Alert Fatigue bezeichnet das Phänomen der Überlastung von Cyberanalysten durch die hohe Anzahl der von Sicherheitstools ausgegebenen Alarme. Dies kann dazu führen, dass die Analysten Warnungen, die auf echte Angriffe hinweisen, in der Flut von Fehlalarmen übersehen oder sogar ignorieren. Dadurch wird die Sicherheit des betreffenden Unternehmens gefährdet. Was die genauen Risiken sind und welche Massnahmen Sie dagegen ergreifen können, erfahren Sie hier.
Was ist «Alert Fatigue»?
Zur Erkennung von Cyberangriffen setzen Unternehmen Sicherheitstools wie Firewalls oder Antivirenprogramme ein, die Meldungen zu potenziellen Sicherheitsereignissen generieren. Sind diese Meldungen nicht richtig konfiguriert, kann es vorkommen, dass innerhalb kürzester Zeit Hunderte von Alarmen ausgegeben werden. Cyberanalysten werden so mit einer Flut von Warnungen konfrontiert, die sich oftmals als False Positives (oder Fehlalarme) erweisen. Ist eine solche Warnung jedoch ein Hinweis auf einen echten Ernstfall, kann es passieren, dass dieser in der Vielzahl der Meldungen untergeht. Dadurch könnten Cyberanalysten kritische Warnungen übersehen oder sogar ignorieren und folglich nicht darauf reagieren, wodurch die Sicherheit des Unternehmens gefährdet wird. Dieses Phänomen wird als «Alert Fatigue» (oder Alarmmüdigkeit) [1] bezeichnet. Die Folgen sind eine längere Reaktionszeit auf Vorfälle und somit auch leichteres Spiel für Angreifer.
Was sind die Risiken von «Alert Fatigue»?
Das grösste Risiko der Alert Fatigue ist, dass erfolgreiche Angriffe aufgrund übersehener oder ignorierter Warnungen nicht erkannt werden. So stellt beispielsweise das Oneconsult International Computer Security Incident Response Team (OCINT-CSIRT) bei der Begleitung von Vorfällen regelmässig fest, dass unter anderem die Beachtung der Antivirusmeldungen den Angriff hätte verhindern können, wie in einem Blogbeitrag der Reihe DFIR, einfach erwähnt. Ein erfolgreicher Angriff kann weitreichende Konsequenzen haben, wie die Zerstörung von Systemen, hohe Lösegeldforderungen oder einen Imageschaden des Unternehmens.
Da Angreifer verschiedene mehr oder weniger fortgeschrittene Techniken verwenden, um ihre Ziele zu kompromittieren, sollten Sicherheitssysteme die frühen Anzeichen eines Angriffs erkennen können, um Sicherheitsvorfälle zu verhindern. Hierzu werden Sicherheitstools wie ein SIEM (Security Information and Event Management Systems) eingesetzt, die Daten aus verschiedenen Quellen sammeln, verwalten und korrelieren, um auffällige Aktivitäten zu melden. Dabei werden täglich zahlreiche Warnungen erzeugt. Angesichts der Vielfalt der von Angreifern verwendeten Angriffsvektoren kann grundsätzlich jedes ungewöhnliche Verhalten auf einen Vorfall hindeuten. Cyberanalysten müssen daher überprüfen, ob es sich um einen echten Angriff handelt. Problematisch ist, dass viele dieser Warnungen Fehlalarme sind, was die Identifizierung eines «True Positive» relativ kompliziert macht. Es besteht daher ein hohes Risiko, dass wichtige Warnungen bei einem echten Angriff übersehen oder sogar ignoriert werden, was die Reaktionszeit deutlich verlängert und den Angreifern ermöglicht, weiter unbemerkt in das Netzwerk einzudringen.
Ein weiteres Risiko der Alert Fatigue ist Überlastung. Ständige Alarme und deren schier endlose Sortierung führen dazu, dass die Cyberanalysten überfordert und gestresst sind. Darüber hinaus haben sie Angst, Vorfälle zu übersehen. Dies kann sich auch auf ihr persönliches Leben auswirken, z.B. durch eine schlechte Work-Life-Balance oder Schlafstörungen, und zudem ihre Produktivität verringern.
Was kann gegen «Alert Fatigue» unternommen werden?
Folgende Massnahmen werden empfohlen, um Alert Fatigue zu verhindern oder zumindest zu reduzieren:
- Vermeidung redundanter Warnungen, damit nicht mehrfach ein Alarm zum gleichen Ereignis ausgegeben wird. Alarme können konsolidiert werden, z.B. indem die Resultate der Sicherheitstools auf einer einzigen Plattform zusammengeführt werden, um die Konfigurationen und Ursprünge der Alarme zu vereinheitlichen.
- Anpassung der Schwellenwerte, um zu verhindern, dass die Sicherheitssysteme übermässig viele Alarme erzeugen, und so auch die Anzahl der Fehlalarme zu verringern.
- Verbesserung der Präzision der Warnungen, um die für die Bewertung erforderliche Zeit so gering wie möglich zu halten, indem Kontext und Details wie der genaue Ursprung des Problems hinzugefügt werden.
- Verwendung verschiedener Warnstufen, um zwischen wichtigen und unwichtigen Warnungen unterscheiden und so Prioritäten setzen zu können sowie schnell erkennen zu können, wann sofort reagiert werden muss.
- Erstellung von Use Cases, in denen Alarme und ihre Schwellenwerte definiert werden.
- Erstellung von Checklisten oder Playbooks, die den verschiedenen Warnungen entsprechen und die nächsten notwendigen Schritte beschreiben.
Zusammenfassung
«Alert Fatigue» kann schwerwiegende Konsequenzen, wie die Zerstörung von System oder hohe Lösegeldforderungen, mit sich ziehen, wenn dadurch ein Angriffsversuch unentdeckt bleibt und letztendlich erfolgreich ist. Durch die Umsetzung der beschriebenen Massnahmen können Sie das Risiko eines solchen Vorfalls jedoch bedeutend reduzieren.
Wenn Sie Beratung oder Unterstützung bei der Beurteilung von Warnungen und der Reduzierung von Alert Fatigue benötigen, stehen wir Ihnen jederzeit gerne zur Verfügung. Kontaktieren Sie uns ganz unverbindlich.
In unserem «Oneconsult Glossar» finden Sie nebst Alert Fatigue noch weitere Fachbegriffe: Glossar