Säkerhetslarm som visar sig inte vara några larm egentligen, så kallade falska positiva larm (false positives), är ett stort problem. Det är som i sagan med pojken och vargen. Om man ropar att vargen kommer en massa gånger när vargen inte kommer, så är det ingen som lyssnar till slut när vargen verkligen kommer.

Problemet med falska positiva larm vad gäller it-säkerhet är förstås att det blir informationskaos och risken finns att de larm som man verkligen skulle behöva bry sig om försvinner i mängden av larm.

Säkerhetsföretaget Fireeye har genomfört en undersökning bland it-säkerhetschefer. 37 procent av respondenterna uppger att de får fler än 10 000 larm per månad. 52 procent av dessa är falska positiva larm och 64 procent är redundanta. Det här innebär en stor arbetsbörda, eftersom man analyserar varje larm manuellt på 40 procent av företagen.

Läs också: Enormt bot-nätverk upptäckt – 15 000 servrar utvinner kryptovaluta i hemlighet

En undersökning gjord av Cisco, 2017 Security Capabilities Benchmark Study, visar att företag bara hinner analysera 56 procent av säkerhetslarmen varje dag. Hälften av dessa, alltså 28 procent av säkerhetslarmen, bedöms vara korrekta. Mindre än hälften av de korrekta larmen, 46 procent, alltså cirka 13 procent av alla larm, leder till någon åtgärd.

Enligt Ciscos undersökning får 44 procent av it-säkerhetscheferna ta del av fler än 5 000 säkerhetslarm varje dag.

Att det blir så många larm beror inte minst på att många företag använder flera övervakningsverktyg som ständigt analyserar nätverkstrafik och användares aktiviteter.

Paradexemplet på de här problemen var när amerikanska Target utsattes för datastöld 2013. Kreditkortsuppgifter för 40 miljoner kunder, samt personuppgifter om 70 miljoner kunder, stals från kassasystem.

Faktum är att Target fick larm om att ett intrång pågick, skriver IDG News. Det var personal i Bangalore i Indien som upptäckte det och de meddelade Targets personal i Minneapolis i USA. Men inga åtgärder vidtogs, troligtvis för att larmen som skickades från Indien buntades ihop med en massa andra larm, varav många med största säkerhet var falska positiva larm. De försvann i mängden, helt enkelt.

Läs också: Google varnades om metoden bakom phishing-attacken – för fem år sedan

Det finns också uppgifter om att Target hade stängt av vissa system som användes för att upptäcka intrång, för att minska mängden falska positiva larm. Följden blev hur som helst att Target inte uppmärksammades på det stora intrånget förrän de blev kontaktade av det amerikanska justitiedepartementet.

Vad ska man göra åt det här? Rob Kerr som är teknikchef på Haystax Technology i USA varnar för fyra misstag som man bör undvika:

  • Stänga av för många larm. Om antalet larm är för högt för att man ska kunna hantera dem är det lätt hänt att inaktivera de källor som ger flest larm. Men då är risken att man missar viktiga larm. Med bra verktyg kan man få upp kvaliteten: Färre larm med högre kvalitet.
  • Leva i nuet för mycket. Det är naturligt att säkerhetsverktyg larmar när det händer något misstänkt, men om man väntar tills det brakar loss på allvar kan det vara för sent. Bra verktyg identifierar misstänkta skeenden tidigt, så att det finns en chans att agera.
  • Bara titta på nätverksdata. Många säkerhetsverktyg fokuserar helt på data om nätverkstrafik, bland annat för att sådana data är lättillgängliga. Men för att göra ordentliga analyser krävs det ofta data från ytterligare källor som kan beskriva sammanhangen som larmen uppstått i.
  • Missa att prioritera. Bra säkerhetsverktyg uppmärksammar de larm som mest troligt är intressanta att titta på. Om säkerhetspersonalen tvingas analysera alla larm är det lätt hänt att missa de som är viktiga.