Cos’è l’Alert Fatigue?

L’alert fatigue (affaticamento da allerta), nota anche come alarm fatigue (stanchezza da allarme) o notification fatigue (stanchezza da notifica), è un problema diffuso e comune in numerosi settori, tra cui sanità, edilizia e industria mineraria, tecnologia dell’informazione e cybersecurity. Sebbene affligga queste diverse aree in modo simile, l’alert fatigue nella cybersecurity può rivelarsi la più complessa e problematica.

L’alert fatigue è un fenomeno che si verifica quando i professionisti della cybersecurity vengono sommersi da un volume talmente elevato di avvisi di sicurezza da compromettere la loro capacità di reagire efficacemente e di investigare le minacce reali.

Tipicamente, l’alert fatigue si manifesta a causa della mancata filtrazione o prioritizzazione dei problemi che attivano gli allarmi, nonché della gestione inadeguata delle notifiche in arrivo. In molti casi, è una combinazione di questi fattori.

Gli avvisi nella cybersecurity si presentano in molteplici forme e sono attivati da svariate attività ed eventi sospetti. Alcune delle attività o potenziali minacce più comuni che potrebbero generare una notifica di allerta includono:

• Attività di rete sospette: come violazioni dei dati (data breach), intrusioni di rete e altre attività dannose.
• Serie di tentativi di accesso falliti: che possono indicare un tentativo di accesso non autorizzato.
• Rilevamento di malware, ransomware, virus software e altro codice dannoso.

Questi avvisi mirati sono progettati per informare i professionisti della cybersecurity di tali incidenti, consentendo loro di intraprendere azioni tempestive e di prevenire o rimediare a un’escalation. Gli avvisi sono generati da strumenti di sicurezza sofisticati – come sistemi di rilevamento delle intrusioni (IDS), firewall e sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) – che operano congiuntamente per monitorare continuamente l’attività di rete e allertare i professionisti della cybersecurity al rilevamento di minacce.

Quando un sistema presenta protocolli di monitoraggio della sicurezza e di allerta eccessivamente sensibili o mal definiti, il risultato può essere un progressivo aumento dell’alert fatigue. Ciò, a sua volta, può diminuire l’efficacia di tali protocolli di cybersecurity, poiché il numero elevato di avvisi può portare i professionisti a essere talmente sopraffatti dalle frequenti notifiche da trascurare le minacce più serie.

La causa principale dell’alert fatigue è l’enorme volume di notifiche generate da un sistema di cybersecurity. Questo può dipendere da diversi fattori, tra cui:

• Falsi positivi: quando i sistemi di cybersecurity producono continui avvisi per eventi non minacciosi (falsi positivi), ciò porta progressivamente i professionisti a desensibilizzarsi alle notifiche.
• Sistemi di cybersecurity complessi: la presenza di sistemi multipli, come nelle infrastrutture governative, istituzioni finanziarie e grandi aziende (enterprise), può rendere difficile correlare e consolidare gli avvisi, generando un volume elevato e un insieme complesso di notifiche.
• Mancanza di contesto: senza un contesto adeguato associato alle notifiche di allerta, può risultare confusionario e impegnativo per i professionisti della sicurezza individuare la gravità di un avviso, causando ambiguità e ritardi nelle risposte.
• Processi di gestione mal definiti: procedure e processi di risposta agli incidenti ben definiti consentono ai team di gestire efficacemente gli avvisi. Al contrario, processi e procedure carenti sono problematici perché intensificano l’alert fatigue.
• Mancanza di risorse: un numero limitato di professionisti della sicurezza per gestire un grande volume di notifiche di allerta può rendere difficile mantenere il passo e rispondere tempestivamente agli avvisi.
• Personalizzazione limitata: avvisi di cybersecurity non adeguatamente personalizzati e filtrati possono generare notifiche non minacciose o irrilevanti, esacerbando così l’alert fatigue.

In molte organizzazioni, una combinazione di queste cause contribuisce ai problemi di alert fatigue. Ciò è particolarmente vero in ambienti con molteplici strumenti di sicurezza implementati, ognuno dei quali genera la propria serie di avvisi, portando a un diluvio di notifiche e all’eventuale affaticamento.

Quando l’alert fatigue dilaga negli ambienti di cybersecurity, le ripercussioni comportano diversi rischi e conseguenze, tra cui:

• Falso senso di sicurezza: quando i professionisti della sicurezza diventano progressivamente sommersi e desensibilizzati dagli avvisi, possono iniziare a considerarli falsi positivi e a ignorarli, il che può indurre un falso senso di sicurezza.
• Risposta ritardata: i professionisti della sicurezza sopraffatti e affaticati da costanti avvisi possono reagire lentamente alle minacce critiche, causando ritardi nella mitigazione dei rischi reali.
• Aumento del carico di lavoro: quando il personale responsabile del monitoraggio degli avvisi è sommerso dalle notifiche, può sperimentare un aumento dello stress e della tensione lavorativa, con conseguente burnout, maggiore turnover e riduzione della produttività.
• Problemi di conformità legale e normativa: le violazioni della sicurezza possono portare a problemi di conformità normativa, con possibili multe e sanzioni costose.
• Aumento dei costi: se i sistemi di cybersecurity non riescono a filtrare e a dare priorità agli avvisi reali, l’organizzazione potrebbe dover allocare risorse aggiuntive al personale per gestire l’elevato volume di notifiche, con un conseguente aumento dei costi.
• Danno alla reputazione: una violazione della cybersecurity può danneggiare enormemente le attività di un’organizzazione e, di conseguenza, la sua reputazione, portando alla perdita di clienti e di fatturato.
• Diminuzione del morale: l’alert fatigue può avere conseguenze onerose sul morale del team di sicurezza di un’organizzazione, i cui membri possono diventare demotivati, disimpegnati e improduttivi.

È indiscutibile che l’alert fatigue stia diventando un problema sempre più rilevante nella cybersecurity. Un white paper di IDC ha riportato che i team di cybersecurity in organizzazioni di ogni dimensione lottano con l’alert fatigue, e fino al 30% degli avvisi non viene investigato o viene completamente ignorato.

Secondo il report di IBM e del Ponemon Institute sui costi delle violazioni dei dati, il costo medio di una violazione dei dati nel 2022 ha raggiunto la cifra record di 3,86 milioni di dollari, e il tempo medio per identificare e contenere una violazione è stato di 277 giorni. Il tempo di rilevamento è il fattore che contribuisce maggiormente ai costi complessivi associati alle violazioni dei dati. Più a lungo una violazione rimane non rilevata, maggiore è la quantità di dati sensibili che possono essere sottratti.

Il report del Ponemon Institute intitolato “The Cost of Malware Containment” ha rilevato che, in media, le organizzazioni ricevono circa 17.000 avvisi relativi a malware in una settimana tipica, ma solo il 19% di tali avvisi è considerato affidabile. Ciò indica che la stragrande maggioranza degli avvisi è costituita da falsi positivi che contribuiscono direttamente all’alert fatigue.

Promon, un importante fornitore di sicurezza delle applicazioni, ha scoperto che due terzi dei professionisti della cybersecurity intervistati all’expo Black Hat Europe hanno dichiarato di aver sperimentato il burnout nel 2022. Oltre il 50% degli intervistati ha attribuito al proprio carico di lavoro la principale fonte di stress.

Quindi, cosa possono fare le organizzazioni e i team di cybersecurity per minimizzare l’alert fatigue e ottimizzare l’efficacia dei protocolli di monitoraggio delle notifiche? Esaminiamo alcune potenziali soluzioni per contrastare l’alert fatigue.

Per minimizzare l’alert fatigue e migliorare l’efficacia complessiva della cybersecurity, le aziende e i team possono adottare le seguenti soluzioni:

Stabilire soglie per prioritizzare gli avvisi in base alla gravità

Impostare delle soglie è uno dei modi efficaci e sistematici per ottenere miglioramenti significativi nella mitigazione dell’alert fatigue. La premessa di questa soluzione è stabilire un sistema che assegni un livello di priorità a determinati tipi di avvisi.

Ad esempio, un team di cybersecurity può assegnare diversi livelli in base alla gravità dell’avviso: Livello 1 per avvisi critici che richiedono attenzione immediata, Livello 2 per avvisi prioritari che richiedono un intervento entro un lasso di tempo definito, e Livello 3 per avvisi a bassa priorità da affrontare durante il normale orario di lavoro.

Le soluzioni Threat Response di Proofpoint affrontano questa sfida fornendo contesto prezioso sulle minacce e automatizzando le azioni di risposta, come le attività di quarantena e contenimento attraverso l’infrastruttura di un sistema di sicurezza.

Utilizzare la correlazione automatizzata e il triage

La “correlazione automatizzata” identifica e raggruppa gli avvisi correlati per minimizzare le ridondanze e consentire ai professionisti della cybersecurity di concentrarsi sugli avvisi più critici. Ad esempio, se lo stesso indirizzo IP genera più avvisi, la correlazione automatizzata può raggrupparli, rendendo le indagini significativamente più semplici.

Similmente all’impostazione di soglie di priorità, il “triage automatizzato” gestisce l’escalation degli avvisi in base al loro livello di gravità. Assegnando un livello di priorità a ciascun avviso, i team identificano e rispondono rapidamente agli avvisi più critici, come le principali violazioni dei dati. Questa misura si basa sull’intelligence Emerging Threat (ET), la soluzione di Proofpoint che aiuta i team di cybersecurity a comprendere meglio il contesto storico dell’origine delle minacce alla sicurezza, chi ne è responsabile, quali metodi sono stati usati all’inizio dell’attacco e quali informazioni vengono ricercate.

Gli strumenti di correlazione e triage automatizzati possono essere integrati nei sistemi di cybersecurity esistenti, come i sistemi di prevenzione e rilevamento delle intrusioni, i sistemi SIEM e le piattaforme di threat intelligence.

Implementare un piano di risposta agli incidenti

Un piano di risposta agli incidenti è un insieme predeterminato di procedure e linee guida che un team di cybersecurity può seguire quando reagisce a un incidente di sicurezza. Questo piano mira a garantire che si risponda rapidamente ed efficientemente agli avvisi ad alta priorità, riducendo così il tempo dedicato all’investigazione e alla risoluzione dell’incidente. Gli elementi chiave di un piano di risposta agli incidenti includono:

• Identificare asset e sistemi critici: quelli più importanti per l’organizzazione e che subirebbero i danni maggiori in caso di compromissione.
• Assegnare un team di risposta agli incidenti: un gruppo di individui (es. professionisti IT, cybersecurity, legali, ecc.) responsabili della risposta e della gestione delle minacce alla sicurezza.
• Determinare le procedure di risposta agli incidenti: quelle che un team segue nella gestione di una minaccia alla sicurezza (rilevamento, contenimento, eradicazione e ripristino).
• Definire i protocolli di comunicazione: che un team di cybersecurity segue nel trasmettere informazioni e aggiornamenti agli stakeholder interni ed esterni (es. management, dipendenti, clienti e media) durante una minaccia alla sicurezza.
• Migliorare e aggiornare continuamente il piano di risposta agli incidenti assicura che i processi e le procedure rimangano pertinenti ed efficaci. Ciò include anche testare i piani attraverso esercitazioni e simulazioni, apportando le modifiche necessarie.

Altri aspetti contribuiscono alla mitigazione dell’alert fatigue, come la revisione frequente e l’ottimizzazione (fine-tuning) dell’intero sistema di cybersecurity per minimizzare la frequenza dei falsi positivi e garantire che vengano attivati solo gli allarmi pertinenti.

Un altro metodo comunemente utilizzato prevede sistemi per mantenere i dipendenti ben formati sulle best practice di consapevolezza della sicurezza (security awareness), riducendo così la possibilità di errori umani, come cadere vittime di truffe di phishing o trascurare avvisi seri.

Per saperne di più su come Proofpoint può aiutare a ridurre l’alert fatigue e a impedirle di interferire con i tuoi protocolli di cybersecurity, esplora le soluzioni Threat Response per tracciare qualsiasi avviso da qualsiasi fonte e organizzarli fluidamente in incidenti che possono ottimizzare il flusso di lavoro del tuo team.