Amikor mindent elárasztanak a biztonsági riasztások

A biztonsági riasztások kezelése megfelelő eszközök nélkül rengeteg erőforrást köthet le. Ráadásul sok felesleges munkával járhat, ugyanis a jelzések több mint fele téves.
 

Az IDC és a FireEye egy érdekes felmérés eredményeit hozta nyilvánosságra. A kutatók ezúttal arra voltak kíváncsiak, hogy a szervezetek miként kezelik a különféle informatikai és védelmi eszközökből származó riasztásokat, milyen gyorsan reagálnak azokra, és mindez mennyi erőforrást köt le. A vizsgálati eredmények meglepő számokat tartalmaznak, és arról árulkodnak, hogy ezen a területen még jókora fejlődésre van szükség. Sem a fejlesztéseket, sem a beruházásokat nem célszerű félvállról venni, mert rengeteget lehetne spórolni, és nem utolsó sorban a védelem hatékonysága is növelhetővé válhatna az incidensek gyorsabb, pontosabb felismerése által. 

A globális felmérés szerint a szervezetek 15 százaléka minden egyes hónapban átlagosan 50 ezer biztonsági riasztással szembesül. A megkérdezettek egyharmadának pedig 10-50 ezer közötti biztonsági jelzést kell kezelnie. A vállalatok 35 százaléka havonta 500 munkaórát fordít arra, hogy ezeket a riasztásokat elemezze, kezelje, ami három szakember teljes munkaidejét köti le. Legalábbis abban az esetben, ha rendelkezésre áll ennyi humán erőforrás. Merthogy a szervezetek 75 százaléka eddig nem jelölt ki dedikált munkakört erre a feladatra, vagyis a riasztások kezelését az egyes IT-területek maguk végzik, ami az események korrelálását és koordinálását megnehezítheti. 

Sok az alaptalan riogatás

A problémát nem kizárólag a riasztások nagy száma jelenti, hanem az is, hogy ezek több mint fele téves jelzés, és az egyharmaduk redundánsan jelenik meg a rendszerben a detektálásra szolgáló platformok sokasága miatt. Mindez pedig azt jelenti, hogy a valóban fontos események kiszűrése nem egyszerű feladat, és sok hibalehetőséget tartogat. Ennek ellenére a válaszadóknak csak a 42 százaléka nyilatkozta azt, hogy rendelkezik olyan automatizált technológiával, amely legalább a duplikált riasztásokat képes kiszűrni. A többiek manuálisan végzik ezt a munkát.

Az automatizáltság és a korszerű anomáliadetektálás hiánya oda vezet, hogy a valóban releváns eseményekre való gyors reagálás csorbát szenvedhet. A felmérés szerint a megkérdezettek 75 százaléka 5 órán belül tud valamiféle választ adni a kritikus riasztásokra. A 60 százalékuknál a mérsékelt besorolású jelzések kiértékelése 6-12 órát vesz igénybe, míg az alacsonyabb prioritású események feldolgozása az esetek egyharmadában több mint egy napig tart. A támadók szempontjából ez azt jelenti, hogy nem kell kapkodniuk, mivel a nemkívánatos tevékenységeik felismerése nem megy egyik percről a másikra.

Sokat kell fejlődni

Joshua Goldfarb, a FireEye vezető biztonsági stratégiája szerint a fenti helyzeten mindenképpen változtatni kell, hiszen az erőforrás hiányos szervezetek berkein belül minden riasztás kezelése számít. Ezért olyan riasztásokra van szükség, amelyek pontosak, és lehetőséget adnak a gyors beavatkozásra. 

Mérlegelni kell azt is, hogy az események jelzésekor a mennyiség vagy a minőség számít-e. Ha ugyanis százezer riasztásból automatizáltan kiszűrűnk 100-at, akkor könnyen elképzelhető, hogy lesznek olyan releváns események, amelyek nem kerülnek bele ebbe a körbe. Ha viszont a százezer riasztást nem szelektáljuk, és azok 99 százalékával senki sem tud vagy akar foglalkozni (mondván, hogy úgyis sok a hamis jelzés), akkor szintén nem lesz hatékony az incidensekre való reagálás. Ezért meg kell találni a megfelelő egyensúlyt a folyamatosan fejlődő technológiák és az emberi tevékenységek között.