Alarmerend onderzoek onthult de stress en spanningen die het gemiddelde cyberbeveiligingsteam dagelijks ervaart. Zoveel als 70% van de teams melden dat u zich emotioneel overweldigd voelt door beveiligingswaarschuwingen. Die waarschuwingen komen met zo’n hoog volume, hoge snelheid en hoge intensiteit dat ze een extreme bron van stress worden. Zo extreem zelfs dat het gezinsleven van mensen negatief wordt beïnvloed. Overbelasting van waarschuwingen is slecht voor degenen die in cyberbeveiliging werken. Maar het is nog erger voor iedereen die afhankelijk is van cyberbeveiliging.
Dit is een gigantisch probleem in de industrie, maar weinig mensen erkennen het zelfs, laat staan dat ze ermee omgaan. Cynet probeert dat in deze handleiding te corrigeren (download hier), te beginnen door een licht te schijnen op de oorzaak van het probleem en de volledige omvang van de gevolgen ervan en vervolgens een paar manieren te bieden waarop lean beveiligingsteams hun analisten uit de oceaan van valse positieven kunnen halen en ze terug naar de kust kunnen krijgen. Het bevat tips over het verminderen van waarschuwingen met behulp van automatisering en geeft richtlijnen voor organisaties die overwegen hun beheerde detectie en respons (MDR) uit te besteden. De gids deelt ook hoe beveiligingsteams het web van beveiligingshulpmiddelen die nodig zijn voor automatisering kunnen ontwarren.
Overbelasting van waarschuwingen oplossen
Beveiligingsteams van elke omvang moeten het aantal waarschuwingen dat ze tegenkomen verminderen en verfijnen hoe ze op waarschuwingen reageren om actie te ondernemen voordat de schade begint. Hieronder vindt u tactieken die worden behandeld in de gids die beveiligingsteams, met name slanke teams, kunnen gebruiken om duizenden waarschuwingen te verminderen en erop te reageren.
1 — Overweeg uitbesteding aan MDR: Het uitbesteden van beheerde detectie en respons (MDR) is een goede optie als u snel moet schalen en niet over de middelen beschikt. MDR’s kunnen helpen stress te verminderen en uw team tijd terug te geven. Een andere overweging zijn de kosten. U zult ook tijd moeten investeren in het vinden van een MDR die geschikt is voor uw bedrijf. Zoals de gids laat zien, kan outsourcing absoluut een troef zijn. Maar het is nooit een complete oplossing.
2 — Strategieën om waarschuwingen te verminderen: Het begint met strategie. Kijk naar je bestaande technologie en zorg ervoor dat je hun instellingen hebt geoptimaliseerd en dat je tools zijn gekalibreerd. Uiteindelijk gaat het niet zozeer om het verminderen van waarschuwingen, maar om hoe u uw team hebt ingesteld om te reageren.
Zoek bijvoorbeeld naar manieren om sneller te onderzoeken hoe u waarschuwingen onderzoekt die u niet kunt elimineren of samenvoegen. Een manier is om alarmen te correleren met bekende activiteiten, zoals wanneer een geplande patchinstallatie de beveiligingstools massaal uitschakelt terwijl het systeem wordt gerecycled. Elk ander moment zou het beveiligingsteam willen weten dat beveiligingstools offline gaan, maar er is een eenvoudige verklaring tijdens het patchen. Door tools te kalibreren om waarschuwingen tijdens bekende gebeurtenissen of geplande tijden te ‘stillen’, heeft het beveiligingsteam meer tijd om zich te concentreren op de daadwerkelijke noodsituaties.
3 — Introductie van automatisch antwoord: Zelfs de meest slanke beveiligingsteams kunnen bedreigingen het hoofd bieden als ze gebruikmaken van automatisering. Door automatisering kunnen beveiligingsteams snel op grote schaal reageren op waarschuwingen. Maar een van de grootste uitdagingen bij automatisering is weten hoe je het in de eerste plaats goed instelt.
Een van de nadelen van geautomatiseerde respons die we moeten proberen te vermijden, is wanneer een geautomatiseerde respons, met name de soort die wordt aangedreven door machine learning, zowel kwaadaardig als legitiem verkeer blokkeert. Deze onvoorspelbare instanties kunnen vervelend zijn voor het beveiligingsteam en voor gebruikers in de hele organisatie. Problemen kunnen ook moeilijk ongedaan worden gemaakt als de acties die door automatisering worden ondernomen, niet zorgvuldig zijn gedocumenteerd. De gids stelt ook nieuwe manieren voor om dit probleem op te lossen.
4 — Gebruik tools die automatisering vergemakkelijken: Het instellen van automatisering is geen ‘walk in the park’ vanwege de overvloed aan beveiligings- en IT-oplossingen die moeten worden geïntegreerd (bijvoorbeeld IPS, NDR, EPP, firewalls, DNS-filtering en meer). De sleutel is om te weten hoe je al deze tools op één plek kunt plaatsen – en de gids suggereert nieuwe manieren om precies dat te doen.
Als u meer wilt weten en wilt leren hoe u overbelasting van waarschuwingen kunt stoppen, download hier de gids.
