A Orca Security divulgou um relatório de pesquisa sobre a fadiga do alerta de segurança na nuvem pública. A pesquisa, realizada entre mais de 800 profissionais de TI em cinco países e dez indústrias, constatou que 55% dos entrevistados usam três ou mais provedores de nuvem e 57% têm cinco ou mais ferramentas de segurança na nuvem.
Essa combinação de adoção em várias nuvens e ferramentas diferentes está sobrecarregando as equipes de segurança com uma enxurrada de alertas imprecisos. Por exemplo, 59% dos entrevistados recebem mais de 500 alertas de segurança na nuvem pública por dia, e 38% recebem mais de 1.000 por dia.
Mais da metade dos entrevistados gasta mais de 20% do seu tempo decidindo quais alertas devem ser tratados primeiro. A sobrecarga de alertas, combinada com a imprecisão generalizada (43% dizem que mais de 40% de seus alertas são falsos positivos) não está apenas contribuindo para o volume de negócios, mas também para alertas críticos perdidos. 55% dos entrevistados dizem que sua equipe perdeu alertas críticos no passado, devido à priorização ineficaz de alertas – muitas vezes semanalmente e até mesmo diariamente.
“Múltiplas ferramentas desconectadas continuam a atormentar as equipes de segurança. Ter que peneirar centenas de alertas ‘de alta prioridade’ muitas vezes sem sentido está fazendo com que os profissionais de segurança fiquem sobrecarregados e levando a burnout e volume de negócios, agravando a escassez de pessoal de segurança cibernética”, disse Avi Shua, CEO da Orca Security.
“A única maneira de vencer a batalha da segurança na nuvem é alavancar o contexto ao máximo. Os praticantes devem ser habilitados a se concentrar nas pouquíssimas combinações tóxicas de alertas e caminhos de ataque que podem colocar suas joias da coroa em risco, em vez de tentar rever milhares de alertas sem sentido.”
Principais descobertas
O número de alertas de segurança na nuvem e falsos positivos continua aumentando.
- Dos entrevistados, 59% dizem receber mais de 500 alertas de segurança na nuvem por dia. Quase 40% recebem mais de 1.000 alertas por dia.
- Diariamente, 79% têm mais de 500 alertas de segurança na nuvem abertos.
- 81% dos entrevistados dizem que mais de 20% dos alertas são falsos positivos, enquanto 43% dizem que mais de 40% de seus alertas são falsos positivos.
As equipes de segurança perdem tempo, ficam insensibilizadas por alertas falso-positivos e experimentam atrito organizacional e burnout.
- Mais da metade das equipes de segurança gastam mais de 20% do seu tempo decidindo quais alertas lidar primeiro, enquanto um quarto das equipes gastam mais de 40% do seu tempo priorizando alertas.
- Dos 55% dos entrevistados que dizem que os alertas críticos estão sendo perdidos, 41% disseram que os alertas estão sendo perdidos semanalmente. 22% disseram diariamente.
- A fadiga alerta causa burnout, volume de negócios e atrito interno: 62% dos entrevistados dizem que a fadiga de alerta contribuiu para o volume de negócios, e 60% disseram que a fadiga de alerta criou atrito interno.
Quanto mais ferramentas de segurança, maior a taxa de falsos positivos e a fadiga de alerta.
- De acordo com o relatório, mais de 57% dos entrevistados possuem cinco ou mais ferramentas de segurança na nuvem pública.
- Aqueles com 10 ou mais ferramentas de segurança na nuvem têm 67% mais chances de receber mais de 1.000 alertas por dia do que aqueles com 5 ou menos ferramentas.
- Mais de 50% dos profissionais de segurança com pelo menos 10 ferramentas em seus ambientes em nuvem recebem 40% ou mais alertas falso-positivos.
- Quase 70% das equipes de segurança com mais de 10 ferramentas sofrem de fadiga de alerta em comparação com 57% das equipes com menos de 5 ferramentas.
FONTE: HELPNET SECURITY