Gli avvisi sono una parte importante della protezione dagli attacchi informatici. Sfortunatamente, non tutti gli avvisi di sicurezza sono utili. Il software di sicurezza è noto per fornire avvisi non necessari e falsi positivi. Alla fine, questo può causare affaticamento vigile.
L'affaticamento degli avvisi può trasformare il personale IT altrimenti attento in persone che non prestano davvero attenzione. Questo è ovviamente l'ideale per qualsiasi hacker che tenta di andare dove non dovrebbe.
Allora, cos'è esattamente la stanchezza vigile e come puoi prevenirla?
Che cos'è l'affaticamento degli avvisi?
L'affaticamento degli avvisi è ciò che accade quando il personale continua a ricevere avvisi di sicurezza che non significano necessariamente nulla.
È una conseguenza naturale di software di sicurezza come antivirus, firewall e Security Information and Event Management (SIEM). Questo tipo di software è noto per essere eccessivamente sensibile.
Quando al personale di sicurezza vengono dati avvisi privi di significato, questi devono comunque essere indagati anche se il personale non crede necessariamente che ci sia una minaccia reale.
Questo alla fine si traduce in squadre che prestano meno attenzione e ignorano i problemi che contano. Un hacker può quindi attivare avvisi e non verrà intrapresa alcuna azione.
Imparentato: Come identificare e segnalare incidenti di sicurezza
Perché si verifica l'affaticamento degli avvisi?
L'affaticamento da allerta è un evento naturale. Indipendentemente da quanto bene sia formato un team di sicurezza, alla fine diventeranno desensibilizzati alle informazioni che non richiedono loro di agire.
È in parte causato dal fatto che il software di sicurezza spesso non fa distinzione tra avvisi di diversa importanza. Se un team di sicurezza riceve centinaia di avvisi al giorno e solo una piccola percentuale di essi merita effettivamente attenzione, è facile pensare che si stia sprecando tempo a investigare.
Vale la pena notare che anche lo stress e lo scarso equilibrio tra lavoro e vita privata possono contribuire ad avvertire la stanchezza. È particolarmente probabile che il personale di sicurezza riscontri questi problemi.
Quanti avvisi di sicurezza richiedono effettivamente attenzione?
Uno studio del 2021 mostra che fino alla metà di tutti gli avvisi di sicurezza sono falsi positivi. Ciò è particolarmente problematico se si considera il fatto che un singolo avviso può facilmente richiedere da 10 a 30 minuti per essere analizzato.
Ciò significa che i falsi allarmi non causano solo affaticamento degli allarmi; stanno anche facendo sì che i dipendenti trascorrano gran parte della loro giornata essenzialmente senza fare nulla.
Perché ci sono così tanti falsi positivi?
Il software di sicurezza di solito viene fornito con regole generiche su ciò che costituisce una minaccia. Ciò gli consente di essere efficace in qualsiasi ambiente. Il problema con questo approccio, tuttavia, è che fa sì che anche un comportamento innocente venga segnalato come sospetto.
Gli editori di software traggono vantaggio dall'avere troppi avvisi invece di averne troppo pochi. Il primo fa sembrare il software potente, mentre il secondo lo disinstalla se non riesce a prevenire una minaccia reale.
Quali sono le conseguenze dell'affaticamento da allerta?
L'affaticamento degli avvisi è un grosso problema anche se un'azienda non deve affrontare alcuna minaccia. Fa sì che i team di sicurezza non si preoccupino del loro lavoro e questo ha effetti prevedibili sia sul turnover dei dipendenti che sulla produttività.
Allo stesso modo, l'affaticamento degli avvisi è un rischio per la sicurezza. Tale software viene utilizzato perché quando non fornisce falsi positivi, fornisce avvisi sulle minacce attive.
Se questi avvisi passano inosservati, le minacce attive potrebbero non essere interrotte. Ovviamente non importa quante minacce rileva un software se nessuno agisce su di esse.
Come prevenire l'affaticamento degli avvisi
L'affaticamento degli avvisi è particolarmente comune nelle grandi organizzazioni, ma può colpire qualsiasi team di sicurezza che risponde a troppe minacce percepite. Ecco otto modi per prevenirlo.
Riduci la tua superficie di attacco
Una superficie d'attacco è costituito da tutti i diversi componenti hardware e software collegati alla rete. Più è ampio, maggiori saranno i potenziali problemi che un team dovrà indagare. Molti avvisi possono quindi essere evitati semplicemente disconnettendo i dispositivi dalla rete.
Ottimizza il software di sicurezza
Controlla quali avvisi di sicurezza vengono inviati. Se problemi minori causano avvisi non necessari, modificare le impostazioni del software per evitare che ciò accada. Dovrebbe essere possibile per i membri del personale commettere errori innocenti senza che il team di sicurezza venga allertato.
Riduci i falsi positivi
Tutti i software di sicurezza producono falsi positivi. Ogni volta che si verifica un falso positivo, è necessario annotare il motivo e adottare misure per evitare che si ripeta.
Ad esempio, se un determinato file continua a generare un avviso, quel file potrebbe essere inserito nella whitelist.
Dai la priorità agli avvisi in base alla gravità
Ove possibile, gli avvisi dovrebbero avere la priorità in base al potenziale danno che possono causare. Ad esempio, un potenziale attacco di forza bruta dovrebbe causare un avviso di priorità più alta rispetto a un singolo tentativo di password errata.
Gli avvisi dovrebbero essere classificati anche a seconda che provengano da indirizzi IP interni o esterni.
Aggiungi informazioni agli avvisi
Tutti gli avvisi di sicurezza dovrebbero fornire informazioni dettagliate su cosa li ha causati. Ciò impedisce una situazione in cui due avvisi di diversi livelli di priorità appaiano identici. Ad esempio, invece di un avviso che dice che un utente non è riuscito ad accedere, dovrebbe essere spiegato il motivo di tale errore.
Indagine sugli avvisi di suddivisione
L'affaticamento da allerta è causato principalmente dalla ripetizione. La responsabilità di indagare sugli avvisi dovrebbe quindi essere suddivisa equamente tra un team di sicurezza. Se il team di sicurezza non è abbastanza grande per farlo, il problema può essere evitato solo assumendo più persone.
Automatizza dove possibile
Molti aspetti dell'indagine sugli avvisi possono essere automatizzati. Guarda le attività svolte dal team di sicurezza e automatizza dove possibile. Ciò impedisce la ripetizione e dovrebbe ridurre il numero di passaggi necessari per indagare su ciascun avviso.
Ottimizza il flusso di lavoro
Esamina il modo in cui gli avvisi vengono attualmente esaminati e trova modi per ottimizzare il flusso di lavoro.
Le migliori pratiche dovrebbero essere scritte ove possibile. Ciò impedisce a persone diverse di tentare di risolvere lo stesso avviso in modi diversi.
Tutte le organizzazioni dovrebbero mirare a prevenire l'affaticamento da allerta
L'affaticamento degli allerta è una seria minaccia per qualsiasi organizzazione. Trasforma un team di sicurezza altrimenti efficace in uno staff facile da superare per gli hacker.
La prevenzione dell'affaticamento degli avvisi richiede l'attenzione sia dei membri del team di sicurezza che dei titolari delle attività. Se il software e le procedure di sicurezza sono progettati male, gli stessi team di sicurezza avranno poca capacità di prevenirlo.
Le violazioni dei dati e le esposizioni sono in aumento negli Stati Uniti. Quindi, in che modo le aziende cercano di mantenere private le tue informazioni? E come possono migliorare?
Leggi Avanti
- Sicurezza
- Suggerimenti per la sicurezza
- Rischi per la sicurezza
- Sicurezza in linea
- Sicurezza informatica
Elliot è uno scrittore di tecnologia freelance. Scrive principalmente di fintech e cybersecurity.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!
Clicca qui per iscriverti
