Kelelahan Peringatan
TL;DR
Kelelahan peringatan terjadi ketika tim menerima begitu banyak notifikasi sehingga mereka berhenti memperhatikannya.
Apa Itu Kelelahan Peringatan?
Kelelahan peringatan adalah apa yang terjadi ketika tim keamanan atau operasi dibanjiri dengan peringatan setiap hari. Seiring waktu, orang menjadi lelah, stres, dan mulai mengabaikannya.
Dalam keamanan, ini biasanya berasal dari alat yang memberikan peringatan pada segala hal, masalah nyata, masalah kecil, dan hal-hal yang sebenarnya bukan masalah sama sekali.
Ketika setiap peringatan terasa kritis, tidak ada satupun yang benar-benar terasa mendesak lagi. Otak belajar untuk mengabaikannya, seperti alarm yang terlalu sering berbunyi.
Mengapa Kelelahan Peringatan Berbahaya
Kelelahan peringatan bukan hanya menjengkelkan. Ini berisiko.
Banyak pelanggaran keamanan besar terjadi meskipun peringatan telah dipicu. Masalahnya adalah tidak ada yang memperhatikan atau bereaksi tepat waktu.
Risiko utama:
1. Ancaman nyata diabaikan.
Ketika sebagian besar peringatan adalah alarm palsu, serangan nyata terlihat sama dan terlewatkan.
2. Respon lambat
Waktu yang dihabiskan untuk meninjau peringatan yang tidak berguna adalah waktu yang tidak dihabiskan untuk memperbaiki masalah nyata.
3. Kesalahan manusia
Tim yang lelah membuat kesalahan, melewatkan langkah, atau salah menilai risiko.
Mengapa Kelelahan Peringatan Terjadi
Kelelahan peringatan biasanya berasal dari campuran alat yang buruk dan pengaturan yang tidak tepat.
Penyebab umum:
- Terlalu banyak positif palsu
- Alat menandai kemungkinan masalah tanpa memeriksa apakah mereka benar-benar dapat dieksploitasi.
- Tidak ada prioritas yang nyata
- Semuanya mendapatkan tingkat keparahan yang sama, bahkan ketika risikonya sangat berbeda.
- Peringatan duplikat
- Beberapa alat melaporkan masalah yang sama dengan cara yang berbeda.
- Aturan kaku
- Peringatan dipicu berdasarkan batas tetap alih-alih perilaku nyata.
Cara Mengurangi Kelelahan Peringatan
Satu-satunya solusi nyata adalah mengurangi kebisingan dan fokus pada apa yang penting.
Fokus pada Risiko Nyata
Tidak semua masalah sama. Plexicus menyediakan beberapa metrik untuk membantu Anda memprioritaskan kerentanan:
1) Metrik Prioritas
Apa yang diukur: Urgensi keseluruhan untuk remediasi
Ini adalah skor (0-100) yang menggabungkan keparahan teknis (CVSSv4), dampak bisnis, dan ketersediaan eksploitasi menjadi satu angka. Ini adalah antrean tindakan Anda - urutkan berdasarkan Prioritas untuk mengetahui apa yang harus ditangani segera. Prioritas 85 berarti “tinggalkan semuanya dan perbaiki sekarang”, sementara Prioritas 45 berarti “jadwalkan untuk sprint berikutnya.”
Contoh: Injeksi SQL dalam alat produktivitas internal, hanya dapat diakses dari VPN perusahaan, tidak mengandung data sensitif
- CVSSv4: 8.2 (keparahan teknis tinggi)
- Dampak Bisnis: 45 (alat internal, paparan data terbatas)
- Ketersediaan Eksploitasi: 30 (memerlukan akses terautentikasi)
- Prioritas: 48
Mengapa Mencari Prioritas: Meskipun CVSSv4 tinggi (8.2), Prioritas (48) dengan tepat menurunkan urgensi karena dampak bisnis yang terbatas dan eksploitabilitas yang rendah. Jika Anda hanya melihat CVSS, Anda mungkin panik tanpa alasan. Prioritas mengatakan: “Jadwalkan ini untuk sprint berikutnya,” dengan skor sekitar 45.
Ini membuat rekomendasi “sprint berikutnya” jauh lebih masuk akal - ini adalah kerentanan nyata yang perlu diperbaiki, tetapi bukan darurat karena berada dalam alat internal berdampak rendah dengan eksposur terbatas.
2) Dampak
Apa yang diukur: Konsekuensi bisnis
Dampak (0-100) mengevaluasi apa yang terjadi jika kerentanan dieksploitasi, dengan mempertimbangkan konteks spesifik Anda: sensitivitas data, kritikalitas sistem, operasi bisnis, dan kepatuhan regulasi.
Contoh: SQL injection dalam basis data pelanggan yang menghadap publik memiliki Dampak 95, tetapi kerentanan yang sama dalam lingkungan uji internal memiliki Dampak 30.
3) EPSS
Apa yang diukur: Kemungkinan ancaman dunia nyata
EPSS adalah skor (0.0-1.0) yang memprediksi probabilitas bahwa CVE tertentu akan dieksploitasi di alam liar dalam 30 hari ke depan
Contoh: Kerentanan berusia 10 tahun mungkin memiliki CVSS 9.0 (sangat parah), tetapi jika tidak ada yang mengeksploitasinya lagi, EPSS akan rendah (0.01). Sebaliknya, CVE yang lebih baru dengan CVSS 6.0 mungkin memiliki EPSS 0.85 karena penyerang aktif menggunakannya.
Anda dapat memeriksa metrik ini untuk prioritisasi dengan mengikuti langkah-langkah berikut:
- Pastikan bahwa repositori Anda terhubung dan proses pemindaian telah selesai.
- Kemudian pergi ke menu Temuan, di mana Anda akan menemukan metrik yang Anda butuhkan untuk prioritas.
Perbedaan Utama
| Metrik | Jawaban | Lingkup | Rentang |
|---|---|---|---|
| EPSS | “Apakah penyerang menggunakan ini?” | Lanskap ancaman global | 0.0-1.0 |
| Prioritas | “Apa yang harus saya perbaiki terlebih dahulu?” | Skor urgensi gabungan | 0-100 |
| Dampak | “Seberapa buruk bagi bisnis SAYA?” | Spesifik organisasi | 0-100 |
Tambahkan Konteks
Jika ada perpustakaan yang rentan tetapi aplikasi Anda tidak pernah menggunakannya, peringatan tersebut tidak boleh menjadi prioritas tinggi.
Sesuaikan dan Otomatiskan
Ajarkan alat dari waktu ke waktu apa yang aman dan apa yang tidak. Otomatiskan perbaikan sederhana sehingga orang hanya menangani ancaman nyata.
Gunakan Satu Tampilan Jelas
Menggunakan satu platform seperti Plexicus membantu menghilangkan peringatan duplikat dan hanya menunjukkan apa yang perlu tindakan.
Kelelahan Peringatan dalam Kehidupan Nyata
| Situasi | Tanpa Kontrol Kebisingan | Dengan Peringatan Cerdas |
|---|---|---|
| Peringatan harian | 1.000+ | 15–20 |
| Suasana tim | Kewalahan | Fokus |
| Risiko terlewat | Umum | Jarang |
| Tujuan | Peringatan jelas | Memperbaiki masalah nyata |
Istilah Terkait
FAQ
Berapa banyak peringatan yang terlalu banyak?
Kebanyakan orang hanya dapat meninjau sekitar 10–15 peringatan sehari dengan benar. Lebih dari itu biasanya mengarah pada masalah yang terlewat.
Apakah kelelahan peringatan hanya masalah keamanan?
Tidak. Ini juga terjadi di bidang kesehatan, operasi TI, dan dukungan pelanggan. Dalam keamanan, dampaknya lebih buruk karena peringatan yang terlewat dapat menyebabkan pelanggaran serius.
Apakah mematikan peringatan membuat keadaan menjadi lebih buruk?
Jika peringatan dimatikan tanpa pertimbangan, ya.
Jika peringatan dikurangi berdasarkan risiko nyata dan konteks, keamanan sebenarnya meningkat.