O que é fadiga de alerta? 4 maneiras de mitigar e prevenir o esgotamento
Publicados: 2022-11-14Bip, bip, ding, ding – as origens da fadiga de alerta.
A fadiga de alerta não é um fenômeno novo. Ocorre quando os profissionais de segurança cibernética ficam insensíveis depois de lidar com um grande número de alertas, então eles começam a ignorá-los ou ignorá-los e têm tempos de resposta mais lentos. Na maioria dos casos de fadiga de alerta, os funcionários não respondem a tempo devido ao esgotamento que experimentam com alertas e notificações.
Acredita-se que a fadiga de alerta seja uma das principais causas da violação de dados da Target em 2013, que levou ao roubo do cartão de crédito e das informações pessoais de cerca de 40 milhões de clientes. É uma preocupação para muitas empresas e precisa de muita atenção. Mas como você atenua o alerta? Vamos descobrir.
Uma verdadeira luta para os profissionais de segurança cibernética
O termo fadiga de alerta foi cunhado pela primeira vez em 2004 pela The Joint Commission, uma organização de acreditação hospitalar sem fins lucrativos com sede nos EUA, para declarar a eficácia do alarme clínico como um padrão para hospitais. Desde então, tornou-se popular para muitas empresas que lidam com alertas, incluindo segurança cibernética.
Embora ignorar mensagens ou notificações de aplicativos não afete negativamente sua vida diária, as ramificações podem ser graves para os profissionais de segurança cibernética e suas organizações. De acordo com o Relatório 1 do Minuto da Internet Maligna de 2021 da RiskIQ, o cibercrime custa às empresas US$ 1,79 milhão a cada 60 segundos.
Uma pesquisa de 2018, há apenas quatro anos, constatou que 27% dos profissionais de TI recebem mais de 1 milhão de alertas de segurança diariamente (pause e deixe-os absorver), enquanto a maioria (67%) é bombardeada com 100.000 alertas diariamente. As PMEs também não são poupadas do dilúvio de alertas – atingidas por 4.000 ataques cibernéticos todos os dias.
E esse número não deve cair tão cedo. Um estudo relacionado do mesmo ano descobriu que os alertas estão aumentando e o pessoal de segurança pode processar apenas uma média de 12.000 alertas por semana.
A grande renúncia da cibersegurança
Não é de surpreender que os profissionais de segurança cibernética estejam enfrentando o esgotamento. Mesmo com uma equipe considerável, lidar com mais de 2.000 notificações por dia é um esforço mental. Imagine estar no modo bombeiro a cada 8 horas de um dia de trabalho típico, às vezes até mais.
Um relatório recente da Panther Labs descobriu que até 80% dos engenheiros de segurança sofrem de esgotamento. Além disso, 45% dos entrevistados da terceira edição da Deep Instinct do relatório anual Voice of SecOps 2 consideram deixar o setor completamente devido ao estresse. Quarenta e seis por cento dos mesmos entrevistados disseram que conhecem pelo menos um colega que deixou a segurança cibernética no ano passado devido ao estresse.
Os diretores de segurança da informação (CISOs) estão esgotando e demitindo-se em um ritmo ainda mais alarmante. Quarenta e nove por cento dos 1.000 entrevistados do mesmo relatório estão pensando em deixar o setor devido ao aumento dos níveis de estresse.
Não se trata apenas de pessoas deixando seus empregos, mas dos danos à própria indústria. A indústria está perdendo talentos para sempre e é improvável que haja uma taxa de substituição equitativa para eles. Embora mais pessoas estejam entrando no setor do que saindo, leva tempo para que os novos entrantes se atualizem.
Nem todos os alertas são criados iguais
Então, por que há tantos alertas? Ferramentas de monitoramento como Cloud Security Posture Management (CSPM) e Security Information and Event Management (SIEM) emitem alertas quando anomalias são detectadas em uma infraestrutura de nuvem. No entanto, nem todos os alertas requerem ação, ou pelo menos não imediatamente. Alguns alertas indicam pequenos problemas que podem ser corrigidos posteriormente ou até mesmo ignorados.
Depois, há falsos positivos, que representam quase metade (45%) de todos os alertas de segurança cibernética, de acordo com um relatório publicado pela Fastly em 2021. Falsos positivos são alertas que indicam um ataque, vulnerabilidade ou risco quando nenhum realmente existe.
Pense nisso como um alarme falso ou o menino que gritou lobo. Por exemplo, arquivos legítimos mais antigos com certificados de segurança ausentes podem ser sinalizados como maliciosos.
Da mesma forma, pode ser emitido um alerta indicando um login suspeito de um funcionário de um local desconhecido quando a equipe de segurança da informação (SI) não souber que o funcionário está de férias.
Para minimizar esses alertas, você pode usar uma política de privilégio mínimo e compartilhar apenas o acesso a aplicativos e dados não propensos a ameaças. Você também pode usar um modelo de confiança zero e restringir completamente o acesso a aplicativos e dados críticos ou propensos a ameaças.
O relatório Fastly também descobriu que 75% das organizações gastam tanto tempo, e às vezes mais tempo, em falsos positivos do que em ataques reais. Esses falsos alertas causam a mesma quantidade de tempo de inatividade que os ataques reais.
O problema com falsos positivos não é que eles existam, mas:
- O grande número deles
- Cada um requer tempo e esforço para revisar, investigar e verificar se o ataque, ameaça ou vulnerabilidade é real.
Estas são as causas principais da fadiga de alerta.
Imagine um sistema de alarme de incêndio com defeito disparando repetidamente em sua casa. Na primeira vez que ele geme, você vasculha minuciosamente cada canto da casa para verificar se há um incêndio e onde está. Você pode fazer isso para alguns alarmes subsequentes, mas, eventualmente, apenas decida que não vale a pena investigar outro alarme e ignorá-lo.
Da mesma forma, os profissionais de segurança cibernética podem eventualmente ignorar ou perder alertas importantes que indicam uma ameaça ou ataque real devido à fadiga de alerta. Depois, há a consideração de quais alertas são mais importantes e precisam ser priorizados.
Algumas organizações usam sistemas diferentes para monitorar suas infraestruturas de nuvem, o que significa que cada sistema recebe seu quinhão de alertas. Muitas vezes, têm efeitos multiplicativos, deixando os profissionais de cibersegurança afogados em um vasto oceano de alertas.
4 recomendações para prevenir a fadiga de alerta
Você não pode erradicar alertas falsos, infelizmente. O ajuste fino das regras de monitoramento ajuda a reduzi-las, mas a redução é, na melhor das hipóteses, insignificante. No entanto, usar um CSPM e outras ferramentas de monitoramento pode ajudar os profissionais de segurança cibernética a contextualizar os alertas ou fornecer informações suficientes para investigação factual e mitigação de ameaças.
Outra contramedida possível é fornecer correção fácil com um clique para que a equipe de segurança possa mitigar ameaças comuns de maneira rápida e fácil ou até mesmo fornecer instruções passo a passo sobre como corrigir essas ameaças.
Abaixo estão alguns recursos a serem considerados em uma ferramenta CPSM para ajudar a reduzir a fadiga de alerta para sua equipe de segurança.
1. Contextualizar alertas
Um CSPM deve permitir que você identifique e amplie rapidamente os ativos suspeitos para entender o contexto da ameaça à luz das perspectivas de configuração e atividade associadas à gravidade do evento.
Isso reduz significativamente o tempo necessário para investigar cada alerta. Você pode identificar e descartar rapidamente um alerta falso, tomar medidas imediatas para mitigar a ameaça ou corrigir a vulnerabilidade.
2. Forneça insights acionáveis
Prevenir é sempre melhor do que remediar. Por que esperar que os alertas cheguem? Imagine ver um histórico de todas as alterações feitas em seu ambiente multinuvem, cada uma acompanhada por um insight acionável que o ajuda a conhecer ameaças potenciais à sua infraestrutura de nuvem e até mesmo orienta você a tomar ações proativas para mitigar as ameaças potenciais.
Ter esse recurso também permitirá que sua organização esteja pronta para auditoria de padrões internacionais, como ISO 27001, SOC 2, padrões territoriais e específicos do setor, como PCI DSS para o setor de pagamentos, MAS TRM de Cingapura, POJK 38 da Indonésia, APRA da Austrália , e o PDPA tailandês.
3. Regras personalizadas e sinalização de nível de ameaça
Cada organização tem necessidades únicas de segurança e negócios; o seu não é diferente. Você pode ter algumas regras internas de segurança para monitorar. Algumas organizações também possuem ativos de nuvem mais importantes do que outras em comparação com seus pares do setor.
Você pode reduzir a fadiga de alerta monitorando essas regras e ativos internos, definindo os sinalizadores de criticidade corretos para cada um e priorizando-os. Por exemplo, você pode querer receber alertas sempre que houver qualquer alteração em um bucket S3 da AWS contendo dados de informações de identificação pessoal (PII).
Indo além, um CSPM deve permitir que você crie grupos de monitoramento onde você pode especificar o nível de criticidade e aplicá-lo automaticamente a outros ativos críticos sinalizados em sua organização. Isso o ajudará a reduzir a fadiga de alerta.
4. Correção rápida de ameaças e vulnerabilidades
Sua equipe de segurança também deve ser capaz de corrigir vulnerabilidades e ameaças comuns e menores de forma rápida e fácil e receber instruções passo a passo sobre como atenuar vulnerabilidades específicas.
Na verdade, selecionar todas as vulnerabilidades comuns e menores e corrigi-las em massa com um único clique do mouse reduzirá significativamente o tempo que sua equipe de segurança gasta na correção.
Outra maneira de ajudar sua equipe de segurança a evitar a fadiga de alerta e melhorar as habilidades simultaneamente é garantir que a ferramenta CSPM ofereça instruções passo a passo para corrigir vulnerabilidades. Por exemplo, sua equipe de segurança pode optar por corrigir vulnerabilidades comuns e secundárias com a opção de um clique enquanto usa o manual passo a passo para correções mais complexas e aprender com isso.
Fique alerta, mas não muito
A fadiga de alerta é um problema real enfrentado pelo setor de segurança cibernética atualmente. Isso não apenas enfraquece as defesas de sua organização contra um número crescente e crescente sofisticação de ataques cibernéticos, mas também afeta gravemente o bem-estar mental de sua equipe de segurança.
A fadiga de alerta causou inúmeros exemplos de violações na vida real. Muitos profissionais estão realmente saindo ou pensando em deixar o setor completamente. Isso não é um bom presságio para o setor de segurança cibernética como um todo, uma vez que a adoção da nuvem está aumentando e a necessidade de tais talentos é extrema em escala global.
Embora tenhamos que admitir que a fadiga alerta nunca pode ser erradicada, podemos pelo menos fazer o possível para minimizar a podridão, por assim dizer. Apresentar e adotar uma boa ferramenta CSPM é uma boa maneira de fazer exatamente isso.
Este problema precisa ser resolvido o mais rápido possível e não ser deixado para apodrecer.
Ataque cibernético chegando! Descubra o que fazer quando houver uma violação de dados e evite futuras violações.