Cos'è l'affaticamento da allerta? 4 modi per mitigarlo e prevenire il burnout
Pubblicato: 2022-11-14Bip, bip, ding, ding: le origini della fatica vigile.
La fatica vigile non è un fenomeno nuovo. Si verifica quando i professionisti della sicurezza informatica diventano desensibilizzati dopo aver gestito un numero enorme di avvisi, quindi iniziano a trascurarli o ignorarli e hanno tempi di risposta più lenti. Nella maggior parte dei casi di affaticamento degli avvisi, i dipendenti non rispondono in tempo a causa del burnout che subiscono da avvisi e notifiche.
Si ritiene che l'affaticamento degli avvisi sia una delle principali cause della violazione dei dati target del 2013 che ha portato al furto della carta di credito e delle informazioni personali di circa 40 milioni di clienti. È una preoccupazione per molte aziende e richiede una seria attenzione. Ma come mitigare la mitigazione degli avvisi? Scopriamolo.
Una vera lotta per i professionisti della sicurezza informatica
Il termine stanchezza da allerta è stato coniato per la prima volta nel 2004 da The Joint Commission, un'organizzazione di accreditamento ospedaliero senza scopo di lucro con sede negli Stati Uniti, per dichiarare l'efficacia degli allarmi clinici come standard per gli ospedali. Da allora è diventato popolare per molte aziende che si occupano di avvisi, inclusa la sicurezza informatica.
Mentre ignorare i messaggi o le notifiche delle app potrebbe non influire negativamente sulla tua vita quotidiana, le conseguenze possono essere gravi per i professionisti della sicurezza informatica e le loro organizzazioni. Secondo l'Evil Internet Minute Report 1 del 2021 di RiskIQ, il crimine informatico costa alle aziende ben 1,79 milioni di dollari ogni 60 secondi.
Un sondaggio del 2018, appena quattro anni fa, ha rilevato che il 27% dei professionisti IT riceve più di 1 milione di avvisi di sicurezza al giorno (metti in pausa e lascia che affondi), mentre la maggioranza (67%) è bombardata da 100.000 avvisi al giorno. Anche le PMI non sono risparmiate dal diluvio di allerta, colpite da 4.000 attacchi informatici ogni giorno.
E questo numero non dovrebbe scendere presto. Uno studio correlato dello stesso anno ha rilevato che gli avvisi sono in aumento e il personale addetto alla sicurezza può elaborare solo una media di 12.000 avvisi a settimana.
La grande rinuncia alla sicurezza informatica
Non sorprende che i professionisti della sicurezza informatica stiano affrontando il burnout. Anche con un team numeroso, la gestione di oltre 2.000 notifiche al giorno è mentalmente faticosa. Immagina di essere in modalità pompiere ogni 8 ore di una tipica giornata lavorativa, a volte anche di più.
Un recente rapporto di Panther Labs ha rilevato che fino all'80% degli ingegneri della sicurezza soffre di esaurimento. Inoltre, il 45% degli intervistati alla terza edizione di Deep Instinct dell'annuale Voice of SecOps Report 2 pensa di abbandonare del tutto il settore a causa dello stress. Il 46% degli stessi intervistati ha affermato di conoscere almeno un collega che ha lasciato la sicurezza informatica nell'ultimo anno a causa dello stress.
I responsabili della sicurezza delle informazioni (CISO) si stanno esaurendo e si dimettono a un ritmo ancora più allarmante. Il 49% dei 1.000 intervistati dello stesso rapporto sta pensando di lasciare il settore a causa dell'aumento dei livelli di stress.
Non si tratta solo di persone che lasciano il lavoro, ma del danno all'industria stessa. L'industria sta perdendo talenti per sempre ed è improbabile che ci sia un tasso di sostituzione equo per loro. Anche se più persone stanno entrando nel settore che lasciandolo, ci vuole tempo prima che i nuovi entranti si adeguino.
Non tutti gli avvisi sono uguali
Allora perché ci sono così tanti avvisi? Strumenti di monitoraggio come Cloud Security Posture Management (CSPM) e Security Information and Event Management (SIEM) emettono avvisi quando vengono rilevate anomalie all'interno di un'infrastruttura cloud. Tuttavia, non tutti gli avvisi richiedono un'azione, o almeno non immediatamente. Alcuni avvisi indicano problemi minori che possono essere risolti in seguito o addirittura ignorati.
Poi ci sono i falsi positivi, che rappresentano quasi la metà (45%) di tutti gli avvisi di sicurezza informatica, secondo un rapporto pubblicato da Fastly nel 2021. I falsi positivi sono avvisi che indicano un attacco, una vulnerabilità o un rischio quando in realtà non esistono.
Pensalo come un falso allarme o il ragazzo che gridava al lupo. Ad esempio, i file legittimi meno recenti con certificati di sicurezza mancanti possono essere contrassegnati come dannosi.
Allo stesso modo, può essere emesso un avviso che indica un accesso sospetto da parte di un dipendente da una posizione sconosciuta quando il team di sicurezza delle informazioni (IS) non è a conoscenza del fatto che il dipendente sia lì in vacanza.
Per ridurre al minimo tali avvisi, puoi utilizzare una politica di privilegio minimo e condividere l'accesso solo ad app e dati non soggetti a minacce. Puoi anche utilizzare un modello zero-trust e limitare completamente l'accesso ad app e dati critici o soggetti a minacce.
Il rapporto Fastly ha anche rilevato che il 75% delle organizzazioni dedica tanto tempo, e talvolta più tempo, ai falsi positivi che agli attacchi reali. Questi falsi allarmi causano la stessa quantità di tempi di inattività degli attacchi reali.
Il problema con i falsi positivi non è che esistono, ma:
- Il semplice numero di loro
- Ognuno richiede tempo e impegno per rivedere, indagare e verificare per accertare se l'attacco, la minaccia o la vulnerabilità è reale.
Queste sono le cause alla radice dell'affaticamento vigile.
Immagina un sistema di allarme antincendio difettoso che si attiva ripetutamente in casa tua. La prima volta che si lamenta, setaccia accuratamente ogni angolo della casa per accertarti se c'è un incendio e dove si trova. Puoi farlo per alcuni allarmi successivi, ma alla fine decidi semplicemente che non vale la pena dedicare del tempo a indagare su un altro allarme e ignorarlo.
Allo stesso modo, i professionisti della sicurezza informatica possono alla fine ignorare completamente o perdere avvisi importanti che indicano una minaccia reale o un attacco a causa dell'affaticamento degli avvisi. Poi c'è la considerazione di quali avvisi sono più importanti e devono essere prioritari.
Alcune organizzazioni utilizzano sistemi disparati per monitorare le proprie infrastrutture cloud, il che significa che ogni sistema riceve la sua giusta quota di avvisi. Questi hanno spesso effetti moltiplicativi, lasciando i professionisti della sicurezza informatica annegare in un vasto oceano di avvisi.
4 raccomandazioni per prevenire l'affaticamento da allerta
Purtroppo non è possibile eliminare i falsi allarmi. La messa a punto delle regole di monitoraggio aiuta a ridurle, ma la riduzione è nel migliore dei casi insignificante. Tuttavia, l'utilizzo di un CSPM e di altri strumenti di monitoraggio può aiutare i professionisti della sicurezza informatica a contestualizzare gli avvisi o fornire informazioni sufficienti per l'indagine fattuale e la mitigazione delle minacce.
Un'altra possibile contromisura consiste nel fornire una facile correzione con un clic in modo che il personale addetto alla sicurezza possa mitigare rapidamente e facilmente le minacce comuni o persino fornire istruzioni dettagliate su come rimediare a queste minacce.
Di seguito sono riportate alcune funzionalità da considerare in uno strumento CPSM per ridurre l'affaticamento degli avvisi per il personale di sicurezza.
1. Contestualizza gli avvisi
Un CSPM dovrebbe consentire di identificare rapidamente e ingrandire le risorse sospette per comprendere il contesto della minaccia alla luce delle prospettive di configurazione e attività associate alla gravità dell'evento.
Ciò riduce significativamente il tempo necessario per indagare su ogni avviso. Puoi identificare e ignorare rapidamente un falso avviso, intraprendere azioni immediate per mitigare la minaccia o correggere la vulnerabilità.
2. Fornire approfondimenti fruibili
Prevenire è sempre meglio che curare. Perché aspettare che arrivino gli avvisi? Immagina di vedere una cronologia di tutte le modifiche apportate al tuo ambiente multi-cloud, ognuna accompagnata da informazioni utili che ti aiutano a conoscere le potenziali minacce alla tua infrastruttura cloud e ti guidano persino nell'intraprendere azioni proattive per mitigare le potenziali minacce.
Avere una tale funzionalità consentirà inoltre alla tua organizzazione di rimanere pronta per l'audit per standard internazionali come ISO 27001, SOC 2, standard specifici del settore e territoriali come PCI DSS per il settore dei pagamenti, MAS TRM di Singapore, POJK 38 dell'Indonesia, APRA dell'Australia e il PDPA tailandese.
3. Regole personalizzate e segnalazione del livello di minaccia
Ogni organizzazione ha esigenze aziendali e di sicurezza uniche; il tuo non è diverso. Potresti avere alcune regole di sicurezza interne da monitorare. Alcune organizzazioni hanno anche risorse cloud più importanti di altre rispetto ai loro pari del settore.
Puoi ridurre l'affaticamento degli avvisi monitorando queste regole e risorse interne, impostando i flag di criticità corretti per ciascuno e assegnando loro la priorità. Ad esempio, potresti voler ricevere avvisi ogni volta che viene apportata una modifica a un bucket AWS S3 contenente dati personali identificabili (PII).
Andando oltre, un CSPM dovrebbe consentire di creare gruppi di monitoraggio in cui è possibile specificare il livello di criticità e applicarlo automaticamente ad altre risorse critiche contrassegnate nella propria organizzazione. Questo ti aiuterà a ridurre l'affaticamento da allerta.
4. Risoluzione rapida di minacce e vulnerabilità
Il tuo personale addetto alla sicurezza dovrebbe anche essere in grado di porre rimedio rapidamente e facilmente a vulnerabilità e minacce comuni e minori e ricevere istruzioni dettagliate sulla mitigazione di vulnerabilità specifiche.
Infatti, selezionando tutte le vulnerabilità comuni e minori e poi correggendole in blocco con un solo clic del mouse, ridurrai significativamente il tempo che il personale addetto alla sicurezza dedica alla correzione.
Un altro modo in cui puoi aiutare il tuo personale addetto alla sicurezza a evitare l'affaticamento degli avvisi e contemporaneamente migliorare le competenze è assicurandoti che lo strumento CSPM offra istruzioni dettagliate per correggere le vulnerabilità. Ad esempio, il tuo personale addetto alla sicurezza può scegliere di correggere vulnerabilità comuni e minori con l'opzione con un clic mentre utilizza il playbook passo passo per rimedi più complessi e imparare da questo.
Stai attento, ma non troppo
L'affaticamento degli avvisi è un vero problema che deve affrontare oggi il settore della sicurezza informatica. Non solo indebolisce le difese della tua organizzazione contro un numero crescente e una crescente sofisticazione di attacchi informatici, ma mette anche a dura prova il benessere mentale del tuo personale addetto alla sicurezza.
L'affaticamento degli avvisi ha causato numerosi esempi reali di violazioni. Molti professionisti stanno effettivamente lasciando o stanno pensando di abbandonare del tutto il settore. Ciò non è di buon auspicio per il settore della sicurezza informatica nel suo insieme, dato che l'adozione del cloud è in aumento e la necessità di tali talenti è estrema su scala globale.
Mentre dobbiamo ammettere che la stanchezza vigile non può mai essere sradicata, possiamo almeno fare del nostro meglio per ridurre al minimo il marciume, per così dire. L'introduzione e l'adozione di un buon strumento CSPM è un buon modo per farlo.
Questo problema deve essere risolto al più presto e non essere lasciato a marcire.
Attacco informatico in arrivo! Scopri cosa fare in caso di violazione dei dati e previeni future violazioni.