufmerksame IT-Mitarbeiter zu Menschen machen, die nicht wirklich aufpassen. Dies ist offensichtlich ideal für jeden Hacker, der versucht, dorthin zu gelangen, wo er nicht sollte.
Was genau ist Alarmmüdigkeit und wie kann man ihr vorbeugen?
Was ist Alarmmüdigkeit?
Alarmmüdigkeit tritt auf, wenn Mitarbeiter ständig Sicherheitswarnungen erhalten, die nicht unbedingt etwas bedeuten.
Dies ist eine natürliche Folge von Sicherheitssoftware wie Antivirus, Firewalls und Security Information and Event Management (SIEMs). Diese Art von Software ist berüchtigt dafür, übermäßig sensibel zu sein.
Wenn Sicherheitspersonal bedeutungslose Warnungen erhält, müssen diese dennoch untersucht werden, auch wenn die Mitarbeiter nicht unbedingt glauben, dass es sich um eine echte Bedrohung handelt.
Dies führt schließlich dazu, dass Teams weniger Aufmerksamkeit schenken und wichtige Probleme ignorieren. Ein Hacker kann dann Warnungen auslösen und es werden keine Maßnahmen ergriffen.
Verwandt: So identifizieren und melden Sie Sicherheitsvorfälle
Warum tritt Alarmmüdigkeit auf?
Wache Müdigkeit ist ein natürliches Ereignis. Unabhängig davon, wie gut ein Sicherheitsteam ausgebildet ist, werden sie irgendwann desensibilisiert für Informationen, die keine Maßnahmen erfordern.
Dies liegt zum Teil daran, dass Sicherheitssoftware oft nicht zwischen Warnungen unterschiedlicher Bedeutung unterscheidet. Wenn ein Sicherheitsteam täglich Hunderte von Warnungen erhält und nur ein kleiner Prozentsatz von ihnen tatsächlich Aufmerksamkeit verdient, hat man leicht das Gefühl, dass Zeit mit Nachforschungen verschwendet wird.
Es ist erwähnenswert, dass auch Stress und eine schlechte Work-Life-Balance zu einer wachen Müdigkeit beitragen können. Sicherheitspersonal ist besonders häufig von diesen Problemen betroffen.
Wie viele Sicherheitswarnungen erfordern tatsächlich Aufmerksamkeit?
Eine Studie aus dem Jahr 2021 zeigt, dass bis zur Hälfte aller Sicherheitswarnungen sind falsch positiv. Dies ist besonders problematisch, wenn man bedenkt, dass die Untersuchung einer einzelnen Warnung leicht 10 bis 30 Minuten dauern kann.
Das bedeutet, dass Fehlalarme nicht nur Alarmmüdigkeit verursachen; Sie führen auch dazu, dass Mitarbeiter einen Großteil ihres Tages damit verbringen, im Wesentlichen nichts zu tun.
Warum gibt es so viele False Positives?
Sicherheitssoftware wird normalerweise mit allgemeinen Regeln geliefert, was eine Bedrohung darstellt. Dies ermöglicht es, in jeder Umgebung effektiv zu sein. Das Problem bei diesem Ansatz besteht jedoch darin, dass auch unschuldiges Verhalten als verdächtig gemeldet wird.
Softwarehersteller profitieren davon, dass sie zu viele Warnungen haben, anstatt zu wenige. Ersteres lässt Software mächtig erscheinen, während letzteres dazu führt, dass sie deinstalliert wird, wenn es eine tatsächliche Bedrohung nicht abwehrt.
Was sind die Folgen von Wachermüdung?
Alarmmüdigkeit ist ein großes Problem, selbst wenn ein Unternehmen keinen Bedrohungen ausgesetzt ist. Dies führt dazu, dass sich Sicherheitsteams nicht um ihre Arbeit kümmern, und dies hat vorhersehbare Auswirkungen sowohl auf die Mitarbeiterfluktuation als auch auf die Produktivität.
Alarmmüdigkeit ist ein ähnliches Sicherheitsrisiko. Solche Software wird verwendet, weil sie Warnungen über aktive Bedrohungen ausgibt, wenn sie keine falsch positiven Ergebnisse liefert.
Wenn diese Warnungen unbemerkt bleiben, werden aktive Bedrohungen möglicherweise nicht gestoppt. Es spielt offensichtlich keine Rolle, wie viele Bedrohungen eine Software aufnimmt, wenn niemand darauf reagiert.
So verhindern Sie die Ermüdung von Warnmeldungen
Alarmmüdigkeit tritt besonders häufig in großen Unternehmen auf, kann jedoch jedes Sicherheitsteam beeinträchtigen, das auf zu viele wahrgenommene Bedrohungen reagiert. Hier sind acht Möglichkeiten, dies zu verhindern.
Reduzieren Sie Ihre Angriffsfläche
Eine Angriffsfläche besteht aus all den verschiedenen Hardware- und Softwarekomponenten, die mit Ihrem Netzwerk verbunden sind. Je breiter es ist, desto mehr potenzielle Probleme muss ein Team untersuchen. Viele Warnungen können daher verhindert werden, indem Sie Geräte einfach von Ihrem Netzwerk trennen.
Optimieren Sie die Sicherheitssoftware
Überprüfen Sie, welche Sicherheitswarnungen gesendet werden. Wenn kleinere Probleme unnötige Warnungen verursachen, ändern Sie die Softwareeinstellungen, um dies zu verhindern. Es sollte den Mitarbeitern möglich sein, unschuldige Fehler zu machen, ohne dass das Sicherheitsteam alarmiert wird.
Reduzieren Sie Fehlalarme
Jede Sicherheitssoftware erzeugt falsch positive Ergebnisse. Jedes Mal, wenn ein falsch positives Ergebnis auftritt, sollte der Grund notiert und Maßnahmen ergriffen werden, um ein erneutes Auftreten zu verhindern.
Wenn beispielsweise eine bestimmte Datei weiterhin eine Warnung generiert, könnte diese Datei auf die weiße Liste gesetzt werden.
Priorisieren von Warnungen nach Schweregrad
Warnungen sollten nach Möglichkeit nach dem potenziellen Schaden, den sie verursachen können, priorisiert werden. Zum Beispiel ein Potenzial Brute-Force-Attacke sollte eine Warnung mit höherer Priorität auslösen als ein einzelner falscher Passwortversuch.
Warnungen sollten auch danach kategorisiert werden, ob sie von internen oder externen IP-Adressen stammen.
Informationen zu Benachrichtigungen hinzufügen
Alle Sicherheitswarnungen sollten detaillierte Informationen zu ihrer Ursache enthalten. Dies verhindert eine Situation, in der zwei Warnungen mit unterschiedlichen Prioritätsstufen identisch erscheinen. Anstelle einer Warnung, die besagt, dass sich ein Benutzer nicht anmelden konnte, sollte beispielsweise der Grund für diesen Fehler erläutert werden.
Teilen Sie die Alert-Untersuchung auf
Wachermüdung wird hauptsächlich durch Wiederholung verursacht. Die Verantwortung für die Untersuchung von Warnungen sollte daher zu gleichen Teilen auf ein Sicherheitsteam aufgeteilt werden. Wenn das Sicherheitsteam dafür nicht groß genug ist, kann das Problem nur durch die Einstellung von mehr Leuten verhindert werden.
Automatisieren, wo möglich
Viele Aspekte der Alert-Untersuchung können automatisiert werden. Sehen Sie sich die Aktivitäten des Sicherheitsteams an und automatisieren Sie sie nach Möglichkeit. Dies verhindert Wiederholungen und sollte die Anzahl der Schritte reduzieren, die zur Untersuchung jeder Warnung erforderlich sind.
Arbeitsablauf optimieren
Sehen Sie sich an, wie Warnungen derzeit untersucht werden, und finden Sie Möglichkeiten zur Optimierung des Workflows.
Best Practices sollten nach Möglichkeit geschrieben werden. Dadurch wird verhindert, dass verschiedene Personen versuchen, dieselbe Warnung auf unterschiedliche Weise zu lösen.
Alle Organisationen sollten darauf abzielen, Ermüdung bei Warnmeldungen zu verhindern
Alarmbereitschaft ist eine ernsthafte Bedrohung für jedes Unternehmen. Es macht aus einem ansonsten effektiven Sicherheitsteam Mitarbeiter, an denen Hacker leicht vorbeikommen.
Die Vermeidung von Alarmmüdigkeit erfordert die Aufmerksamkeit sowohl der Mitglieder des Sicherheitsteams als auch der Geschäftsinhaber. Wenn Sicherheitssoftware und -verfahren schlecht konzipiert sind, haben die Sicherheitsteams selbst kaum die Möglichkeit, dies zu verhindern.
Datenschutzverletzungen und -risiken nehmen in den Vereinigten Staaten zu. Wie also versuchen Unternehmen, Ihre Informationen privat zu halten? Und wie können sie sich verbessern?
Weiter lesen
- Sicherheit
- Sicherheitstipps
- Sicherheits Risikos
- Online-Sicherheit
- Internet-Sicherheit
Elliot ist ein freiberuflicher Tech-Autor. Er schreibt hauptsächlich über Fintech und Cybersecurity.
Abonniere unseren Newsletter
Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!
Klicken Sie hier, um zu abonnieren
