Affaticamento da Allerta
TL;DR
L’affaticamento da allerta si verifica quando i team ricevono così tante notifiche che smettono di prestare loro attenzione.
Cos’è l’Affaticamento da Allerta?
L’affaticamento da allerta si verifica quando i team di sicurezza o operazioni sono sommersi da allerte ogni giorno. Col tempo, le persone si stancano, si stressano e iniziano a ignorarle.
In ambito sicurezza, questo di solito deriva da strumenti che segnalano tutto, problemi reali, piccoli problemi e cose che non sono affatto problemi.
Quando ogni allerta sembra critica, nessuna di esse appare veramente urgente. Il cervello impara a ignorarle, come un allarme che suona troppo spesso.
Perché l’Affaticamento da Allerta è Pericoloso
L’affaticamento da allerta non è solo fastidioso. È rischioso.
Molte grandi violazioni della sicurezza sono avvenute anche se gli allarmi erano stati attivati. Il problema era che nessuno se ne è accorto o ha reagito in tempo.
Principali rischi:
1. Le vere minacce vengono ignorate.
Quando la maggior parte delle allerte sono falsi allarmi, i veri attacchi sembrano uguali e vengono trascurati.
2. Risposta lenta
Il tempo trascorso a esaminare allerte inutili è tempo non speso a risolvere problemi reali.
3. Errori umani
I team stanchi commettono errori, saltano passaggi o valutano male i rischi.
Perché si Verifica l’Affaticamento da Allerta
L’affaticamento da allerta di solito deriva da una combinazione di strumenti inadeguati e configurazione scadente.
Cause comuni:
- Troppi falsi positivi
- Gli strumenti segnalano possibili problemi senza verificare se possono effettivamente essere sfruttati.
- Nessuna vera priorità
- Tutto riceve la stessa gravità, anche quando il rischio è molto diverso.
- Avvisi duplicati
- Molti strumenti segnalano lo stesso problema in modi diversi.
- Regole rigide
- Gli avvisi si attivano in base a limiti fissi invece che sul comportamento reale.
Come Ridurre la Fatica da Avvisi
L’unica vera soluzione è ridurre il rumore e concentrarsi su ciò che conta.
Concentrarsi sul Rischio Reale
Non tutti i problemi sono uguali. Plexicus fornisce alcune metriche per aiutarti a dare priorità alle vulnerabilità:
1) Metriche di Priorità
Cosa misura: Urgenza complessiva per la risoluzione
È un punteggio (0-100) che combina la gravità tecnica (CVSSv4), l’impatto sul business e la disponibilità di exploit in un unico numero. È la tua coda di azioni - ordina per Priorità per sapere cosa affrontare immediatamente. Priorità 85 significa “lascia tutto e risolvi questo ora”, mentre Priorità 45 significa “programmarlo per il prossimo sprint.”
Esempio: SQL injection in uno strumento di produttività interno, accessibile solo dalla VPN aziendale, non contiene dati sensibili
- CVSSv4: 8.2 (alta gravità tecnica)
- Impatto sul Business: 45 (strumento interno, esposizione limitata dei dati)
- Disponibilità di Exploit: 30 (richiede accesso autenticato)
- Priorità: 48
Perché cercare la Priorità: Nonostante un alto CVSSv4 (8.2), la Priorità (48) riduce correttamente l’urgenza a causa di un impatto aziendale limitato e bassa sfruttabilità. Se ti basassi solo sul CVSS, ti preoccuperesti inutilmente. La Priorità dice: “Programma questo per il prossimo sprint,” con un punteggio di circa 45.
Questo rende la raccomandazione del “prossimo sprint” molto più ragionevole - è una vulnerabilità reale che necessita di essere risolta, ma non è un’emergenza perché si trova in uno strumento interno a basso impatto con esposizione limitata.
2) Impatto
Cosa misura: Conseguenze aziendali
L’Impatto (0-100) valuta cosa accade se la vulnerabilità viene sfruttata, considerando il tuo contesto specifico: sensibilità dei dati, criticità del sistema, operazioni aziendali e conformità normativa.
Esempio: SQL injection in un database clienti pubblico ha un Impatto di 95, ma la stessa vulnerabilità in un ambiente di test interno ha un Impatto di 30.
3) EPSS
Cosa misura: Probabilità di minaccia nel mondo reale
EPSS è un punteggio (0.0-1.0) che predice la probabilità che un CVE specifico venga sfruttato nel mondo reale entro i prossimi 30 giorni.
Esempio: Una vulnerabilità di 10 anni fa potrebbe avere un CVSS di 9.0 (molto grave), ma se nessuno la sta più sfruttando, l’EPSS sarebbe basso (0.01). Al contrario, un CVE più recente con CVSS 6.0 potrebbe avere un EPSS di 0.85 perché gli attaccanti lo stanno utilizzando attivamente.
Puoi controllare queste metriche per la prioritizzazione seguendo questi passaggi:
- Assicurati che il tuo repository sia connesso e che il processo di scansione sia terminato.
- Poi vai al menu Findings, dove troverai le metriche necessarie per la prioritizzazione.
Differenze Chiave
| Metrica | Risposte | Ambito | Intervallo |
|---|---|---|---|
| EPSS | “Gli attaccanti lo stanno usando?” | Panorama globale delle minacce | 0.0-1.0 |
| Priorità | “Cosa devo correggere prima?” | Punteggio di urgenza combinato | 0-100 |
| Impatto | “Quanto è grave per la MIA azienda?” | Specifico per l’organizzazione | 0-100 |
Aggiungi Contesto
Se esiste una libreria vulnerabile ma la tua app non la utilizza mai, quell’allerta non dovrebbe essere di alta priorità.
Regola e Automatizza
Insegna agli strumenti nel tempo cosa è sicuro e cosa no. Automatizza le correzioni semplici affinché le persone gestiscano solo le minacce reali.
Usa Una Vista Chiara
Utilizzare una singola piattaforma come Plexicus aiuta a rimuovere gli avvisi duplicati e mostra solo ciò che necessita di azione.
Affaticamento da Allerta nella Vita Reale
| Situazione | Senza Controllo del Rumore | Con Allerta Intelligente |
|---|---|---|
| Avvisi giornalieri | 1.000+ | 15–20 |
| Umore del team | Sopraffatto | Concentrato |
| Rischi mancati | Comuni | Rari |
| Obiettivo | Avvisi chiari | Correggere problemi reali |
Termini Correlati
FAQ
Quanti avvisi sono troppi?
La maggior parte delle persone può esaminare correttamente solo circa 10-15 avvisi al giorno. Più di questo solitamente porta a problemi non rilevati.
La fatica da avvisi è solo un problema di sicurezza?
No. Si verifica anche nell’assistenza sanitaria, nelle operazioni IT e nel supporto clienti. In ambito sicurezza, l’impatto è peggiore perché gli avvisi mancati possono portare a gravi violazioni.
Disattivare gli avvisi peggiora la situazione?
Se gli avvisi vengono disattivati senza criterio, sì.
Se gli avvisi vengono ridotti in base al rischio reale e al contesto, la sicurezza effettivamente migliora.