O estado de alerta constante está levando os analistas de segurança a um outro estado: o de fadiga generalizada, resultando em alertas ignorados, aumento do estresse e medo de deixar escapar alertas que resultam em incidentes. A constatação está no estudo “The Voice of the Analysts: Improving Security Operations Center Processes Through Adapted Technologies”, desenvolvido pela IDC para a FireEye e publicado hoje. A pesquisa foi feita com 300 analistas e gestores de segurança feita com recursos próprios e com serviços gerenciados, e concluiu que os profissionais estão se tornando menos produtivos devido à fadiga de alerta.
Veja isso
Baixo investimento ajudou sucesso de ataques no Brasil, mostra pesquisa
Excesso de alertas e sobrecarga são causas de estresse em profissionais
Os analistas de segurança continuam a sentir a pressão do aumento dos alertas, gastando quase metade do tempo em falsos positivos:
- Falsos positivos criam “fadiga de alerta”: os entrevistados indicaram que 45% dos alertas são falsos positivos, tornando o trabalho interno dos analistas menos eficiente e retardando o fluxo de trabalho. Para gerenciar a sobrecarga de alerta no SOC, 35% da equipe admite que ignora alertas
- Os MSSPs gastam ainda mais tempo examinando falsos positivos e ignoram mais alertas: os analistas de MSSP indicaram que 53% dos alertas que recebem são falsos positivos. Ao mesmo tempo, 44% dos analistas de provedores de serviços gerenciados disseram ignorar os alertas quando a fila fica muito cheia, o que pode levar a uma violação envolvendo vários clientes
O medo de perder incidentes (fear of missing incidents ou FOMI) está afetando a maioria dos analistas e gerentes de segurança:
- À medida em que os analistas enfrentam mais desafios para gerenciar alertas manualmente, sua preocupação em perder um incidente também aumenta: 75% dos analistas estão preocupados com a perda de incidentes; 25% se preocupam “muito” com a perda de incidentes
- Esse medo afeta os gerentes de segurança ainda mais do que seus analistas: mais de 6% relataram ter perdido o sono devido ao medo de incidentes perdidos
Os analistas pedem soluções de SOC automatizadas para resolver o FOMI
- Menos da metade das equipes de segurança corporativa está usando ferramentas para automatizar atividades no SOC: apenas 43% usam inteligência artificial e tecnologias de aprendizado de máquina; 46% usam Automação de Orquestração de Segurança e Resposta (SOAR), 45% usam SIEM (software de gerenciamento de informações e eventos de segurança), 45% fazem threat hunting e outras funções de segurança. Além disso, apenas 40% dos analistas usam inteligência artificial e tecnologias de aprendizado de máquina associadas a outras ferramentas.
- Para gerenciar SOCs, as equipes de segurança precisam de soluções automatizadas avançadas para reduzir a fadiga do alerta e melhorar o sucesso, concentrando-se em tarefas mais habilidosas como caça a ameaças e investigações cibernéticas: ao classificar as atividades mais adequadas para automação, a detecção de ameaças foi a mais alta (18 por cento) na lista de desejos dos analistas, seguido de inteligência de ameaças (13 por cento) e triagem de incidentes (9 por cento).
Com agências internacionais