O que é Fadiga de Alerta em cibersegurança?

O conceito de "fadiga de alerta" descreve um fenômeno onde pessoas — especialmente em ambientes de trabalho agitados — tornam-se dessensibilizadas aos alertas de segurança. Devido a isso, é quase certo que um alerta crítico eventualmente será ignorado, colocando o negócio em risco.

Humanos intuitivamente filtram o "ruído". Estamos sintonizados para notar o incomum. Quando alertas ou alarmes são constantes, torna-se difícil para nós sentir que algum deles será particularmente importante. É quando alertas críticos serão perdidos.

Embora não exclusivo para cibersegurança, a fadiga de alerta tornou-se uma grande preocupação neste campo nos últimos anos.

Pesquisa da Forrester publicada em 2020 encontrou que equipes de segurança recebiam em média 11.000 alertas de segurança diariamente, um volume que não estavam equipados para lidar. Por essa razão, 28% dos alertas nunca são abordados.

Uma pesquisa da IDC de 2021 chegou a uma conclusão semelhante, descobrindo que analistas ignoraram de 23% a 30% dos alertas de segurança. Organizações de médio porte com 1.500 a 5.000 funcionários se saíram pior do que as menores ou maiores.

Outro estudo de março de 2023 encomendado pela IBM pesquisou equipes de centros de operações de segurança (SOC) para investigar o que tem os atrasado. As respostas revelaram que, em um dia de trabalho típico, membros da equipe do SOC só revisam 49% dos alertas que deveriam.

Esses dados também estão relacionados às principais reclamações de profissionais de cibersegurança sobre satisfação no trabalho. De acordo com o Estudo da Força de Trabalho em Cibersegurança ISC2 de 2023, 31% dos profissionais sentem que têm muitas tarefas, 30% dizem que estão sobrecarregados, e 25% acham que suas equipes têm recursos inadequados para proteger a organização.

Quando analistas estão correndo para passar por uma lista interminável de alertas ou eventos, é mais fácil cometer erros ou ignorar completamente algo importante.

O que é um alerta de cibersegurança?

A natureza e o volume de alertas de cibersegurança podem variar significativamente, sendo uma das razões pela qual a fadiga de alerta se tornou um problema no setor.

Atividades que podem gerar alertas de segurança incluem:

• Rede: picos de tráfego de dados, incluindo web, email e outros. As empresas podem estar monitorando essa atividade para detectar exfiltração de dados, ataques ou atividades suspeitas, de Ataque Distribuído de Negação de Serviço a varreduras de vulnerabilidade.
• Aplicação: Muitas tentativas de login, atividade incomum de certos usuários ou alertas de Firewalls de Aplicação Web.
• Nuvem: a infraestrutura de computação em nuvem é respaldada por uma solução de Gestão de Postura de Segurança na Nuvem, que notifica as equipes de segurança sobre mudanças ou outros comportamentos suspeitos.
• Interrupções de serviço: as equipes de segurança precisam saber quando os serviços ficam indisponíveis. Isso pode ser um ciberataque ou outro evento que precisa de sua atenção (falha de hardware ou conectividade).
• Pontos finais e malware: Scanners de malware ou soluções de Detecção e Resposta Estendida (XDR) geralmente produzem um grande número de alertas sobre arquivos maliciosos ou comportamento detectado em dispositivos corporativos. Isso pode incluir alertas de ransomware.
  
  

Curiosamente, cada classe de alertas pode ser produzida por diferentes soluções de segurança ou ativos, mas certas tecnologias abrangem vários ativos. Por exemplo, alertas de atividade de rede são frequentemente gerados por firewalls ou sistemas de prevenção de intrusão, enquanto o software de Prevenção de Perda de Dados (DLP) pode estar presente em várias camadas (ponto final, rede ou nuvem).

À medida que as empresas implementam mais soluções para buscar melhor visibilidade em sua infraestrutura de TI, as equipes de segurança tornam-se cada vez mais sobrecarregadas pelo número de alertas que todas geram, e cabe a elas correlacionar diferentes alertas e suas fontes para um entendimento coeso do que está acontecendo.

Soluções de gestão de informações e eventos de segurança (SIEM) podem reunir todos esses alertas em um único lugar. Ajuda a organizar e consolidar todos os alertas, mas não necessariamente resolve o problema. Integrar cada alerta único no SIEM sem considerar sua gravidade ou qualidade só dará mais visibilidade e piorará o problema.

O que causa a fadiga de alerta?

Se todos os alertas fossem sérios e valiosos, ignorar 30% deles certamente causaria danos imediatos. A maioria dos negócios não é vítima de criminosos ou intrusos todos os dias – mesmo que centenas de alertas fossem ignorados.

Embora seja bom que a maioria dos negócios consiga proteger suas operações principais todos os dias, o fato de tantos alertas poderem ser ignorados indica que há muito ruído nessas advertências. Se uma organização eventualmente se envolver em um incidente de cibersegurança, provavelmente será porque apenas alguns eventos críticos foram perdidos.

Quando os sistemas de segurança repetidamente alertam sobre eventos que não representam nenhum risco concreto, logo fica claro que prestar atenção neles é perda de tempo. Em alguns lugares, isso pode ser observado com alarmes de carro – eles são acionados por engano tão frequentemente que as pessoas raramente lembram que eles estão lá para prevenir roubo.

Alertas contribuirão para a fadiga quando contiverem:

• Falsos positivos: Estes são completamente incorretos. Podem ocorrer devido a más configurações ou assinaturas de detecção ruins (como em sistemas anti-vírus ou de detecção de intrusão). Este é um problema muito sério e rapidamente criará desconfiança de quaisquer alertas futuros da mesma fonte.
• Eventos não ameaçadores: Algumas ferramentas de segurança continuamente geram relatórios sobre operações normais, ou são incapazes de sinalizar eventos mais críticos para priorização.
• Avisos duplicados: Um único evento pode causar múltiplos alertas a serem acionados, seja simultaneamente ou ao longo do tempo. Um analista pode desconsiderar um alerta como duplicado ou como relacionado a um incidente que já está sendo tratado.
• Informações insuficientes: Alguns alertas simplesmente carecem de contexto ou informações relevantes. Mesmo que seja possível juntar tudo usando dados de outros eventos ou logs, esses poderiam ter sido atribuídos a outra pessoa ou equipe, ou processos estabelecidos podem tornar difícil obter o contexto necessário.
  
  

Os riscos da fadiga de alerta

Quando membros de uma equipe de segurança começam a sofrer de fadiga de alerta, as consequências são sentidas primeiro pela equipe em si.

A fadiga de alerta pode afetar o moral da equipe, levando a alta rotatividade ou  problemas com a síndrome de burnout. Se o negócio responder contratando mais profissionais, a alta carga de trabalho em alertas desnecessários, apesar de ineficaz, pode ser muito custosa. Não há garantia de que isso resolverá completamente o problema, pois os analistas ainda exigirão muito tempo para processar cada alerta de baixa qualidade.

Os profissionais podem usar sua engenhosidade para adaptar e filtrar o ruído até certo ponto. Quando isso não é possível, eles simplesmente podem não ter nenhuma visibilidade sobre as ameaças mais prementes às quais o negócio está exposto.

Eventualmente, a equipe provavelmente perderá um incidente evitável ou falhará em interromper rapidamente um ataque em andamento.

Portanto, a fadiga de alerta mina o trabalho da equipe de segurança. Isso pode levar a uma violação de cibersegurança ou atrasar a detecção e resposta a um incidente, aumentando seus custos de recuperação.

Violações de cibersegurança expõem a empresa a danos à reputação, custos legais e perda de receita devido a interrupções (como aquelas causadas por ransomware) ou vendas perdidas.

Alguns ciberataques causam danos financeiros diretos, afetando pagamentos, serviços ou produtos.

Como tornar os alertas relevantes e reduzir a fadiga

Toda plataforma de segurança gerará alertas de algum tipo. No entanto, é necessário cuidado para evitar investir em soluções que podem causar fadiga de alerta ou piorar a situação de uma equipe que já está lidando com esse problema.

Para garantir que os alertas sejam acionáveis e relevantes, as ferramentas devem ser capazes de fazer o seguinte:

• Priorização: Os alertas precisam ser categorizados com base na gravidade para que problemas mais sérios possam ser resolvidos primeiro. Uma resposta oportuna pode ser a diferença entre prevenir um incidente ou ter que se recuperar de uma intrusão.
• Automação: Se as respostas puderem ser acionadas automaticamente, elas devem ser. Se a resposta puder ser automatizada (redefinindo uma senha, reiniciando um serviço, reprovisionando um recurso...), melhor ainda.
• Correlação, insights e resumos: Alertas relacionados devem ser agrupados automaticamente ou transformados em um insight que seja mais valioso do que avisos sobre eventos isolados.
  
  

Axur constrói suas soluções para serem inteligentes e resolver problemas sem criar ruído para as equipes de segurança. Nossa Plataforma de Cibersegurança Externa gerencia 86% de seus eventos de detecção sem intervenção manual. Enquanto isso, a interface DeepChat para nosso Monitoramento da Deep & Dark Web usa IA Generativa para produzir um resumo conciso de ameaças potenciais, reduzindo a necessidade de revisar manualmente cada detecção.

Polaris, nossa plataforma de inteligência de ameaças de próxima geração, foi construída para permitir que equipes de todos os tamanhos aproveitem a inteligência de ameaças e a Inteligência Artificial na maioria das tarefas. Foi construída do zero para produzir insights acionáveis e resumos de ameaças personalizados. Claro, também pode reconhecer eventos críticos e priorizá-los de acordo.

Com insights poderosos à disposição, os analistas podem tomar decisões baseadas em dados e ajustar outros sensores e ferramentas com as informações mais recentes sobre cada ameaça relevante para o negócio. Isso leva a melhores fluxos de trabalho e a uma fila menor, mas mais precisa, de alertas que requerem atenção humana.