Alerta informazio-sistema batean egon daitezkeen kalteberatasunen, ustiapenen eta beste segurtasun-arazoen inguruko ohartarazpen tekniko laburra da eta, gehienetan, gizakiek irakur dezakete.
Zibersegurtasunaren arloko enpresa eta erakunde askok eskaintzen dute haien zerbitzuen parte gisa segurtasun-alerta eta -ohartarazpenen inguruko informazioa. Basque Cybersecurity Centre hainbat segurtasun-ohartarazpen eskaintzen ditu doan:
- Ohartarazpen teknikoak: tekniko profesionalei zuzendutako ohartarazpenak dira, prebentzioa, babesa eta zibersegurtasuneko gertakariei aurre egiteko erantzun eraginkorrak ematen laguntzeko.
- Kontrol industrialeko sistemen ohartarazpena: hardwarean (PLC, RTU, etab.) eta softwarean (SCADA, etab.) dauden kalteberatasunen inguruko ohartarazpenak, kontrol industrialerako sistemetan erabiltzen direnak.
- Zibersegurtasuneko albisteak: zibersegurtasuneko ekitaldien, gertakarien edo berrikuntzen inguruko informazio eguneratua.
Alerta horiek gertakarien kudeaketako lehengaiaren parte izan daitezke eta, egunero, informazio-kopuru handia sortzen da. Horren ondorioz, azken urteetan alerta horiekin lotutako “albo-ondorio” bitxia gertatu da, “alertak sortzen duen nekea” izenekoa, hau da, gehiegizko alertak jasotzearen ondorioz profesionalek duten saturazioa.
Mundu osoko zibersegurtasuneko ekipoetara geroz eta alerta gehiago heltzen dira eta horrek zaildu egiten du mehatxuen balorazio eta sailkapen egokia egitea. Gehiegizko alerta kopuruak SOCeko (Segurtasun Eragiketen Zentroa) aztertzaileak nekatzen ditu, eta, zibersegurtasunaren arloan dauden profesional urriekin batera, segurtasun informatikorako taldeen gainkarga sortzen du eta hauek ustezko eraso batekin zerikusia duten ohartarazpenak alde batera utz ditzakete. Gainera, SOCeko profesionalek positibo faltsu ugari topatzen dituzte, hau da, benetako arriskurik ez duten alertei erantzuten ematen dute denbora. Ondorioz, beste zeregin edo abisu batzuek izaten dute lehentasuna eta erakundearentzako benetako arriskurik ez daukatela diruditen alerta jakin batzuk albo batera uzten dituzte.
Neke horri aurre egiteko, arduragabekeriak saihesteko eta alerten kudeaketaren eraginkortasuna hobetzeko modurik eraginkorrenetakoa positibo faltsuak murrizten ahalegintzea da. Halaber, segurtasun-operazioen automatizazioa areagotu behar da giza-ahaleginak murrizteko, esaterako, errepikatzen diren zereginetan. Zenbat eta automatizazio handiagoa eta eskuzko kudeaketa txikiagoa, neke gutxiago izango dute eta lehenago hauteman eta erantzungo diete erasoei. Alertak automatizatu eta kudeaketa bizkortzeko eta ekipoen nekea murrizteko tresnarik ezagunenak dira:
- SIEM (Security Informaction and Event Management, Segurtasun-Informazioa eta Gertaeren Kudeaketa euskaraz): Hainbat gailuren erregistroak aztertzen ditu ustezko erasoen arteko konexioak ezarri eta alertak igortzeko.
- SOAR (Security Orchestration, Automation and Response; Segurtasunaren Antolaketa, Automatizazioa eta Erantzuna euskaraz): Eskuz denbora asko behar duten baina alertak ikertzeko ezinbestekoak diren zeregin ugari automatizatzeko aukera ematen du, hala nola ticketak sortzea edo ohartarazpenak dituzten mezu elektronikoak bidaltzea.
