התראות הן חלק חשוב בהגנה מפני התקפות סייבר. למרבה הצער, לא כל התראות האבטחה שימושיות. תוכנת אבטחה ידועה לשמצה בכך שהיא מספקת אזהרות מיותרות ותוצאות שווא. בסופו של דבר, זה יכול לגרום לעייפות ערנית.

עייפות התראה עלולה להפוך את צוות ה-IT הקשוב, לאנשים שלא ממש שמים לב. ברור שזה אידיאלי עבור כל האקר שמנסה להגיע לאן שלא היה צריך.

אז מהי בעצם עייפות ערנית וכיצד ניתן למנוע אותה?

מהי עייפות התראה?

עייפות ההתראה היא מה שקורה כאשר הצוות מקבל כל הזמן התראות אבטחה שלא בהכרח אומרות כלום.

זוהי תוצאה טבעית של תוכנות אבטחה כגון אנטי וירוס, חומות אש וניהול מידע ואירועים אבטחה (SIEMs). תוכנות מסוג זה ידועות לשמצה כרגישות מדי.

כאשר צוותי האבטחה מקבלים התראות חסרות משמעות, עדיין יש לחקור אותן גם אם הצוות אינו מאמין בהכרח שיש איום אמיתי.

זה בסופו של דבר מביא לכך שהצוותים שמים לב פחות ומתעלמים מבעיות שאכן חשובות. לאחר מכן האקר יכול להפעיל התראות ולא תינקט פעולה.

קָשׁוּר: כיצד לזהות ולדווח על אירועי אבטחה

מדוע מתרחשת עייפות התראה?

עייפות ערנית היא תופעה טבעית. לא משנה עד כמה צוות אבטחה מאומן, בסופו של דבר הם יהפכו לחוסר רגישות למידע שאינו מחייב אותם לנקוט בפעולה.

instagram viewer

זה נגרם בחלקו מהעובדה שתוכנת אבטחה לרוב אינה עושה הבחנה בין התראות בעלות חשיבות שונה. אם צוות אבטחה מקבל מאות התראות ביום ורק אחוז קטן מהן באמת מצדיק תשומת לב, קל להרגיש שמתבזבז זמן על ידי חקירה.

ראוי לציין שגם מתח ואיזון לקוי בין עבודה לחיים יכולים לתרום לעייפות ערנית. צוותי אבטחה צפויים במיוחד לחוות בעיות אלו.

כמה התראות אבטחה דורשות תשומת לב?

מחקר משנת 2021 מראה כי עד מחצית מכל התראות האבטחה הן חיוביות שגויות. זה בעייתי במיוחד כאשר לוקחים בחשבון את העובדה שהתראה בודדת יכולה להימשך בקלות 10 עד 30 דקות לחקור.

משמעות הדבר היא שהתרעות שווא אינן גורמות רק לעייפות התראה; הם גם גורמים לעובדים לבלות חלקים גדולים מהיום שלהם בעצם בלי כלום.

מדוע יש כל כך הרבה נקודות חיוביות כוזבות?

תוכנת אבטחה מגיעה בדרך כלל עם כללים גנריים לגבי מה מהווה איום. זה מאפשר לו להיות יעיל בכל סביבה. אולם הבעיה בגישה זו היא שהיא גורמת גם לדיווח על התנהגות תמימה כחשודה.

מפרסמי תוכנה נהנים מכך שיש להם יותר מדי התראות במקום לקבל פחות מדי. הראשון גורם לתוכנה להיראות חזקה בעוד שהאחרון יגרום להסרת ההתקנה אם היא לא מצליחה למנוע איום ממשי.

מהן ההשלכות של עייפות התראה?

עייפות התראה היא בעיה גדולה גם אם עסק אינו מתמודד עם איומים כלשהם. זה גורם לצוותי אבטחה לא לדאוג לעבודתם ולכך יש השפעות צפויות הן על תחלופת העובדים והן על התפוקה.

עייפות התראה היא גם סיכון ביטחוני. תוכנה כזו משמשת מכיוון שכאשר היא לא מספקת תוצאות כוזבות, היא מספקת התראות על איומים פעילים.

אם ההתראות הללו לא יבחינו, ייתכן שאיומים פעילים לא יופסקו. ברור שזה לא משנה כמה איומים תוכנה קולטת אם אף אחד לא פועל נגדם.

כיצד למנוע עייפות התראה

עייפות התראה שכיחה במיוחד בארגונים גדולים, אך עלולה להשפיע על כל צוות אבטחה המגיב ליותר מדי איומים נתפסים. להלן שמונה דרכים למנוע זאת.

צמצם את משטח ההתקפה שלך

משטח התקפה מורכב מכל רכיבי החומרה והתוכנה השונים המחוברים לרשת שלך. ככל שהיא רחבה יותר, כך צוות יצטרך לחקור יותר בעיות פוטנציאליות. לכן ניתן למנוע התראות רבות על ידי ניתוק התקנים מהרשת שלך.

מטב תוכנת אבטחה

בדוק אילו התראות אבטחה נשלחות. אם בעיות קלות גורמות להתראות מיותרות, שנה את הגדרות התוכנה כדי למנוע זאת. צריך לאפשר לאנשי הצוות לעשות טעויות תמימות מבלי שצוות האבטחה יקבל התראה.

הפחת נקודות חיוביות כוזבות

כל תוכנות האבטחה מייצרות תוצאות חיוביות שגויות. בכל פעם שמתרחשת חיובי כוזב, יש לציין את הסיבה ולבצע צעדים כדי למנוע את הישנותה.

לדוגמה, אם קובץ מסוים ממשיך להפיק התראה, קובץ זה יכול להיות ברשימת ההיתרים.

תעדוף התראות לפי חומרה

במידת האפשר, יש לתעדף התראות בהתאם לנזק הפוטנציאלי שהן עלולות לגרום. למשל, פוטנציאל התקפה בכוח אלים אמור לגרום להתראה בעדיפות גבוהה יותר מניסיון סיסמה שגויה בודדת.

יש לסווג התראות גם לפי אם מקורן בכתובות IP פנימיות או חיצוניות.

הוסף מידע להתראות

כל התראות האבטחה צריכות לספק מידע מפורט על מה שגרם להן. זה מונע מצב שבו שתי התראות ברמות עדיפות שונות מופיעות זהות. למשל במקום התראה שאומרת שמשתמש נכשל בכניסה, יש להסביר את הסיבה לכשל הזה.

חלוקת התראה חקירה

עייפות התראה נגרמת בעיקר מחזרה. לכן יש לחלק את האחריות לחקירת התראות באופן שווה בין צוות אבטחה. אם צוות האבטחה אינו גדול מספיק כדי לעשות זאת, ניתן למנוע את הבעיה רק ​​על ידי העסקת אנשים נוספים.

אוטומציה איפה שאפשר

היבטים רבים של חקירת התראה יכולים להיות אוטומטיים. תסתכל על הפעילויות שבוצעו על ידי צוות האבטחה ועשה אוטומציה במידת האפשר. זה מונע חזרה ואמור להפחית את מספר הצעדים הנדרשים לבדיקת כל התראה.

מטב את זרימת העבודה

תסתכל על הדרך שבה התראות נחקרות כעת ומצא דרכים לייעל את זרימת העבודה.

יש לכתוב שיטות עבודה מומלצות במידת האפשר. זה מונע מאנשים שונים לנסות לפתור את אותה התראה בדרכים שונות.

כל הארגונים צריכים לשאוף למנוע עייפות התראה

עייפות התראה היא איום רציני על כל ארגון. זה הופך צוות אבטחה יעיל אחרת לצוות שקל להאקרים לעבור אותו.

מניעת עייפות התראה דורשת תשומת לב הן של חברי צוות האבטחה והן של בעלי עסקים. אם תוכנות ונהלי האבטחה מתוכננים בצורה גרועה, לצוותי האבטחה עצמם תהיה יכולת מועטה למנוע זאת.

האם מוסדות עושים מספיק כדי להגן על הנתונים שלך?

פריצות נתונים וחשיפות נמצאות במגמת עלייה בארצות הברית. אז איך חברות מנסות לשמור על הפרטיות שלך? ואיך הם יכולים להשתפר?

קרא הבא

לַחֲלוֹקצִיוּץאימייל
נושאים קשורים
  • בִּטָחוֹן
  • עצות אבטחה
  • סיכוני אבטחה
  • אבטחה מקוונת
  • אבטחת סייבר
על הסופר
אליוט נסבו (60 מאמרים שפורסמו)

אליוט הוא סופר טכנולוגי עצמאי. הוא כותב בעיקר על פינטק ואבטחת סייבר.

עוד מאת אליוט נסבו

הירשם לניוזלטר שלנו

הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!

לחץ כאן כדי להירשם