¿Qué es la fatiga de alerta? 4 formas de mitigarlo y prevenir el agotamiento

Bip, bip, ding, ding: los orígenes de la fatiga de alerta.

La fatiga de alerta no es un fenómeno nuevo. Ocurre cuando los profesionales de la ciberseguridad se vuelven insensibles después de lidiar con una cantidad abrumadora de alertas, por lo que comienzan a pasarlas por alto o ignorarlas y tienen tiempos de respuesta más lentos. En la mayoría de los casos de fatiga por alertas, los empleados no responden a tiempo debido al agotamiento que experimentan con las alertas y notificaciones.

Se cree que el cansancio de las alertas es una de las principales causas de la filtración de datos objetivo de 2013 que condujo al robo de la tarjeta de crédito y la información personal de unos 40 millones de clientes. Es una preocupación para muchas empresas y necesita una atención seria. Pero, ¿cómo se mitiga la alerta? Vamos a averiguar.

Una auténtica lucha para los profesionales de la ciberseguridad

El término fatiga de alerta fue acuñado por primera vez en 2004 por The Joint Commission, una organización de acreditación de hospitales sin fines de lucro con sede en EE. UU., para declarar la eficacia de las alarmas clínicas como un estándar para los hospitales. Desde entonces, se ha vuelto popular para muchas empresas que se ocupan de las alertas, incluida la ciberseguridad.

Si bien es posible que ignorar mensajes o notificaciones de aplicaciones no afecte negativamente su vida diaria, las ramificaciones pueden ser graves para los profesionales de la ciberseguridad y sus organizaciones. Según el Evil Internet Minute Report 1 de 2021 de RiskIQ, el ciberdelito cuesta a las empresas la friolera de 1,79 millones de dólares cada 60 segundos.

Una encuesta realizada en 2018, hace solo cuatro años, encontró que el 27 % de los profesionales de TI reciben más de 1 millón de alertas de seguridad al día (pausa y deja que eso se asiente), mientras que la mayoría (67 %) recibe 100 000 alertas al día. Las pymes tampoco se salvan de la avalancha de alertas: se ven afectadas por 4000 ciberataques todos los días.

Y no se espera que este número disminuya pronto. Un estudio relacionado del mismo año encontró que las alertas están aumentando y el personal de seguridad solo puede procesar un promedio de 12,000 alertas por semana.

La gran renuncia de la ciberseguridad

No sorprende que los profesionales de la ciberseguridad se enfrenten al agotamiento. Incluso con un equipo considerable, manejar más de 2000 notificaciones al día es mentalmente agotador. Imagínese estar en modo bombero cada 8 horas de un día laboral típico, a veces incluso más.

Un informe reciente de Panther Labs descubrió que hasta el 80 % de los ingenieros de seguridad sufren agotamiento. Además, el 45 % de los encuestados en la tercera edición del informe anual Voice of SecOps Report 2 de Deep Instinct consideran dejar la industria por completo debido al estrés. Cuarenta y seis por ciento de los mismos encuestados dijeron que conocen al menos a un compañero que dejó la seguridad cibernética el año pasado debido al estrés.

Los directores de seguridad de la información (CISO) se están agotando y renunciando a un ritmo aún más alarmante. Cuarenta y nueve por ciento de los 1000 encuestados del mismo informe están considerando abandonar la industria debido al aumento de los niveles de estrés.

No se trata solo de que las personas dejen sus trabajos, sino del daño a la industria misma. La industria está perdiendo talento para siempre, y es poco probable que haya una tasa de reemplazo equitativa para ellos. Aunque más personas ingresan a la industria de las que la abandonan, se necesita tiempo para que los nuevos participantes se pongan al día.

No todas las alertas son iguales

Entonces, ¿por qué hay tantas alertas? Las herramientas de monitoreo como Cloud Security Posture Management (CSPM) y Security Information and Event Management (SIEM) emiten alertas cuando se detectan anomalías dentro de una infraestructura en la nube. Sin embargo, no todas las alertas requieren acción, o al menos no de inmediato. Algunas alertas indican problemas menores que pueden solucionarse más tarde o incluso ignorarse.

Luego están los falsos positivos, que representan casi la mitad (45 %) de todas las alertas de ciberseguridad, según un informe publicado por Fastly en 2021. Los falsos positivos son alertas que indican un ataque, una vulnerabilidad o un riesgo cuando en realidad no existe ninguno.

Piense en ello como una falsa alarma o el niño que gritó lobo. Por ejemplo, los archivos legítimos más antiguos a los que les faltan certificados de seguridad se pueden marcar como maliciosos.

De manera similar, se puede emitir una alerta que indique un inicio de sesión sospechoso por parte de un empleado desde una ubicación desconocida cuando el equipo de seguridad de la información (SI) no sabe que el empleado está allí de vacaciones.

Para minimizar tales alertas, puede usar una política de privilegios mínimos y solo compartir el acceso a aplicaciones y datos que no son propensos a amenazas. También puede usar un modelo de confianza cero y restringir completamente el acceso a aplicaciones y datos críticos o propensos a amenazas.

El informe de Fastly también encontró que el 75% de las organizaciones dedican tanto tiempo, y a veces más tiempo, a los falsos positivos que a los ataques reales. Estas alertas falsas provocan la misma cantidad de tiempo de inactividad que los ataques reales.

El problema de los falsos positivos no es que existan, sino que:

• El gran número de ellos
• Cada uno requiere tiempo y esfuerzo para revisar, investigar y verificar para determinar si el ataque, la amenaza o la vulnerabilidad son reales.

Estas son las causas fundamentales de la fatiga de alerta.

Imagine un sistema de alarma contra incendios defectuoso que se active repetidamente en su hogar. La primera vez que gime, se peina minuciosamente todos los rincones de la casa para comprobar si hay fuego y dónde está. Puede hacer esto para algunas alarmas posteriores, pero eventualmente, simplemente decida que no vale la pena investigar otra alarma e ignorarla.

De la misma manera, los profesionales de la ciberseguridad pueden eventualmente ignorar por completo o perder alertas importantes que indican una amenaza real o un ataque debido a la fatiga de las alertas. Luego está la consideración de qué alertas son más importantes y deben priorizarse.

Algunas organizaciones usan sistemas dispares para monitorear sus infraestructuras en la nube, lo que significa que cada sistema recibe su parte justa de alertas. Estos a menudo tienen efectos multiplicadores, dejando a los profesionales de la ciberseguridad ahogándose en un vasto océano de alertas.

4 recomendaciones para prevenir la fatiga de alerta

Lamentablemente, no se pueden erradicar las alertas falsas. Ajustar las reglas de monitoreo ayuda a reducirlos, pero la reducción es insignificante en el mejor de los casos. Sin embargo, el uso de una CSPM y otras herramientas de monitoreo puede ayudar a los profesionales de la seguridad cibernética a contextualizar las alertas o proporcionar información suficiente para la investigación de hechos y la mitigación de amenazas.

Otra posible contramedida es proporcionar una remediación fácil con un solo clic para que el personal de seguridad pueda mitigar rápida y fácilmente las amenazas comunes o incluso proporcionar instrucciones paso a paso sobre cómo remediar estas amenazas.

A continuación, se incluyen algunas características a tener en cuenta en una herramienta de CPSM para ayudar a reducir la fatiga por alertas de su personal de seguridad.

1. Contextualizar alertas

Un CSPM debería permitirle identificar y ampliar rápidamente los activos sospechosos para comprender el contexto de la amenaza a la luz de las perspectivas de configuración y actividad asociadas con la gravedad de los eventos.

Esto reduce significativamente el tiempo necesario para investigar cada alerta. Puede identificar y descartar rápidamente una alerta falsa, tomar medidas inmediatas para mitigar la amenaza o remediar la vulnerabilidad.

2. Proporcione información procesable

Siempre es mejor prevenir que curar. ¿Por qué esperar a que lleguen las alertas? Imagine ver un historial de todos los cambios realizados en su entorno de varias nubes, cada uno acompañado de información práctica que lo ayuda a conocer las amenazas potenciales a su infraestructura de nube e incluso lo guía para tomar medidas proactivas para mitigar las amenazas potenciales.

Tener esta característica también permitirá que su organización esté lista para la auditoría de estándares internacionales como ISO 27001, SOC 2, estándares territoriales y específicos de la industria como PCI DSS para la industria de pagos, MAS TRM de Singapur, POJK 38 de Indonesia, APRA de Australia. , y el PDPA tailandés.

3. Reglas personalizadas y marcación de nivel de amenaza

Cada organización tiene necesidades comerciales y de seguridad únicas; el tuyo no es diferente. Es posible que tenga algunas reglas de seguridad internas para monitorear. Algunas organizaciones también tienen activos en la nube más importantes que otras en comparación con sus pares de la industria.

Puede reducir la fatiga de las alertas al monitorear estas reglas y activos internos, establecer los indicadores de criticidad correctos para cada uno y priorizarlos. Por ejemplo, es posible que desee recibir alertas cada vez que haya algún cambio en un depósito de AWS S3 que contenga datos de información de identificación personal (PII).

Yendo más allá, un CSPM debería permitirle crear grupos de monitoreo donde puede especificar el nivel de criticidad y aplicarlo automáticamente a otros activos críticos marcados en su organización. Esto le ayudará a reducir la fatiga de alerta.

4. Reparación rápida de amenazas y vulnerabilidades

Su personal de seguridad también debería poder remediar rápida y fácilmente vulnerabilidades y amenazas comunes y menores y recibir instrucciones paso a paso sobre cómo mitigar vulnerabilidades específicas.

De hecho, seleccionar todas las vulnerabilidades comunes y menores y luego remediarlas en masa con un solo clic del mouse reducirá significativamente el tiempo que su personal de seguridad dedica a la remediación.

Otra forma en que puede ayudar a su personal de seguridad a evitar la fatiga de las alertas y mejorar sus habilidades simultáneamente es asegurarse de que la herramienta CSPM ofrezca instrucciones paso a paso para remediar las vulnerabilidades. Por ejemplo, su personal de seguridad puede optar por remediar vulnerabilidades comunes y menores con la opción de un clic mientras usa el libro de jugadas paso a paso para remediaciones más complejas y aprender de eso.

Mantente alerta, pero no demasiado

La fatiga de alertas es un problema real que enfrenta la industria de la ciberseguridad en la actualidad. No solo debilita las defensas de su organización contra un número cada vez mayor y una sofisticación cada vez mayor de los ataques cibernéticos, sino que también afecta gravemente el bienestar mental de su personal de seguridad.

Alerta de fatiga ha causado numerosos ejemplos de violaciones de la vida real. Muchos profesionales se están yendo o están pensando en dejar la industria por completo. Esto no es un buen augurio para la industria de la ciberseguridad en su conjunto, dado que la adopción de la nube está en aumento y la necesidad de tales talentos es extrema a escala mundial.

Si bien tenemos que admitir que la fatiga de alerta nunca se puede erradicar, al menos podemos hacer todo lo posible para minimizar la podredumbre, por así decirlo. Introducir y adoptar una buena herramienta CSPM es una buena manera de hacer precisamente eso.

Este problema debe resolverse lo antes posible y no dejarse enconar.

¡Ciberataque entrante! Descubra qué hacer cuando tiene una violación de datos y evite futuras violaciones.