Os alertas são uma parte importante da proteção contra ataques cibernéticos. Infelizmente, nem todos os alertas de segurança são úteis. O software de segurança é conhecido por fornecer avisos desnecessários e falsos positivos. Eventualmente, isso pode causar fadiga de alerta.
O cansaço do alerta pode transformar uma equipe de TI atenta em pessoas que realmente não prestam atenção. Obviamente, isso é ideal para qualquer hacker que tente ir aonde não deveria.
Então, o que exatamente é fadiga de alerta e como você pode evitá-la?
O que é fadiga de alerta?
Fadiga de alerta é o que acontece quando a equipe continua recebendo alertas de segurança que não significam necessariamente nada.
É uma consequência natural do software de segurança, como antivírus, firewalls e Gerenciamento de informações e eventos de segurança (SIEMs). Este tipo de software é conhecido por ser excessivamente sensível.
Quando a equipe de segurança recebe alertas sem sentido, eles ainda precisam ser investigados, mesmo que a equipe não acredite necessariamente que haja uma ameaça genuína.
Isso acaba resultando em equipes prestando menos atenção e ignorando problemas que realmente importam. Um hacker pode então disparar alertas e nenhuma ação será realizada.
Relacionado: Como identificar e relatar incidentes de segurança
Por que o alerta de fadiga acontece?
A fadiga de alerta é uma ocorrência natural. Independentemente de quão bem uma equipe de segurança seja treinada, eles eventualmente se tornarão insensíveis a informações que não exigem que tomem medidas.
É parcialmente causado pelo fato de que o software de segurança geralmente não faz distinção entre alertas de importância diferente. Se uma equipe de segurança recebe centenas de alertas por dia e apenas uma pequena porcentagem deles realmente merece atenção, é fácil sentir que está sendo perdido tempo investigando.
É importante notar que o estresse e o equilíbrio entre trabalho e vida pessoal também podem contribuir para alertar a fadiga. A equipe de segurança tem maior probabilidade de enfrentar esses problemas.
Quantos alertas de segurança realmente requerem atenção?
Um estudo de 2021 mostra que até metade de todos os alertas de segurança são falsos positivos. Isso é particularmente problemático quando você considera o fato de que um único alerta pode facilmente levar de 10 a 30 minutos para ser investigado.
Isso significa que os alertas falsos não estão apenas causando fadiga do alerta; eles também estão fazendo com que os funcionários passem grande parte do dia basicamente sem fazer nada.
Por que existem tantos falsos positivos?
O software de segurança geralmente vem embalado com regras genéricas sobre o que constitui uma ameaça. Isso permite que seja eficaz em qualquer ambiente. O problema com essa abordagem, no entanto, é que ela também faz com que o comportamento inocente seja relatado como suspeito.
Os editores de software se beneficiam de ter muitos alertas em vez de ter poucos. O primeiro faz com que o software pareça poderoso, enquanto o último fará com que seja desinstalado se não conseguir evitar uma ameaça real.
Quais são as consequências da fadiga de alerta?
O cansaço do alerta é um grande problema, mesmo se uma empresa não estiver enfrentando nenhuma ameaça. Faz com que as equipes de segurança não se importem com seu trabalho e isso tem efeitos previsíveis na rotatividade de funcionários e na produtividade.
A fadiga do alerta também é um risco à segurança. Esse software é usado porque, quando não está fornecendo falsos positivos, está fornecendo alertas sobre ameaças ativas.
Se esses alertas passarem despercebidos, as ameaças ativas não podem ser interrompidas. Obviamente, não importa quantas ameaças um software detecta se ninguém estiver agindo sobre elas.
Como prevenir a fadiga de alerta
A fadiga do alerta é particularmente comum em grandes organizações, mas pode afetar qualquer equipe de segurança que responde a muitas ameaças percebidas. Aqui estão oito maneiras de evitá-lo.
Reduza sua superfície de ataque
Uma superfície de ataque é formado por todos os diferentes componentes de hardware e software que estão conectados à sua rede. Quanto mais amplo for, mais problemas potenciais uma equipe terá de investigar. Muitos alertas podem, portanto, ser evitados simplesmente desconectando os dispositivos de sua rede.
Otimize o software de segurança
Verifique quais alertas de segurança estão sendo enviados. Se problemas menores estiverem causando alertas desnecessários, modifique as configurações do software para evitar que isso aconteça. Deve ser possível aos membros da equipe cometer erros inocentes sem que a equipe de segurança seja alertada.
Reduzir Falsos Positivos
Todo software de segurança produz falsos positivos. Cada vez que ocorre um falso positivo, o motivo deve ser anotado e medidas devem ser implementadas para evitar que aconteça novamente.
Por exemplo, se um determinado arquivo continua gerando um alerta, esse arquivo pode ser colocado na lista de permissões.
Priorizar alertas por gravidade
Sempre que possível, os alertas devem ser priorizados de acordo com o dano potencial que podem causar. Por exemplo, um potencial ataque de força bruta deve causar um alerta de prioridade mais alta do que uma única tentativa de senha incorreta.
Os alertas também devem ser categorizados de acordo com sua origem em endereços IP internos ou externos.
Adicionar informações aos alertas
Todos os alertas de segurança devem fornecer informações detalhadas sobre o que os causou. Isso evita uma situação em que dois alertas de diferentes níveis de prioridade parecem idênticos. Por exemplo, em vez de um alerta informando que um usuário falhou ao efetuar login, o motivo dessa falha deve ser explicado.
Divida a investigação de alerta
A fadiga de alerta é causada principalmente pela repetição. A responsabilidade pela investigação de alertas deve, portanto, ser dividida igualmente entre uma equipe de segurança. Se a equipe de segurança não for grande o suficiente para fazer isso, o problema só pode ser evitado com a contratação de mais pessoas.
Automatize quando possível
Muitos aspectos da investigação de alerta podem ser automatizados. Observe as atividades realizadas pela equipe de segurança e automatize onde for possível. Isso evita a repetição e deve reduzir o número de etapas necessárias para investigar cada alerta.
Otimize o Fluxo de Trabalho
Observe a forma como os alertas estão sendo investigados e encontre maneiras de otimizar o fluxo de trabalho.
As melhores práticas devem ser escritas sempre que possível. Isso evita que diferentes pessoas tentem resolver o mesmo alerta de maneiras diferentes.
Todas as organizações devem ter como objetivo prevenir a fadiga de alertas
O cansaço do alerta é uma ameaça séria para qualquer organização. Transforma uma equipe de segurança eficaz em uma equipe que é fácil para os hackers ultrapassarem.
A prevenção da fadiga do alerta requer a atenção dos membros da equipe de segurança e dos proprietários de negócios. Se o software e os procedimentos de segurança forem mal projetados, as próprias equipes de segurança terão pouca capacidade para evitá-lo.
Violações e exposições de dados estão aumentando nos Estados Unidos. Então, como as empresas tentam manter suas informações privadas? E como eles podem melhorar?
Leia a seguir
- Segurança
- Dicas de Segurança
- Riscos de Segurança
- Segurança Online
- Cíber segurança
Elliot é um escritor freelance de tecnologia. Ele escreve principalmente sobre fintech e cibersegurança.
Assine a nossa newsletter
Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!
Clique aqui para se inscrever
