Warum Alert Fatigue das Risiko für erfolgreiche Cyberangriffe erhöht

/ Kategorie: Detect & Response
Erstellt von Philipp Blaas

Wie viele Alarme verträgt der Mensch? Security-Analysten sind tagtäglich einer Flut von Sicherheitswarnungen ausgesetzt. Dadurch wird es für sie immer schwieriger, die Meldungen manuell zu verwalten und zu untersuchen. Dazu kommt, dass sehr viele der Meldungen Fehlalarme sind. Die Folge: Sicherheitswarnungen werden einfach ignoriert. Das aber erhöht die Gefahr, dass ein Cyberangriff übersehen wird. Unternehmen, deren Security Team überlastet ist, sollten handeln.

Alert Fatigue – Wie viele Alarme verträgt der Mensch?

Die Bezeichnung Fatigue wurde laut Wikipedia  2000 von Gregory Curt definiert als „signifikante Müdigkeit, erschöpfte Kraftreserven oder erhöhtes Ruhebedürfnis, disproportional zu allen kürzlich vorangegangenen Anstrengungen“. Dieser aus der Medizin kommende Begriff passt haargenau auch auf den Zustand vieler Security-Teams. Denn das grosse Volumen an sicherheitsrelevanten Meldungen und die vielen Fehlalarme bringen Mitarbeitende an ihr Limit. Untersuchungen von Imperva ergaben, dass bei 27 Prozent der IT-Experten mehr als eine Million Warnungen pro Tag eingehen. 55 Prozent erhalten mehr als 10.000 pro Tag. Bei derlei Grössenordnungen ist es kaum mehr möglich, zu bewerten, welche Sicherheitsvorfälle kritisch sind und welche unwichtig.

Die Überlastung führt dazu, dass auf die Flut der Alerts häufig so reagiert wird:

  • Warnmeldungen werden ignoriert.
  • Alerts werden deaktiviert.
  • Der Computerarbeitsplatz wird verlassen, in der Hoffnung, dass ein Kollege sich der Meldungen annimmt.

Alert Fatigue (Alarmmüdigkeit) – Gefahr für Unternehmen und Mitarbeitende

Die Überflutung mit Alerts birgt zweierlei Risiken: Einerseits steigt die Gefahr, dass ein Angriff übersehen wird. Erfolgreiche Cyberangriffe können fatale Auswirkungen für Unternehmen nach sich ziehen: Vom Komplettausfall der Systeme, und damit einer kostenintensiven Geschäftsunterbrechung, bis hin zu hohen Lösegeldforderungen und markanten Imageverlusten. Andererseits setzt die permanente Überforderung die Mitarbeitenden der Gefahr der Überlastung aus. Es kann zu Ausfällen im, in der Regel ohnehin schon unterbesetzten, Security-Team kommen. So gaben bei einer Trend Micro Befragung 74 Prozent der Schweizer Befragten an, dass sie ihr Privatleben durch die Arbeit emotional beeinträchtigt sehen. Bei der Umfrage von IDC und FireEye gaben drei von vier Analysten an, sich Sorgen zu machen, Vorfälle zu verpassen. Jeder Vierte macht sich sogar grosse Sorgen. Mehr als 6 Prozent gaben an, deswegen schlecht zu schlafen.

Investitionen nicht ausgenutzt

Keine gute Ausgangslage angesichts der sich permanent verstärkenden Sicherheitsrisiken. Um den Gefahren zu trotzen, setzen viele Unternehmen auf eine Vielzahl von Einzel-Security-Lösungen. Dadurch erhöhen Sie die Komplexität und verringern durch den einhergehenden Aufwand die Reaktionszeiten. Die Security-Teams sind unterbesetzt und überlastet, was dazu führt, dass die IT-Sicherheitsinfrastrukturen nicht oder nicht ausreichend ausgenutzt werden. Laut Trend Micro nutzen in der Schweiz 63 % der Unternehmen die vorhandene IT-Sicherheitsinfrastruktur nicht. Die Konsequenz ist: Die gewünschten Ergebnisse aus diesen Investitionen werden nicht erreicht.

Alert Fatigue vermeiden und Sicherheitsverletzungen vorbeugen

Aus all diesen Gründen lohnt es sich, die Entstehung von Alarmmüdigkeit bei den Mitarbeitenden zu verhindern. Schon diese Massnahmen können helfen:

  1. Redundante Alarmmeldungen vermeiden.
  2. Je konkreter, desto besser. Je genauer der Alert ist, desto weniger Zeit muss aufgewendet werden, um ihn zu bewerten.
  3. Verschiedene Alarmstufen helfen bei der Unterscheidung von wichtigen und unwichtigen Alerts.
  4. Kontinuierliche Optimierung der Warnmeldungen (z. B. Einstellung der Schwellenwerte).
  5. Optimierte Personaleinteilung, sodass immer genügend Bereitschaftspersonal vor Ort ist und die Alarme auf ausreichend Mitarbeitende aufgeteilt werden können.

Moderne Tools und Experten einsetzen

Da der Druck auf die Security Teams in den Unternehmen nicht nachlassen wird und Fachkräfte in diesem Bereich schwer zu finden sind, gilt es, zusätzlich über moderne Tools und externe Experten-Unterstützung nachzudenken. Automatisierte SOC-Lösungen oder massgeschneiderte Security-Funktionen würden den Security-Analysten erlauben, sich auf anspruchsvollere Aufgaben zu konzentrieren. Viele Unternehmen greifen daher lieber auf einen Managed Service Provider zurück, der die professionelle Überwachung der IT übernimmt. Managed Service Provider bieten eine Kombination aus Automatisierung und Experten, die modernste Analysetools methodisch nach Spuren durchsuchen, Verdachtsmomente klären und bei Gefahren aktiv handeln. So kann das interne Team seine Kapazitäten für andere Themen aufwänden, ohne dass das Unternehmen Gefahr läuft, Opfer eines Cyberangriffs zu werden.

Managed Service Provider richtig nutzen

Beim Gebrauch eines Managed Service Providers gibt es eine Bandbreite von Modellen, um Flexibilität mit Sicherheit zu kombinieren, abhängig von den Bedürfnissen einer Organisation sowie der Verfügbarkeit von internen Ressourcen. Man kann entweder (A) die Effizienz des eigenen SOC-Betriebes erhöhen durch das Einbeziehen von externen Experten, (B) einzelne Security-Funktionen an externe Spezialisten-Teams vergeben oder (C) die komplette Security Operations in ein externes, voll-automatisiertes SOC verlagern.

A - Unterstützung des eigenen SOC-Teams durch Experten

Ein frischer Blick eines externen Experten kann Ihrem Team dabei helfen, Alarmmüdigkeit entgegenzuwirken durch:

  • das Optimieren von Sicherheitssystemen
  • das Konfigurieren von Filtern oder Tools
  • sowie das Verbessern von Infrastrukturelementen, wie Firewalls.

Weiters können moderne Analysetools, wie z. B. Malware Analytics oder Anomaly Detection in Kombination mit Ihren existierenden Tools eingesetzt werden, um die Ergebnisse zu verbessern, die Ihren internen Security-Teams zur Analyse vorgelegt werden und damit bestehende Ressourcen entlasten.

B - Auslagern von speziellen Security-Funktionen

Ein weiterer Schritt ist das Auslagern von bestimmten Security-Funktionen, bei denen meistens sehr spezielle Kenntnisse benötigt werden, welche intern nicht vorhanden sind. Diese Aufgabenbereiche lassen sich meist effektiver und wirtschaftlicher an Managed Service Provider auslagern, um interne Sicherheitsteams zu entlasten und trotzdem optimale Sicherheit zu gewährleisten. Dies ist vor allem empfehlenswert bei fortgeschrittenen Security-Kompetenzen wie Security Intelligence oder Security Incident Response. Hier können spezialisierte, externe Teams glänzen, welche selbstständig im Tandem mit Ihren internen Sicherheitsteams arbeiten, um die Maturität Ihrer Organisation zu erhöhen und optimale Sicherheit zu gewährleisten.

C – Der Weg zum externen SOC

Da die Komplexität der Cyber-Security zunimmt und Personal oft mit Aufgaben überfordert ist, kann die lückenlose Überwachung der eigenen IT-Systeme oft nicht mehr gesichert werden und ist dazu noch mit hohen Kosten verbunden. Das Auslagern des SOC kann diese Kosten minimieren, ohne dabei an Sicherheit einbüssen zu müssen. Ausserdem profitieren Sie sofort von den Kompetenzen von Cyber-Security-Spezialisten, ohne diese selbst mühsam über Jahre aufbauen zu müssen. Umso besser: Beim flexiblen SOC-nach-Mass-Modell der ISPIN müssen Sie zu keinem Zeitpunkt Ihre Daten aus Ihren Händen geben und alle Dienstleistungen sind zu 100 % in der Schweiz angesiedelt.

Zusammen. Sicher.

Vermeiden Sie Abstumpfung und Frust bei Ihren Security-Mitarbeitenden. Investieren Sie in die nötigen Tools oder in professionelle Unterstützung. Unsere Experten helfen Ihnen gerne.
Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.

 

Notfall?

ISPIN 7/24 Incident Hotline: 0848 800 017 | cyberdefense[at]ispin.ch

 

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktGo to top