El concepto de "fatiga de alerta" describe un fenómeno por el cual las personas, especialmente aquellas en entornos laborales intensos, se vuelven insensibles a las alertas de seguridad. Por esta razón, es casi seguro que eventualmente se ignorará una alerta crítica, poniendo en riesgo al negocio.
Los humanos filtran intuitivamente el "ruido". Estamos programados para notar lo inusual. Cuando las alertas o alarmas son constantes, se dificulta sentir que alguna de ellas sea particularmente importante. Es entonces cuando se perderán las alertas críticas.
Aunque no es exclusivo de la ciberseguridad, la fatiga de alerta se ha convertido en una preocupación mayor en este campo en los últimos años.
Una investigación de Forrester publicada en 2020 encontró que los equipos de seguridad recibían un promedio de 11,000 alertas de seguridad diarias, un volumen que no estaban equipados para manejar. Por esta razón, el 28% de las alertas nunca se abordan.
Una encuesta de IDC de 2021 llegó a una conclusión similar, encontrando que los analistas ignoraban entre el 23% y el 30% de las alertas de seguridad. Las organizaciones de tamaño medio con 1,500 a 5,000 empleados tuvieron un desempeño peor que las más pequeñas o más grandes.
Otro estudio de marzo de 2023, realizado por IBM, encuestó a equipos de centros de operaciones de seguridad (SOC) para investigar qué los ha estado retrasando. Las respuestas revelaron que, en un día laboral típico, los miembros del equipo de SOC solo revisan el 49% de las alertas que deberían.
Estos datos también están relacionados con las principales quejas de los profesionales de ciberseguridad respecto a la satisfacción laboral. Según el Estudio de la Fuerza Laboral en Ciberseguridad ISC2 de 2023, el 31% de los profesionales siente que tienen demasiadas tareas, el 30% dice que están sobrecargados de trabajo y el 25% siente que sus equipos tienen recursos inadecuados para proteger la organización.
Cuando los analistas se apresuran para superar una lista interminable de alertas o eventos, es más fácil cometer errores o ignorar completamente algo importante.
¿Qué es una alerta de ciberseguridad?
La naturaleza y el volumen de las alertas de ciberseguridad pueden variar significativamente, siendo una de las razones por las que la fatiga de alerta se ha convertido en un problema en el sector.
Actividades que pueden generar alertas de seguridad incluyen:
- Red: picos de tráfico de datos, incluyendo web, correo electrónico y otros. Las empresas pueden estar monitoreando esta actividad para detectar exfiltración de datos, ataques o actividades sospechosas, desde Denegación de Servicio Distribuido hasta escaneo de vulnerabilidades.
- Aplicación: Demasiados intentos de inicio de sesión, actividad inusual de ciertos usuarios o alertas de Firewalls de Aplicaciones Web.
- Nube: la infraestructura de computación en nube está respaldada por una solución de Gestión de Postura de Seguridad en la nube, que notifica a los equipos de seguridad sobre cambios u otro comportamiento sospechoso.
- Interrupciones del servicio: los equipos de seguridad necesitan saber cuándo los servicios se vuelven inaccesibles. Esto podría ser un ciberataque u otro evento que requiera su atención (hardware fallido o conectividad).
- Puntos finales y malware. Los escáneres de malware o las soluciones de Detección y Respuesta Extendida (XDR) suelen producir un alto número de alertas sobre archivos maliciosos o comportamientos detectados en dispositivos corporativos. Esto puede incluir alertas de ransomware.
Curiosamente, cada clase de alertas puede ser producida por diferentes soluciones de seguridad o activos, pero ciertas tecnologías abarcan múltiples activos. Por ejemplo, las alertas de actividad de red a menudo son generadas por firewalls o sistemas de prevención de intrusiones, mientras que el software de Prevención de Pérdida de Datos (DLP) puede estar presente en varias capas (punto final, red o nube).
A medida que las empresas implementan más soluciones para buscar una mejor visibilidad en su infraestructura de TI, los equipos de seguridad se ven cada vez más abrumados por la cantidad de alertas que todos generan, y depende de ellos correlacionar diferentes alertas y sus fuentes en un entendimiento cohesivo de lo que está sucediendo.
Las soluciones de gestión de información y eventos de seguridad (SIEM) pueden reunir todas estas alertas en un solo lugar. Ayuda a organizar y consolidar todas las alertas, pero no necesariamente resuelve el problema. Integrar cada alerta única en el SIEM sin considerar su gravedad o calidad solo les dará más visibilidad y empeorará el problema.
¿Qué causa la fatiga de alerta?
Si todas las alertas fueran serias y valiosas, ignorar el 30% de ellas seguramente causaría daños inmediatos. La mayoría de los negocios no caen víctimas de criminales o intrusos todos los días, incluso si se ignoraran cientos de alertas.
Aunque es bueno que la mayoría de los negocios logren proteger sus operaciones principales todos los días, el hecho de que se puedan ignorar tantas alertas indica que hay mucho ruido en estas advertencias. Si una organización eventualmente se ve involucrada en un incidente de ciberseguridad, probablemente será porque se perdieron solo unos pocos eventos críticos.
Cuando los sistemas de seguridad advierten repetidamente sobre eventos que no representan ningún riesgo concreto, pronto se hace evidente que prestar atención es una pérdida de tiempo. En algunos lugares, esto puede observarse con las alarmas de automóviles: se activan por error tan a menudo que la gente raramente recuerda que están destinadas a prevenir robos.
Las alertas contribuirán a la fatiga cuando contengan:
- Falsos positivos: Estos son completamente incorrectos. Podrían ocurrir debido a malas configuraciones o firmas de detección deficientes (como en sistemas antivirus o de detección de intrusiones). Este es un problema muy serio y rápidamente creará desconfianza hacia cualquier alerta futura de la misma fuente.
- Eventos no amenazantes: Algunas herramientas de seguridad generan continuamente informes sobre operaciones normales, o son incapaces de señalar eventos más críticos para su priorización.
- Advertencias duplicadas: Un solo evento puede provocar múltiples alertas a la vez o con el tiempo. Un analista podría ignorar una alerta como duplicada o como relacionada con un incidente que ya está siendo manejado.
- Información insuficiente: Algunas alertas simplemente carecen de contexto o información relevante. Incluso cuando podría ser posible reunir todo utilizando datos de otros eventos o registros, estos podrían haber sido asignados a otra persona o equipo, o los procesos establecidos podrían dificultar la obtención del contexto necesario.
Los riesgos de la fatiga de alerta
Cuando los miembros de un equipo de seguridad comienzan a sufrir de fatiga de alerta, las consecuencias se sienten primero por el equipo mismo.
La fatiga de alerta puede afectar la moral del equipo, llevando a una alta rotación o síndrome de burnout. Si la empresa responde contratando más profesionales, la alta carga de trabajo en alertas innecesarias, a pesar de ser ineficaz, puede ser muy costosa. No hay garantía de que esto resuelva completamente el problema, ya que los analistas todavía requerirán demasiado tiempo para procesar cada alerta de baja calidad.
Los profesionales pueden usar su ingenio para adaptar y filtrar el ruido hasta cierto punto. Cuando esto no es posible, simplemente podrían no tener ninguna visibilidad sobre las amenazas más apremiantes a las que está expuesto el negocio.
Eventualmente, el equipo probablemente perderá un incidente prevenible o fallará en detener rápidamente un ataque en curso.
Por lo tanto, la fatiga de alerta socava el trabajo del equipo de seguridad. Esto puede llevar a una violación de ciberseguridad o retrasar la detección y respuesta a un incidente, aumentando sus costos de recuperación.
Las violaciones de ciberseguridad exponen a la empresa a daños reputacionales, costos legales y pérdida de ingresos debido a interrupciones (como las causadas por ransomware) o ventas perdidas.
Algunos ciberataques causan daños financieros directos al impactar pagos, servicios o productos.
Cómo hacer que las alertas sean relevantes y reducir la fatiga
Toda plataforma de seguridad generará alertas de algún tipo. Sin embargo, se necesita cuidado para evitar invertir en soluciones que puedan causar fatiga de alerta o empeorar la situación de un equipo que ya está lidiando con este problema.
Para asegurar que las alertas sean accionables y relevantes, las herramientas deben ser capaces de hacer lo siguiente:
- Priorización: Las alertas deben ser categorizadas según su gravedad para que los problemas más serios puedan resolverse primero. Una respuesta oportuna puede ser la diferencia entre prevenir un incidente o tener que recuperarse de una intrusión.
- Automatización: Si las respuestas pueden ser activadas automáticamente, deberían serlo. Si la respuesta puede ser automatizada (reiniciar una contraseña, reiniciar un servicio, reaprovisionar un recurso...), mejor aún.
- Correlación, perspectivas y resúmenes: Las alertas relacionadas deberían ser automáticamente agrupadas o convertidas en una perspectiva que sea más valiosa que las advertencias sobre eventos aislados.
Axur construye sus soluciones para ser inteligentes y resolver problemas sin crear ruido para los equipos de seguridad. Nuestra Plataforma de Ciberseguridad Externa gestiona el 86% de sus eventos de detección sin intervención manual. Mientras tanto, la interfaz DeepChat para nuestro Monitoreo de la Deep & Dark Web utiliza IA Generativa para producir un resumen conciso de amenazas potenciales, reduciendo la necesidad de revisar manualmente cada detección.
Polaris, nuestra plataforma de inteligencia de amenazas de próxima generación, fue construida para permitir que equipos de todos los tamaños aprovechen la inteligencia de amenazas y la Inteligencia Artificial en la mayoría de las tareas. Fue construida desde cero para producir insights accionables y resúmenes de amenazas a medida. Por supuesto, también puede reconocer eventos críticos y priorizarlos en consecuencia.
Con perspectivas poderosas a su disposición, los analistas pueden tomar decisiones basadas en datos y ajustar otros sensores y herramientas con la última información sobre cada amenaza relevante para el negocio. Esto lleva a mejores flujos de trabajo y a una cola más pequeña pero más precisa de alertas que requieren atención humana.
Expertos en crear contenido relevante de ciberseguridad externa para hacer de internet un lugar más seguro.