Zmęczenie alarmami
TL;DR
Zmęczenie alarmami występuje, gdy zespoły otrzymują tak wiele powiadomień, że przestają na nie zwracać uwagę.
Czym jest zmęczenie alarmami?
Zmęczenie alarmami to sytuacja, gdy zespoły ds. bezpieczeństwa lub operacji są zalewane codziennie alarmami. Z czasem ludzie stają się zmęczeni, zestresowani i zaczynają je ignorować.
W bezpieczeństwie zazwyczaj pochodzi to z narzędzi, które alarmują o wszystkim: rzeczywistych problemach, drobnych kwestiach i rzeczach, które w ogóle nie są problemami.
Kiedy każdy alarm wydaje się krytyczny, żaden z nich nie wydaje się już naprawdę pilny. Mózg uczy się je ignorować, jak alarm, który włącza się zbyt często.
Dlaczego zmęczenie alarmami jest niebezpieczne
Zmęczenie alarmami nie jest tylko irytujące. Jest ryzykowne.
Wiele poważnych naruszeń bezpieczeństwa miało miejsce, mimo że alarmy zostały uruchomione. Problem polegał na tym, że nikt nie zauważył lub nie zareagował na czas.
Główne ryzyka:
1. Prawdziwe zagrożenia są ignorowane.
Kiedy większość alarmów to fałszywe alarmy, prawdziwe ataki wyglądają tak samo i są pomijane.
2. Wolna reakcja
Czas spędzony na przeglądaniu bezużytecznych alarmów to czas, który nie jest poświęcony na naprawianie rzeczywistych problemów.
3. Błędy ludzkie
Zmęczone zespoły popełniają błędy, pomijają kroki lub źle oceniają ryzyko.
Dlaczego występuje zmęczenie alarmami
Zmęczenie alarmami zazwyczaj wynika z mieszanki złych narzędzi i niewłaściwej konfiguracji.
Typowe przyczyny:
- Zbyt wiele fałszywych alarmów
- Narzędzia oznaczają możliwe problemy bez sprawdzania, czy mogą być faktycznie wykorzystane.
- Brak rzeczywistego priorytetyzowania
- Wszystko otrzymuje tę samą wagę, nawet gdy ryzyko jest bardzo różne.
- Zduplikowane alerty
- Wiele narzędzi zgłasza ten sam problem na różne sposoby.
- Sztywne zasady
- Alerty uruchamiają się na podstawie stałych limitów zamiast rzeczywistego zachowania.
Jak zmniejszyć zmęczenie alertami
Jedynym prawdziwym rozwiązaniem jest redukcja szumu i skupienie się na tym, co ważne.
Skup się na rzeczywistym ryzyku
Nie wszystkie problemy są równe. Plexicus dostarcza pewne metryki, które pomagają priorytetyzować podatności:
1) Metryki priorytetu
Co mierzy: Ogólna pilność naprawy
To jest wynik (0-100), który łączy techniczną wagę (CVSSv4), wpływ na biznes i dostępność exploitów w jedną liczbę. To twoja kolejka działań - sortuj według Priorytetu, aby wiedzieć, co należy natychmiast załatwić. Priorytet 85 oznacza „porzuć wszystko i napraw to teraz”, podczas gdy Priorytet 45 oznacza „zaplanować na następną iterację.”
Przykład: Wstrzyknięcie SQL w wewnętrznym narzędziu produktywności, dostępne tylko z korporacyjnej sieci VPN, nie zawiera danych wrażliwych
- CVSSv4: 8.2 (wysoka techniczna waga)
- Wpływ na biznes: 45 (wewnętrzne narzędzie, ograniczona ekspozycja danych)
- Dostępność exploitów: 30 (wymaga uwierzytelnionego dostępu)
- Priorytet: 48
Dlaczego szukać priorytetu: Pomimo wysokiego wyniku CVSSv4 (8.2), Priorytet (48) poprawnie obniża pilność ze względu na ograniczony wpływ na biznes i niską możliwość wykorzystania. Jeśli patrzysz tylko na CVSS, możesz niepotrzebnie panikować. Priorytet mówi: „Zaplanuj to na następny sprint,” z wynikiem około 45.
To sprawia, że rekomendacja „następnego sprintu” jest znacznie bardziej rozsądna - to prawdziwa luka, która wymaga naprawy, ale nie jest to sytuacja awaryjna, ponieważ dotyczy narzędzia wewnętrznego o niskim wpływie z ograniczoną ekspozycją.
2) Wpływ
Co mierzy: Konsekwencje biznesowe
Wpływ (0-100) ocenia, co się stanie, jeśli luka zostanie wykorzystana, biorąc pod uwagę Twój konkretny kontekst: wrażliwość danych, krytyczność systemu, operacje biznesowe i zgodność z przepisami.
Przykład: SQL injection w publicznie dostępnym bazie danych klientów ma Wpływ 95, ale ta sama luka w wewnętrznym środowisku testowym ma Wpływ 30.
3) EPSS
Co mierzy: Prawdopodobieństwo zagrożenia w rzeczywistości
EPSS to wynik (0.0-1.0), który przewiduje prawdopodobieństwo, że konkretny CVE zostanie wykorzystany w rzeczywistości w ciągu następnych 30 dni.
Przykład: Luka sprzed 10 lat może mieć CVSS 9.0 (bardzo poważna), ale jeśli nikt już jej nie wykorzystuje, EPSS byłby niski (0.01). Z kolei nowszy CVE z CVSS 6.0 może mieć EPSS 0.85, ponieważ atakujący aktywnie go wykorzystują.
Możesz sprawdzić te metryki do priorytetyzacji, postępując zgodnie z tymi krokami:
- Upewnij się, że twoje repozytorium jest połączone i proces skanowania został zakończony.
- Następnie przejdź do menu Findings, gdzie znajdziesz metryki potrzebne do priorytetyzacji.
Kluczowe Różnice
| Metryka | Odpowiedzi | Zakres | Przedział |
|---|---|---|---|
| EPSS | „Czy atakujący to wykorzystują?” | Globalny krajobraz zagrożeń | 0.0-1.0 |
| Priorytet | „Co naprawić najpierw?” | Połączony wynik pilności | 0-100 |
| Wpływ | „Jak bardzo szkodzi to mojej firmie?” | Specyficzne dla organizacji | 0-100 |
Dodaj Kontekst
Jeśli istnieje podatna biblioteka, ale twoja aplikacja jej nigdy nie używa, to ostrzeżenie nie powinno mieć wysokiego priorytetu.
Dostosuj i Automatyzuj
Ucz narzędzia z czasem, co jest bezpieczne, a co nie. Automatyzuj proste poprawki, aby ludzie zajmowali się tylko rzeczywistymi zagrożeniami.
Używaj Jednego Przejrzystego Widoku
Używanie jednej platformy, takiej jak Plexicus, pomaga usunąć zduplikowane alerty i pokazuje tylko to, co wymaga działania.
Zmęczenie Alertami w Rzeczywistości
| Sytuacja | Bez Kontroli Hałasu | Z Inteligentnym Alertowaniem |
|---|---|---|
| Codzienne alerty | 1,000+ | 15–20 |
| Nastrój zespołu | Przytłoczony | Skoncentrowany |
| Pominięte ryzyka | Częste | Rzadkie |
| Cel | Jasne alerty | Naprawić rzeczywiste problemy |
Powiązane Terminy
FAQ
Ile alertów to za dużo?
Większość ludzi jest w stanie prawidłowo przejrzeć około 10–15 alertów dziennie. Więcej niż to zazwyczaj prowadzi do pominięcia problemów.
Czy zmęczenie alertami to tylko problem bezpieczeństwa?
Nie. Występuje również w opiece zdrowotnej, operacjach IT i obsłudze klienta. W przypadku bezpieczeństwa wpływ jest gorszy, ponieważ pominięte alerty mogą prowadzić do poważnych naruszeń.
Czy wyłączanie alertów pogarsza sytuację?
Jeśli alerty są wyłączane bez zastanowienia, tak.
Jeśli alerty są redukowane na podstawie rzeczywistego ryzyka i kontekstu, bezpieczeństwo faktycznie się poprawia.