Os grandes volumes de alertas de segurança têm causado problemas de várias ordens para os profissionais de segurança de TI, que vão desde dificuldades de gerenciamento até elevados níveis de estresse e até o risco de fuga. De acordo com o “Relatório 2020 – State of SecOps and Automation”, encomendado à Dimensional Research pela Sumo Logic, empresa de análise de dados com foco em segurança de máquinas baseadas em nuvem, 83% dos líderes de segurança entrevistados disseram que suas equipes de segurança experimentaram a chamada “fadiga de alerta”.
A pesquisa, que ouviu 427 líderes de segurança, constatou que 70 haviam enfrentado mais que o dobro do volume de alertas de segurança nos últimos cinco anos, enquanto 99% afirmaram que elevados volumes de alertas estavam causando problemas para suas equipes de segurança de TI.
“As equipes de operações de segurança de hoje enfrentam ameaças constantes de violações de segurança que podem levar a graves consequências, incluindo perda de clientes, reputação de marca diminuída e receita reduzida”, disse Diane Hagglund, diretora da Dimensional Research.
Veja isso
Só 42% dos profissionais de segurança utilizam inteligência compartilhada
Profissionais mudariam completamente segurança se pudessem
O relatório destaca que para minimizar efetivamente os riscos e preencher as lacunas, muitas empresas estão lançando mão de soluções automatizadas que fornecem análise em tempo real de alertas de segurança. Essa descoberta mostra os desafios que as equipes de um SOC (Security Operations Center) enfrentam em um mundo centrado na nuvem, mas é mais importante ainda porque as empresas estão buscando alternativas nativas da nuvem para análises e operações de segurança.
Embora o processamento automatizado de alertas de segurança possa ajudar a mitigar esse problema, ainda é um projeto em andamento para a maioria das equipes de segurança. Em entrevista à Infosecurity, o CISO Sarb Sembhi disse que, nos últimos 20 anos, a tecnologia tem sido sobre “coletar e enviar alertas” e, até a chegada da inteligência artificial (IA), havia pouca solução para lidar com alertas e ser capaz de visualizar todos os alertas em uma única exibição.
“A causa disso são tantas tecnologias diferentes que chegam ao estado de segurança e dão a você um alerta e informam que algo está errado e alguém fez alguma coisa e não há uma única visão”, disse Sembhi. “O que você precisa é de um único sentido para dizer qual deve ser o curso da ação.”
O executivo diz que existe o problema de o analista de segurança ver tantos alertas e dizer: “e daí”. “Mas mesmo que um de 1 milhão de alertas seja perigoso, o responsável pela segurança não pode se tornar complacente”, ressalta Sembhi.
As equipes de TI enfrentam enormes pressões devido a essa sobrecarga de alerta. Quase todos (99%) profissionais de segurança reconhecem que o elevado volume de alertas de segurança é problemático. Os principais motivos citados são questões importantes ocultas em uma enxurrada de pequenos problemas ou ruído (68%), perda de tempo perseguindo falsos positivos (66%), membros da equipe que se sentem sobrecarregados (50%), muito tempo gasto em alertas de triagem (47 %) e um aumento no risco geral de segurança (42%).
Uma das conclusões mais importantes da pesquisa é o impacto na vida real dessa inundação de alerta de segurança. Quando se olha para os dados, fica claro que as empresas não estão conseguindo acompanhar o volume diário de alertas de segurança.
Já quando questionados sobre qual porcentagem de alertas de segurança suas equipes lidam no mesmo dia, a grande maioria dos especialistas em segurança de TI (93%) disse não poder fazer tudo. Apenas 44% das equipes de TI remetem 80% dos alertas no mesmo dia, o que é considerado um padrão comum, enquanto 19% nem conseguem endereçar metade dos alertas no mesmo dia.
