Las alertas son una parte importante de la protección contra ataques cibernéticos. Desafortunadamente, no todas las alertas de seguridad son útiles. El software de seguridad es conocido por proporcionar advertencias innecesarias y falsos positivos. Eventualmente, esto puede causar fatiga por alerta.
La fatiga de las alertas puede convertir al personal de TI que de otra manera estaría atento en personas que realmente no prestan atención. Obviamente, esto es ideal para cualquier pirata informático que intente ir a donde no debería.
Entonces, ¿qué es exactamente la fatiga por alerta y cómo se puede prevenir?
¿Qué es la fatiga por alerta?
La fatiga de las alertas es lo que sucede cuando el personal sigue recibiendo alertas de seguridad que no necesariamente significan nada.
Es una consecuencia natural del software de seguridad como antivirus, cortafuegos y gestión de eventos e información de seguridad (SIEM). Este tipo de software es conocido por ser demasiado sensible.
Cuando el personal de seguridad recibe alertas sin sentido, estas aún deben ser investigadas incluso si el personal no cree necesariamente que existe una amenaza genuina.
Esto eventualmente da como resultado que los equipos presten menos atención e ignoren los problemas que sí importan. Un pirata informático puede activar alertas y no se tomará ninguna medida.
Relacionado: Cómo identificar y notificar incidentes de seguridad
¿Por qué ocurre la fatiga de alerta?
La fatiga de alerta es un hecho natural. Independientemente de qué tan bien esté capacitado un equipo de seguridad, eventualmente se volverán insensibles a la información que no requiere que tomen medidas.
En parte, se debe al hecho de que el software de seguridad a menudo no distingue entre alertas de diferente importancia. Si un equipo de seguridad recibe cientos de alertas al día y solo un pequeño porcentaje de ellas realmente merece atención, es fácil sentir que se está perdiendo el tiempo investigando.
Vale la pena señalar que el estrés y el equilibrio deficiente entre el trabajo y la vida personal también pueden contribuir a la alerta de fatiga. Es muy probable que el personal de seguridad experimente estos problemas.
¿Cuántas alertas de seguridad realmente requieren atención?
Un estudio de 2021 muestra que hasta la mitad de todas las alertas de seguridad son falsos positivos. Esto es particularmente problemático si se tiene en cuenta el hecho de que una sola alerta puede tardar fácilmente de 10 a 30 minutos en investigar.
Esto significa que las falsas alertas no solo causan fatiga por alerta; también hacen que los empleados pasen gran parte de su día esencialmente sin hacer nada.
¿Por qué hay tantos falsos positivos?
El software de seguridad generalmente viene empaquetado con reglas genéricas sobre lo que constituye una amenaza. Esto le permite ser eficaz en cualquier entorno. El problema con este enfoque, sin embargo, es que también hace que un comportamiento inocente sea reportado como sospechoso.
Los editores de software se benefician de tener demasiadas alertas en lugar de tener muy pocas. El primero hace que el software parezca poderoso, mientras que el segundo hará que se desinstale si no evita una amenaza real.
¿Cuáles son las consecuencias de la fatiga por alerta?
La fatiga de las alertas es un gran problema incluso si una empresa no se enfrenta a ninguna amenaza. Hace que los equipos de seguridad no se preocupen por su trabajo y esto tiene efectos predecibles tanto en la rotación de empleados como en la productividad.
La fatiga por alerta es igualmente un riesgo de seguridad. Este software se utiliza porque cuando no proporciona falsos positivos, proporciona alertas sobre amenazas activas.
Si estas alertas pasan desapercibidas, es posible que las amenazas activas no se detengan. Obviamente, no importa cuántas amenazas detecte un software si nadie actúa sobre ellas.
Cómo prevenir la fatiga por alerta
La fatiga de las alertas es particularmente común en las grandes organizaciones, pero puede afectar a cualquier equipo de seguridad que responda a demasiadas amenazas percibidas. Aquí hay ocho formas de prevenirlo.
Reduzca su superficie de ataque
Una superficie de ataque se compone de todos los diferentes componentes de hardware y software que están conectados a su red. Cuanto más amplio sea, más problemas potenciales tendrá que investigar un equipo. Por lo tanto, se pueden evitar muchas alertas simplemente desconectando los dispositivos de su red.
Optimizar el software de seguridad
Verifique qué alertas de seguridad se están enviando. Si problemas menores están causando alertas innecesarias, modifique la configuración del software para evitar que esto suceda. Los miembros del personal deberían poder cometer errores inocentes sin que se avise al equipo de seguridad.
Reducir los falsos positivos
Todo el software de seguridad produce falsos positivos. Cada vez que ocurre un falso positivo, se debe anotar el motivo y se deben implementar medidas para evitar que vuelva a suceder.
Por ejemplo, si un archivo en particular sigue generando una alerta, ese archivo podría incluirse en la lista blanca.
Priorizar alertas por gravedad
Siempre que sea posible, las alertas deben priorizarse de acuerdo con el daño potencial que pueden causar. Por ejemplo, un potencial ataque de fuerza bruta debería generar una alerta de mayor prioridad que un solo intento de contraseña incorrecta.
Las alertas también deben clasificarse según se originen en direcciones IP internas o externas.
Agregar información a las alertas
Todas las alertas de seguridad deben proporcionar información detallada sobre su causa. Esto evita una situación en la que dos alertas de diferentes niveles de prioridad parecen idénticas. Por ejemplo, en lugar de una alerta que dice que un usuario no pudo iniciar sesión, se debe explicar el motivo de ese error.
Investigación de alerta dividida
La fatiga de alerta se debe principalmente a la repetición. Por lo tanto, la responsabilidad de investigar las alertas debe dividirse en partes iguales entre un equipo de seguridad. Si el equipo de seguridad no es lo suficientemente grande para hacer esto, el problema solo se puede prevenir contratando a más personas.
Automatizar donde sea posible
Se pueden automatizar muchos aspectos de la investigación de alertas. Observe las actividades realizadas por el equipo de seguridad y automatice cuando sea posible. Esto evita la repetición y debería reducir el número de pasos necesarios para investigar cada alerta.
Optimizar el flujo de trabajo
Observe la forma en que se investigan las alertas actualmente y encuentre formas de optimizar el flujo de trabajo.
Las mejores prácticas deben redactarse siempre que sea posible. Esto evita que diferentes personas intenten resolver la misma alerta de diferentes maneras.
Todas las organizaciones deben tener como objetivo prevenir la fatiga de las alertas
La fatiga de las alertas es una seria amenaza para cualquier organización. Convierte un equipo de seguridad eficaz en personal que es fácil de superar para los piratas informáticos.
La prevención de la fatiga de las alertas requiere la atención tanto de los miembros del equipo de seguridad como de los propietarios de negocios. Si el software y los procedimientos de seguridad están mal diseñados, los propios equipos de seguridad tendrán poca capacidad para prevenirlo.
Las infracciones y exposiciones de datos van en aumento en los Estados Unidos. Entonces, ¿cómo intentan las empresas mantener la privacidad de su información? ¿Y cómo pueden mejorar?
Leer siguiente
- Seguridad
- Consejos de seguridad
- Riesgos de seguridad
- Seguridad en línea
- La seguridad cibernética
Elliot es un escritor tecnológico independiente. Principalmente escribe sobre tecnología financiera y ciberseguridad.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Haga clic aquí para suscribirse