Waarschuwingen zijn een belangrijk onderdeel van de bescherming tegen cyberaanvallen. Helaas zijn niet alle beveiligingswaarschuwingen nuttig. Beveiligingssoftware is berucht vanwege het geven van onnodige waarschuwingen en valse positieven. Uiteindelijk kan dit alerte vermoeidheid veroorzaken.

Waarschuwingsmoeheid kan anders attente IT-medewerkers veranderen in mensen die niet echt opletten. Dit is natuurlijk ideaal voor elke hacker die probeert te gaan waar hij niet zou moeten.

Dus wat is alerte vermoeidheid precies en hoe kun je het voorkomen?

Wat is alerte vermoeidheid?

Waarschuwingsmoeheid is wat er gebeurt als personeel beveiligingswaarschuwingen blijft ontvangen die niet per se iets betekenen.

Het is een natuurlijk gevolg van beveiligingssoftware zoals antivirus, firewalls en Security Information and Event Management (SIEM's). Dit type software staat erom bekend overdreven gevoelig te zijn.

Wanneer beveiligingspersoneel zinloze waarschuwingen krijgt, moeten die nog steeds worden onderzocht, zelfs als het personeel niet per se gelooft dat er een reële dreiging is.

instagram viewer

Dit leidt er uiteindelijk toe dat teams minder aandacht besteden en problemen negeren die er wel toe doen. Een hacker kan dan waarschuwingen activeren en er wordt geen actie ondernomen.

Verwant: Beveiligingsincidenten identificeren en rapporteren

Waarom komt waarschuwingsvermoeidheid voor?

Alerte vermoeidheid is een natuurlijk verschijnsel. Ongeacht hoe goed een beveiligingsteam is opgeleid, ze zullen uiteindelijk ongevoelig worden voor informatie waarvoor ze geen actie hoeven te ondernemen.

Het wordt mede veroorzaakt door het feit dat beveiligingssoftware vaak geen onderscheid maakt tussen alerts van verschillend belang. Als een beveiligingsteam honderden waarschuwingen per dag ontvangt en slechts een klein percentage daarvan verdient daadwerkelijk aandacht, dan heb je al snel het gevoel dat er tijd wordt verspild aan onderzoek.

Het is vermeldenswaard dat stress en een slechte balans tussen werk en privé ook kunnen bijdragen aan alerte vermoeidheid. Met name beveiligingspersoneel zal deze problemen waarschijnlijk ervaren.

Hoeveel beveiligingswaarschuwingen vereisen eigenlijk aandacht?

Uit een onderzoek uit 2021 blijkt dat tot de helft van alle beveiligingswaarschuwingen zijn valse positieven. Dit is met name problematisch als je bedenkt dat het onderzoeken van een enkele waarschuwing gemakkelijk 10 tot 30 minuten kan duren.

Dit betekent dat valse waarschuwingen niet alleen vermoeidheid veroorzaken; ze zorgen er ook voor dat werknemers grote delen van hun dag in wezen niets doen.

Waarom zijn er zoveel valse positieven?

Beveiligingssoftware wordt meestal geleverd met generieke regels over wat een bedreiging is. Hierdoor kan het in elke omgeving effectief zijn. Het probleem met deze aanpak is echter dat onschuldig gedrag ook als verdacht wordt aangemerkt.

Software-uitgevers profiteren van te veel waarschuwingen in plaats van te weinig. De eerste zorgt ervoor dat software krachtig lijkt, terwijl de laatste ervoor zorgt dat deze wordt verwijderd als een daadwerkelijke dreiging niet wordt voorkomen.

Wat zijn de gevolgen van alerte vermoeidheid?

Alarmmoeheid is een groot probleem, zelfs als een bedrijf niet wordt geconfronteerd met bedreigingen. Het zorgt ervoor dat beveiligingsteams zich niets aantrekken van hun werk en dit heeft voorspelbare effecten op zowel het personeelsverloop als de productiviteit.

Waarschuwingsmoeheid is eveneens een veiligheidsrisico. Dergelijke software wordt gebruikt omdat het, wanneer het geen valse positieven geeft, waarschuwingen geeft over actieve bedreigingen.

Als deze waarschuwingen onopgemerkt blijven, worden actieve bedreigingen mogelijk niet gestopt. Het maakt natuurlijk niet uit hoeveel bedreigingen een stukje software oppikt als niemand er iets aan doet.

Waarschuwingsvermoeidheid voorkomen?

Waarschuwingsmoeheid komt vooral veel voor in grote organisaties, maar kan van invloed zijn op elk beveiligingsteam dat reageert op te veel waargenomen bedreigingen. Hier zijn acht manieren om het te voorkomen.

Verklein je aanvalsoppervlak

Een aanvalsoppervlak bestaat uit alle verschillende hardware- en softwarecomponenten die op uw netwerk zijn aangesloten. Hoe breder het is, hoe meer potentiële problemen een team zal moeten onderzoeken. Veel waarschuwingen kunnen daarom worden voorkomen door apparaten eenvoudig los te koppelen van uw netwerk.

Optimaliseer beveiligingssoftware

Controleer welke beveiligingswaarschuwingen worden verzonden. Als kleine problemen onnodige waarschuwingen veroorzaken, pas dan de software-instellingen aan om dit te voorkomen. Het moet mogelijk zijn voor medewerkers om onschuldige fouten te maken zonder dat het beveiligingsteam wordt gewaarschuwd.

Verminder valse positieven

Alle beveiligingssoftware produceert valse positieven. Elke keer dat een fout-positief optreedt, moet de reden worden genoteerd en moeten er stappen worden ondernomen om te voorkomen dat dit opnieuw gebeurt.

Als een bepaald bestand bijvoorbeeld een waarschuwing blijft genereren, kan dat bestand op de witte lijst worden gezet.

Prioriteit geven aan waarschuwingen op ernst

Waar mogelijk moeten waarschuwingen worden geprioriteerd op basis van de mogelijke schade die ze kunnen veroorzaken. Bijvoorbeeld een potentiële brute aanval zou een waarschuwing met een hogere prioriteit moeten veroorzaken dan een enkele onjuiste wachtwoordpoging.

Waarschuwingen moeten ook worden gecategoriseerd op basis van het feit of ze afkomstig zijn van interne of externe IP-adressen.

Voeg informatie toe aan meldingen

Alle beveiligingswaarschuwingen moeten gedetailleerde informatie bevatten over de oorzaak. Dit voorkomt een situatie waarin twee waarschuwingen met verschillende prioriteitsniveaus identiek lijken. In plaats van bijvoorbeeld een waarschuwing dat een gebruiker niet kan inloggen, moet de reden voor die fout worden uitgelegd.

Verdeel waarschuwingsonderzoek

Alerte vermoeidheid wordt voornamelijk veroorzaakt door herhaling. De verantwoordelijkheid voor het onderzoeken van alerts dient daarom gelijkelijk te worden verdeeld over een beveiligingsteam. Als het beveiligingsteam niet groot genoeg is om dit te doen, kan het probleem alleen worden voorkomen door meer mensen aan te nemen.

Automatiseer waar mogelijk

Veel aspecten van alarmonderzoek kunnen worden geautomatiseerd. Kijk naar de werkzaamheden van het beveiligingsteam en automatiseer waar mogelijk. Dit voorkomt herhaling en zou het aantal stappen moeten verminderen dat nodig is om elke waarschuwing te onderzoeken.

Werkstroom optimaliseren

Kijk naar de manier waarop alerts momenteel worden onderzocht en vind manieren om de workflow te optimaliseren.

Waar mogelijk moeten best practices worden geschreven. Dit voorkomt dat verschillende mensen dezelfde melding op verschillende manieren proberen op te lossen.

Alle organisaties moeten ernaar streven alerte vermoeidheid te voorkomen

Alarmmoeheid is een serieuze bedreiging voor elke organisatie. Het verandert een anders effectief beveiligingsteam in personeel dat hackers gemakkelijk kunnen passeren.

Het voorkomen van waarschuwingsmoeheid vereist de aandacht van zowel beveiligingsteamleden als bedrijfseigenaren. Als beveiligingssoftware en -procedures slecht zijn ontworpen, hebben beveiligingsteams zelf weinig mogelijkheden om dit te voorkomen.

Doen instellingen genoeg om uw gegevens te beschermen?

Datalekken en blootstellingen nemen toe in de Verenigde Staten. Dus hoe proberen bedrijven uw informatie privé te houden? En hoe kunnen ze verbeteren?

Lees volgende

DeelTweetenE-mail
Gerelateerde onderwerpen
  • Veiligheid
  • Beveiligingstips
  • Beveiligingsrisico's
  • Online beveiliging
  • Cyberbeveiliging
Over de auteur
Elliot Nesbo (60 artikelen gepubliceerd)

Elliot is een freelance technisch schrijver. Hij schrijft vooral over fintech en cybersecurity.

Meer van Elliot Nesbo

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Klik hier om je te abonneren