Ce este oboseala de alertă? 4 moduri de a-l atenua și de a preveni epuizarea
Publicat: 2022-11-14Bip, bip, ding, ding – originile oboselii alerte.
Oboseala alertă nu este un fenomen nou. Apare atunci când profesioniștii în securitate cibernetică devin desensibilizați după ce au de-a face cu un număr copleșitor de alerte, așa că încep să le ignore sau să le ignore și să aibă timpi de răspuns mai lenți. În majoritatea cazurilor de oboseală de alertă, angajații nu reușesc să răspundă la timp din cauza epuizării pe care o experimentează în urma alertelor și notificărilor.
Oboseala de alertă este considerată a fi o cauză majoră a încălcării datelor țintă din 2013, care a dus la furtul cardului de credit și a informațiilor personale a aproximativ 40 de milioane de clienți. Este o preocupare pentru multe companii și necesită o atenție serioasă. Dar cum atenuați atenuarea alertelor? Să aflăm.
O adevărată luptă pentru profesioniștii în securitate cibernetică
Termenul de oboseală de alertă a fost inventat pentru prima dată în 2004 de către Joint Commission, o organizație non-profit de acreditare a spitalelor din SUA, pentru a declara eficiența alarmei clinice ca standard pentru spitale. De atunci, a devenit popular pentru multe companii care se ocupă de alerte, inclusiv de securitate cibernetică.
Deși ignorarea mesajelor sau a notificărilor din aplicații poate să nu afecteze negativ viața de zi cu zi, ramificațiile pot fi grave pentru profesioniștii în securitate cibernetică și organizațiile acestora. Conform Raportului 2021 Evil Internet Minute Report 1 al RiskIQ, criminalitatea cibernetică costă întreprinderile 1,79 milioane de dolari la fiecare 60 de secunde.
Un sondaj din 2018, în urmă cu doar patru ani, a constatat că 27% dintre profesioniștii IT primesc zilnic peste 1 milion de alerte de securitate (întrerupeți și lăsați-le să intre), în timp ce majoritatea (67%) sunt bombardați cu 100.000 de alerte zilnic. Nici IMM-urile nu sunt ferite de potop de alerte – lovite de 4.000 de atacuri cibernetice în fiecare zi.
Și nu este de așteptat ca acest număr să scadă prea curând. Un studiu similar din același an a constatat că alertele sunt în creștere, iar personalul de securitate nu poate procesa decât în medie 12.000 de alerte pe săptămână.
Marea demisie a securității cibernetice
Nu este de mirare că profesioniștii în securitate cibernetică se confruntă cu epuizare. Chiar și cu o echipă considerabilă, gestionarea a peste 2.000 de notificări pe zi este o problemă mentală. Imaginați-vă că sunteți în modul pompier la fiecare 8 ore dintr-o zi de lucru obișnuită, uneori chiar mai mult.
Un raport recent al Panther Labs a constatat că până la 80% dintre inginerii de securitate suferă de epuizare. În plus, 45% dintre respondenții la cea de-a treia ediție a Raportului anual Voice of SecOps 2 a Deep Instinct iau în considerare să părăsească complet industria din cauza stresului. Patruzeci și șase la sută dintre aceiași respondenți au spus că cunosc cel puțin un coleg care a părăsit securitatea cibernetică în ultimul an din cauza stresului.
Ofițerii șefi de securitate a informațiilor (CISO) se epuizează și renunță la un ritm și mai alarmant. Patruzeci și nouă la sută din 1.000 de respondenți din același raport se gândesc să părăsească industria din cauza nivelului de stres în creștere.
Nu este vorba doar despre oamenii care își părăsesc locurile de muncă, ci despre daunele aduse industriei în sine. Industria pierde definitiv talentul și este puțin probabil să existe o rată echitabilă de înlocuire a acestora. Chiar dacă mai mulți oameni intră în industrie decât o părăsesc, este nevoie de timp pentru ca noii intrați să ajungă la curent.
Nu toate alertele sunt create la fel
Deci, de ce există atât de multe alerte? Instrumentele de monitorizare precum Cloud Security Posture Management (CSPM) și Security Information and Event Management (SIEM) emit alerte atunci când sunt detectate anomalii într-o infrastructură cloud. Cu toate acestea, nu toate alertele necesită acțiune sau cel puțin nu imediat. Unele alerte indică probleme minore care pot fi rezolvate ulterior sau chiar ignorate.
Apoi, există false pozitive, care reprezintă aproape jumătate (45%) din toate alertele de securitate cibernetică, potrivit unui raport publicat de Fastly în 2021. Falsele pozitive sunt alerte care indică un atac, vulnerabilitate sau risc atunci când nu există efectiv.
Gândește-te la asta ca la o alarmă falsă sau la băiatul care a strigat lup. De exemplu, fișierele legitime mai vechi cu certificate de securitate lipsă pot fi marcate ca rău intenționate.
În mod similar, poate fi emisă o alertă care indică o conectare suspectă de către un angajat dintr-o locație necunoscută atunci când echipa de securitate a informațiilor (IS) nu știe că angajatul se află acolo în vacanță.
Pentru a minimiza astfel de alerte, puteți utiliza o politică de privilegii minime și puteți partaja accesul numai la aplicații și date care nu sunt predispuse la amenințări. De asemenea, puteți utiliza un model de încredere zero și puteți restricționa complet accesul la aplicații și date critice sau predispuse la amenințări.
Raportul Fastly a mai constatat că 75% dintre organizații petrec la fel de mult timp, și uneori mai mult timp, cu fals pozitive decât pe atacuri reale. Aceste alerte false provoacă aceeași perioadă de nefuncționare ca și atacurile reale.
Problema cu falsele pozitive nu este că acestea există, ci:
- Numărul mare al acestora
- Fiecare necesită timp și efort pentru a revizui, a investiga și a verifica pentru a stabili dacă atacul, amenințarea sau vulnerabilitatea este reală.
Acestea sunt cauzele fundamentale ale oboselii alerte.
Imaginează-ți un sistem de alarmă de incendiu defect care se declanșează în mod repetat în casa ta. Prima dată când plânge, pieptănați bine fiecare colț al casei pentru a afla dacă este incendiu și unde este. Puteți face acest lucru pentru câteva alarme ulterioare, dar, în cele din urmă, decideți doar că nu merită timpul să investigați o altă alarmă și să o ignorați.
În același mod, profesioniștii în securitate cibernetică pot ignora complet sau pierde alertele importante care indică o amenințare reală sau un atac din cauza oboselii alertelor. Apoi, este luarea în considerare a alertelor care sunt mai importante și trebuie să fie prioritizate.
Unele organizații folosesc sisteme disparate pentru a-și monitoriza infrastructurile cloud, ceea ce înseamnă că fiecare sistem primește cota echitabilă de alerte. Acestea au adesea efecte multiplicative, lăsând profesioniștii în securitate cibernetică înecându-se într-un ocean vast de alerte.
4 recomandări pentru a preveni oboseala alertă
Nu puteți eradica alertele false, din păcate. Reglarea fină a regulilor de monitorizare ajută la reducerea acestora, dar reducerea este, în cel mai bun caz, nesemnificativă. Cu toate acestea, utilizarea unui CSPM și a altor instrumente de monitorizare poate ajuta profesioniștii în securitate cibernetică să contextualizeze alertele sau să furnizeze suficiente informații pentru investigarea faptică și atenuarea amenințărilor.
O altă măsură posibilă este de a oferi o remediere ușoară cu un singur clic, astfel încât personalul de securitate să poată atenua rapid și ușor amenințările comune sau chiar să ofere instrucțiuni pas cu pas despre cum să remedieze aceste amenințări.
Mai jos sunt câteva caracteristici de luat în considerare într-un instrument CPSM pentru a ajuta la reducerea oboselii de alertă pentru personalul de securitate.
1. Contextualizați alertele
Un CSPM ar trebui să vă permită să identificați și să măriți rapid activele suspecte pentru a înțelege contextul amenințării în lumina perspectivelor de configurare și activitate asociate cu gravitatea evenimentelor.
Acest lucru reduce semnificativ timpul necesar pentru investigarea fiecărei alerte. Puteți identifica și respinge rapid o alertă falsă, puteți lua măsuri imediate pentru a atenua amenințarea sau puteți remedia vulnerabilitatea.
2. Oferiți informații utile
Prevenirea este întotdeauna mai bună decât vindecarea. De ce să așteptați să vină alertele? Imaginați-vă că vedeți un istoric al tuturor modificărilor aduse mediului dvs. multi-cloud, fiecare însoțită de o perspectivă acționabilă care vă ajută să cunoașteți potențialele amenințări la adresa infrastructurii dvs. de cloud și chiar vă îndrumă să luați măsuri proactive pentru a atenua potențialele amenințări.
Având o astfel de caracteristică, organizația dvs. va permite, de asemenea, să rămână pregătită pentru audit pentru standarde internaționale, cum ar fi ISO 27001, SOC 2, standarde specifice industriei și teritoriale, cum ar fi PCI DSS pentru industria plăților, MAS TRM din Singapore, POJK 38 din Indonezia, APRA din Australia. , și PDPA thailandez.
3. Reguli personalizate și semnalizarea nivelului de amenințare
Fiecare organizație are nevoi unice de securitate și afaceri; a ta nu este diferită. Este posibil să aveți câteva reguli de securitate interne de monitorizat. Unele organizații au, de asemenea, active cloud mai importante decât altele în comparație cu colegii lor din industrie.
Puteți reduce oboseala alertelor prin monitorizarea acestor reguli și active interne, setând semnalizatoarele de criticitate potrivite pentru fiecare și prioritzându-le. De exemplu, este posibil să doriți să primiți alerte ori de câte ori există vreo modificare a unui compartiment AWS S3 care conține date cu informații personale de identificare (PII).
Mergând mai departe, un CSPM ar trebui să vă permită să creați grupuri de monitorizare unde puteți specifica nivelul de criticitate și îl puteți aplica automat altor active critice semnalate din organizația dvs. Acest lucru vă va ajuta să reduceți oboseala alertă.
4. Remedierea rapidă a amenințărilor și vulnerabilităților
De asemenea, personalul dumneavoastră de securitate ar trebui să poată remedia rapid și ușor vulnerabilitățile și amenințările comune și minore și să primească instrucțiuni pas cu pas pentru atenuarea unor vulnerabilități specifice.
De fapt, selectarea tuturor vulnerabilităților comune și minore și apoi remedierea lor în bloc cu un singur clic al mouse-ului va reduce semnificativ timpul petrecut de personalul de securitate pentru remediere.
Un alt mod în care vă puteți ajuta personalul de securitate să evite oboseala alertă și abilitățile în același timp este asigurându-vă că instrumentul CSPM oferă instrucțiuni pas cu pas pentru remedierea vulnerabilităților. De exemplu, personalul de securitate poate alege să remedieze vulnerabilitățile comune și minore cu opțiunea cu un singur clic în timp ce folosește manualul pas cu pas pentru remedieri mai complexe și să învețe din asta.
Fii atent, dar nu prea mult
Oboseala alertă este o problemă reală cu care se confruntă industria securității cibernetice astăzi. Nu numai că slăbește apărarea organizației dumneavoastră împotriva unui număr tot mai mare și a sofisticarii tot mai mari a atacurilor cibernetice, dar are și un impact grav asupra bunăstării mintale a personalului dumneavoastră de securitate.
Oboseala alertă a provocat numeroase exemple de încălcări în viața reală. Mulți profesioniști pleacă de fapt sau se gândesc să părăsească cu totul industria. Acest lucru nu este de bun augur pentru industria securității cibernetice în ansamblu, având în vedere că adoptarea cloud-ului este în creștere și nevoia de astfel de talente este cumplită la scară globală.
Deși trebuie să admitem că oboseala alertă nu poate fi niciodată eradicată, putem cel puțin să facem tot posibilul pentru a minimiza putregaiul, ca să spunem așa. Introducerea și adoptarea unui instrument bun CSPM este o modalitate bună de a face exact asta.
Această problemă trebuie rezolvată cât mai curând posibil și nu trebuie lăsată să se deterioreze.
Sosire atac cibernetic! Aflați ce să faceți atunci când aveți o încălcare a datelor și preveniți încălcările viitoare.