El concepto de "fatiga de alerta" describe un fenómeno por el cual las personas, especialmente aquellas en entornos laborales intensos, se vuelven insensibles a las alertas de seguridad. Por esta razón, es casi seguro que eventualmente se ignorará una alerta crítica, poniendo en riesgo al negocio.
Los humanos filtran intuitivamente el "ruido". Estamos programados para notar lo inusual. Cuando las alertas o alarmas son constantes, se dificulta sentir que alguna de ellas sea particularmente importante. Es entonces cuando se perderán las alertas críticas.
Aunque no es exclusivo de la ciberseguridad, la fatiga de alerta se ha convertido en una preocupación mayor en este campo en los últimos años.
Una investigación de Forrester publicada en 2020 encontró que los equipos de seguridad recibían un promedio de 11,000 alertas de seguridad diarias, un volumen que no estaban equipados para manejar. Por esta razón, el 28% de las alertas nunca se abordan.
Una encuesta de IDC de 2021 llegó a una conclusión similar, encontrando que los analistas ignoraban entre el 23% y el 30% de las alertas de seguridad. Las organizaciones de tamaño medio con 1,500 a 5,000 empleados tuvieron un desempeño peor que las más pequeñas o más grandes.
Otro estudio de marzo de 2023, realizado por IBM, encuestó a equipos de centros de operaciones de seguridad (SOC) para investigar qué los ha estado retrasando. Las respuestas revelaron que, en un día laboral típico, los miembros del equipo de SOC solo revisan el 49% de las alertas que deberían.
Estos datos también están relacionados con las principales quejas de los profesionales de ciberseguridad respecto a la satisfacción laboral. Según el Estudio de la Fuerza Laboral en Ciberseguridad ISC2 de 2023, el 31% de los profesionales siente que tienen demasiadas tareas, el 30% dice que están sobrecargados de trabajo y el 25% siente que sus equipos tienen recursos inadecuados para proteger la organización.
Cuando los analistas se apresuran para superar una lista interminable de alertas o eventos, es más fácil cometer errores o ignorar completamente algo importante.
La naturaleza y el volumen de las alertas de ciberseguridad pueden variar significativamente, siendo una de las razones por las que la fatiga de alerta se ha convertido en un problema en el sector.
Actividades que pueden generar alertas de seguridad incluyen:
Curiosamente, cada clase de alertas puede ser producida por diferentes soluciones de seguridad o activos, pero ciertas tecnologías abarcan múltiples activos. Por ejemplo, las alertas de actividad de red a menudo son generadas por firewalls o sistemas de prevención de intrusiones, mientras que el software de Prevención de Pérdida de Datos (DLP) puede estar presente en varias capas (punto final, red o nube).
A medida que las empresas implementan más soluciones para buscar una mejor visibilidad en su infraestructura de TI, los equipos de seguridad se ven cada vez más abrumados por la cantidad de alertas que todos generan, y depende de ellos correlacionar diferentes alertas y sus fuentes en un entendimiento cohesivo de lo que está sucediendo.
Las soluciones de gestión de información y eventos de seguridad (SIEM) pueden reunir todas estas alertas en un solo lugar. Ayuda a organizar y consolidar todas las alertas, pero no necesariamente resuelve el problema. Integrar cada alerta única en el SIEM sin considerar su gravedad o calidad solo les dará más visibilidad y empeorará el problema.
Si todas las alertas fueran serias y valiosas, ignorar el 30% de ellas seguramente causaría daños inmediatos. La mayoría de los negocios no caen víctimas de criminales o intrusos todos los días, incluso si se ignoraran cientos de alertas.
Aunque es bueno que la mayoría de los negocios logren proteger sus operaciones principales todos los días, el hecho de que se puedan ignorar tantas alertas indica que hay mucho ruido en estas advertencias. Si una organización eventualmente se ve involucrada en un incidente de ciberseguridad, probablemente será porque se perdieron solo unos pocos eventos críticos.
Cuando los sistemas de seguridad advierten repetidamente sobre eventos que no representan ningún riesgo concreto, pronto se hace evidente que prestar atención es una pérdida de tiempo. En algunos lugares, esto puede observarse con las alarmas de automóviles: se activan por error tan a menudo que la gente raramente recuerda que están destinadas a prevenir robos.
Las alertas contribuirán a la fatiga cuando contengan:
Cuando los miembros de un equipo de seguridad comienzan a sufrir de fatiga de alerta, las consecuencias se sienten primero por el equipo mismo.
La fatiga de alerta puede afectar la moral del equipo, llevando a una alta rotación o síndrome de burnout. Si la empresa responde contratando más profesionales, la alta carga de trabajo en alertas innecesarias, a pesar de ser ineficaz, puede ser muy costosa. No hay garantía de que esto resuelva completamente el problema, ya que los analistas todavía requerirán demasiado tiempo para procesar cada alerta de baja calidad.
Los profesionales pueden usar su ingenio para adaptar y filtrar el ruido hasta cierto punto. Cuando esto no es posible, simplemente podrían no tener ninguna visibilidad sobre las amenazas más apremiantes a las que está expuesto el negocio.
Eventualmente, el equipo probablemente perderá un incidente prevenible o fallará en detener rápidamente un ataque en curso.
Por lo tanto, la fatiga de alerta socava el trabajo del equipo de seguridad. Esto puede llevar a una violación de ciberseguridad o retrasar la detección y respuesta a un incidente, aumentando sus costos de recuperación.
Las violaciones de ciberseguridad exponen a la empresa a daños reputacionales, costos legales y pérdida de ingresos debido a interrupciones (como las causadas por ransomware) o ventas perdidas.
Algunos ciberataques causan daños financieros directos al impactar pagos, servicios o productos.
Toda plataforma de seguridad generará alertas de algún tipo. Sin embargo, se necesita cuidado para evitar invertir en soluciones que puedan causar fatiga de alerta o empeorar la situación de un equipo que ya está lidiando con este problema.
Para asegurar que las alertas sean accionables y relevantes, las herramientas deben ser capaces de hacer lo siguiente:
Axur construye sus soluciones para ser inteligentes y resolver problemas sin crear ruido para los equipos de seguridad. Nuestra Plataforma de Ciberseguridad Externa gestiona el 86% de sus eventos de detección sin intervención manual. Mientras tanto, la interfaz DeepChat para nuestro Monitoreo de la Deep & Dark Web utiliza IA Generativa para producir un resumen conciso de amenazas potenciales, reduciendo la necesidad de revisar manualmente cada detección.
Polaris, nuestra plataforma de inteligencia de amenazas de próxima generación, fue construida para permitir que equipos de todos los tamaños aprovechen la inteligencia de amenazas y la Inteligencia Artificial en la mayoría de las tareas. Fue construida desde cero para producir insights accionables y resúmenes de amenazas a medida. Por supuesto, también puede reconocer eventos críticos y priorizarlos en consecuencia.
Con perspectivas poderosas a su disposición, los analistas pueden tomar decisiones basadas en datos y ajustar otros sensores y herramientas con la última información sobre cada amenaza relevante para el negocio. Esto lleva a mejores flujos de trabajo y a una cola más pequeña pero más precisa de alertas que requieren atención humana.