Was ist Wachmüdigkeit? 4 Möglichkeiten, es zu mildern und Burnout zu verhindern
Veröffentlicht: 2022-11-14Piep, piep, kling, kling – der Ursprung der Wachheitsmüdigkeit.
Alarmmüdigkeit ist kein neues Phänomen. Es tritt auf, wenn Cybersicherheitsexperten nach dem Umgang mit einer überwältigenden Anzahl von Warnungen desensibilisiert werden, sodass sie anfangen, sie zu übersehen oder zu ignorieren und langsamere Reaktionszeiten haben. In den meisten Fällen von Alarmmüdigkeit reagieren Mitarbeiter nicht rechtzeitig, weil sie aufgrund von Alarmen und Benachrichtigungen ausgebrannt sind.
Es wird angenommen, dass Alarmmüdigkeit eine der Hauptursachen für den Target Data Breach 2013 ist, der zum Diebstahl der Kreditkarte und der persönlichen Daten von etwa 40 Millionen Kunden führte. Es ist ein Problem für viele Unternehmen und erfordert ernsthafte Aufmerksamkeit. Aber wie mildern Sie die Warnung? Lass es uns herausfinden.
Ein echter Kampf für Cybersicherheitsexperten
Der Begriff Alert Fatigue wurde erstmals 2004 von The Joint Commission, einer in den USA ansässigen gemeinnützigen Krankenhausakkreditierungsorganisation, geprägt, um die klinische Alarmwirksamkeit als Standard für Krankenhäuser zu erklären. Seitdem ist es bei vielen Unternehmen beliebt geworden, die sich mit Warnungen, einschließlich Cybersicherheit, befassen.
Während sich das Ignorieren von Nachrichten oder App-Benachrichtigungen möglicherweise nicht negativ auf Ihr tägliches Leben auswirkt, können die Auswirkungen für Cybersicherheitsexperten und ihre Organisationen schwerwiegend sein. Laut RiskIQs 2021 Evil Internet Minute Report 1 kostet Cyberkriminalität Unternehmen alle 60 Sekunden satte 1,79 Millionen US-Dollar.
Eine Umfrage im Jahr 2018, vor nur vier Jahren, ergab, dass 27 % der IT-Experten täglich mehr als 1 Million Sicherheitswarnungen erhalten (halten Sie inne und lassen Sie das wirken), während die Mehrheit (67 %) täglich mit 100.000 Warnungen bombardiert wird. Auch der Mittelstand bleibt von der Alarmflut nicht verschont – täglich werden sie von 4.000 Cyberangriffen getroffen.
Und es wird nicht erwartet, dass diese Zahl in absehbarer Zeit sinkt. Eine verwandte Studie aus demselben Jahr ergab, dass die Warnungen zunehmen und das Sicherheitspersonal nur durchschnittlich 12.000 Warnungen pro Woche verarbeiten kann.
Der große Verzicht auf Cybersicherheit
Es ist nicht verwunderlich, dass Cybersicherheitsexperten vor einem Burnout stehen. Selbst mit einem großen Team ist die Bearbeitung von mehr als 2.000 Benachrichtigungen pro Tag mental anstrengend. Stellen Sie sich vor, Sie befinden sich alle 8 Stunden eines typischen Arbeitstages im Feuerwehrmodus, manchmal sogar länger.
Ein kürzlich erschienener Bericht von Panther Labs ergab, dass bis zu 80 % der Sicherheitsingenieure an Burnout leiden. Darüber hinaus erwägen 45 % der Befragten der dritten Ausgabe des jährlichen Voice of SecOps Report 2 von Deep Instinct, die Branche aufgrund von Stress ganz zu verlassen. 46 Prozent derselben Befragten gaben an, mindestens einen Kollegen zu kennen, der die Cybersicherheit im vergangenen Jahr aufgrund von Stress verlassen hat.
Chief Information Security Officers (CISOs) brennen aus und kündigen mit noch alarmierenderer Geschwindigkeit. Neunundvierzig Prozent von 1.000 Befragten aus demselben Bericht erwägen, die Branche aufgrund des zunehmenden Stressniveaus zu verlassen.
Es geht nicht nur um die Kündigung von Arbeitsplätzen, sondern um den Schaden für die Branche selbst. Die Branche verliert Talente für immer, und es ist unwahrscheinlich, dass es eine gerechte Ersatzquote für sie gibt. Auch wenn mehr Menschen in die Branche eintreten als sie verlassen, brauchen Neueinsteiger Zeit, um auf den neuesten Stand zu kommen.
Nicht alle Warnungen sind gleich
Warum gibt es also so viele Warnungen? Überwachungstools wie Cloud Security Posture Management (CSPM) und Security Information and Event Management (SIEM) geben Warnungen aus, wenn Anomalien innerhalb einer Cloud-Infrastruktur erkannt werden. Allerdings erfordern nicht alle Warnungen Maßnahmen, oder zumindest nicht sofort. Einige Warnungen weisen auf geringfügige Probleme hin, die später behoben oder sogar ignoriert werden können.
Dann gibt es Fehlalarme, die laut einem von Fastly im Jahr 2021 veröffentlichten Bericht fast die Hälfte (45 %) aller Cybersicherheitswarnungen ausmachen.
Betrachten Sie es als Fehlalarm oder als den Jungen, der Wolf geschrien hat. Beispielsweise können ältere legitime Dateien mit fehlenden Sicherheitszertifikaten als bösartig gekennzeichnet werden.
In ähnlicher Weise kann eine Warnung ausgegeben werden, die auf eine verdächtige Anmeldung durch einen Mitarbeiter von einem unbekannten Ort hinweist, wenn das Informationssicherheitsteam (IS) nicht weiß, dass der Mitarbeiter dort im Urlaub ist.
Um solche Warnungen zu minimieren, können Sie eine Richtlinie mit den geringsten Rechten verwenden und den Zugriff nur auf nicht bedrohungsanfällige Apps und Daten freigeben. Sie können auch ein Zero-Trust-Modell verwenden und den Zugriff auf bedrohungsanfällige oder kritische Apps und Daten vollständig einschränken.
Der Fastly-Bericht stellte außerdem fest, dass 75 % der Unternehmen ebenso viel Zeit und manchmal mehr Zeit mit Fehlalarmen verbringen als mit tatsächlichen Angriffen. Diese Fehlalarme verursachen die gleiche Ausfallzeit wie echte Angriffe.
Das Problem mit Fehlalarmen ist nicht, dass sie existieren, aber:
- Die schiere Anzahl von ihnen
- Jede erfordert Zeit und Mühe, um sie zu überprüfen, zu untersuchen und zu verifizieren, um festzustellen, ob der Angriff, die Bedrohung oder die Schwachstelle echt ist.
Dies sind die Hauptursachen für Wachmüdigkeit.
Stellen Sie sich eine fehlerhafte Brandmeldeanlage vor, die wiederholt in Ihrem Haus ausgelöst wird. Wenn es das erste Mal heult, durchkämmen Sie gründlich jede Ecke des Hauses, um festzustellen, ob und wo es brennt. Sie können dies für ein paar nachfolgende Alarme tun, aber irgendwann entscheiden Sie einfach, dass es Ihre Zeit nicht wert ist, einen anderen Alarm zu untersuchen und ihn zu ignorieren.
Auf die gleiche Weise können Cybersicherheitsexperten schließlich wichtige Warnungen, die auf eine echte Bedrohung oder einen Angriff hinweisen, aufgrund von Alarmmüdigkeit vollständig ignorieren oder übersehen. Dann gibt es die Überlegung, welche Warnungen wichtiger sind und priorisiert werden müssen.
Einige Organisationen verwenden unterschiedliche Systeme, um ihre Cloud-Infrastrukturen zu überwachen, was bedeutet, dass jedes System seinen gerechten Anteil an Warnungen erhält. Diese haben oft multiplikative Effekte und lassen Cybersicherheitsexperten in einem riesigen Ozean von Warnungen ertrinken.
4 Empfehlungen zur Vorbeugung von Wachmüdigkeit
Leider können Sie Fehlalarme nicht ausmerzen. Die Feinabstimmung von Überwachungsregeln hilft, sie zu reduzieren, aber die Reduzierung ist bestenfalls unbedeutend. Die Verwendung eines CSPM und anderer Überwachungstools kann Cybersicherheitsexperten jedoch dabei helfen, die Warnungen in einen Kontext zu setzen oder ausreichende Informationen für eine sachliche Untersuchung und Bedrohungsminderung bereitzustellen.
Eine weitere mögliche Gegenmaßnahme ist die Bereitstellung einer einfachen Ein-Klick-Behebung, damit das Sicherheitspersonal häufige Bedrohungen schnell und einfach entschärfen oder sogar Schritt-für-Schritt-Anweisungen zur Behebung dieser Bedrohungen bereitstellen kann.
Im Folgenden sind einige Funktionen aufgeführt, die in einem CPSM-Tool berücksichtigt werden sollten, um die Alarmermüdung Ihres Sicherheitspersonals zu verringern.
1. Warnmeldungen kontextualisieren
Ein CSPM sollte es Ihnen ermöglichen, verdächtige Assets schnell zu identifizieren und zu vergrößern, um den Kontext der Bedrohung im Lichte der Konfigurations- und Aktivitätsperspektiven im Zusammenhang mit den Schweregraden der Ereignisse zu verstehen.
Dadurch wird die Zeit, die zum Untersuchen jeder Warnung erforderlich ist, erheblich reduziert. Sie können einen Fehlalarm schnell erkennen und ablehnen, sofortige Maßnahmen ergreifen, um die Bedrohung abzuschwächen, oder die Schwachstelle beheben.
2. Stellen Sie umsetzbare Erkenntnisse bereit
Vorbeugen ist immer besser als heilen. Warum warten, bis die Warnungen durchkommen? Stellen Sie sich vor, Sie sehen einen Verlauf aller Änderungen, die an Ihrer Multi-Cloud-Umgebung vorgenommen wurden, jeweils begleitet von umsetzbaren Erkenntnissen, die Ihnen dabei helfen, potenzielle Bedrohungen für Ihre Cloud-Infrastruktur zu erkennen, und Sie sogar dabei unterstützen, proaktive Maßnahmen zur Minderung der potenziellen Bedrohungen zu ergreifen.
Mit einer solchen Funktion kann Ihr Unternehmen auch für internationale Standards wie ISO 27001, SOC 2, branchenspezifische und territoriale Standards wie PCI DSS für die Zahlungsbranche, Singapurs MAS TRM, Indonesiens POJK 38, Australiens APRA auditbereit bleiben , und die thailändische PDPA.
3. Benutzerdefinierte Regeln und Kennzeichnung der Bedrohungsstufe
Jede Organisation hat einzigartige Sicherheits- und Geschäftsanforderungen; bei dir ist es nicht anders. Möglicherweise müssen Sie einige interne Sicherheitsregeln überwachen. Einige Organisationen haben auch Cloud-Assets, die im Vergleich zu ihren Branchenkollegen wichtiger sind als andere.
Sie können die Alarmmüdigkeit reduzieren, indem Sie diese internen Regeln und Ressourcen überwachen, die richtigen Kritikalitäts-Flags für jede festlegen und sie priorisieren. Beispielsweise möchten Sie möglicherweise Benachrichtigungen erhalten, wenn Änderungen an einem AWS S3-Bucket vorgenommen werden, der personenbezogene Daten (PII) enthält.
Darüber hinaus sollte ein CSPM es Ihnen ermöglichen, Überwachungsgruppen zu erstellen, in denen Sie die Kritikalitätsstufe angeben und automatisch auf andere gekennzeichnete kritische Assets in Ihrer Organisation anwenden können. Dies wird Ihnen helfen, die Alarmmüdigkeit zu reduzieren.
4. Schnelle Behebung von Bedrohungen und Schwachstellen
Ihr Sicherheitspersonal sollte auch in der Lage sein, häufige und geringfügige Schwachstellen und Bedrohungen schnell und einfach zu beheben, und schrittweise Anweisungen zur Minderung bestimmter Schwachstellen erhalten.
Tatsächlich wird die Auswahl aller häufigen und geringfügigen Schwachstellen und deren anschließende Massenbehebung mit einem einzigen Mausklick die Zeit, die Ihr Sicherheitspersonal für die Behebung aufwendet, erheblich reduzieren.
Eine andere Möglichkeit, wie Sie Ihrem Sicherheitspersonal helfen können, Alarmmüdigkeit zu vermeiden und sich gleichzeitig weiterzubilden, besteht darin, sicherzustellen, dass das CSPM-Tool Schritt-für-Schritt-Anweisungen zum Beheben von Schwachstellen bietet. Beispielsweise kann Ihr Sicherheitspersonal häufige und geringfügige Schwachstellen mit der Ein-Klick-Option beheben, während es für komplexere Behebungen das Schritt-für-Schritt-Playbook verwendet und daraus lernt.
Bleiben Sie wachsam, aber nicht zu viel
Alarmmüdigkeit ist ein echtes Problem, mit dem die Cybersicherheitsbranche heute konfrontiert ist. Dies schwächt nicht nur die Verteidigung Ihres Unternehmens gegen eine zunehmende Anzahl und immer raffinierter werdende Cyberangriffe, sondern fordert auch einen schweren Tribut vom psychischen Wohlbefinden Ihres Sicherheitspersonals.
Alarmmüdigkeit hat zu zahlreichen realen Beispielen von Verstößen geführt. Viele Fachleute verlassen die Branche tatsächlich oder denken darüber nach, die Branche ganz zu verlassen. Dies verheißt nichts Gutes für die Cybersicherheitsbranche insgesamt, da die Einführung von Clouds zunimmt und der Bedarf an solchen Talenten weltweit groß ist.
Wir müssen zwar zugeben, dass die Wachmüdigkeit niemals ausgerottet werden kann, aber wir können zumindest unser Möglichstes tun, um die Fäulnis sozusagen zu minimieren. Die Einführung und Übernahme eines guten CSPM-Tools ist eine gute Möglichkeit, genau das zu tun.
Dieses Problem muss so schnell wie möglich gelöst werden und darf nicht eitern.
Cyberangriff kommt! Finden Sie heraus, was zu tun ist, wenn Sie eine Datenschutzverletzung haben, und verhindern Sie zukünftige Datenschutzverletzungen.