L'impact des fausses alertes sur les analystes en cybersécurité
Les fausses alertes impactent grave le taf des analystes pour déceler les vraies menaces cyber.
― 7 min lire
Table des matières
Les organisations utilisent des systèmes appelés systèmes de détection d'intrusions (IDS) pour repérer des activités nuisibles dans les réseaux informatiques. Ces systèmes déclenchent des alarmes quand ils détectent des comportements suspects. Les Analystes en cybersécurité sont chargés de vérifier ces alarmes pour déterminer si elles indiquent de vraies menaces ou si ce sont des fausses alarmes. Malheureusement, beaucoup d'alarmes générées par les IDS sont fausses, ce qui entraîne un taux élevé de fausses alarmes.
Cet article examine comment le taux de fausses alarmes des IDS impacte la performance des analystes humains, notamment leur capacité à identifier les vraies menaces, leur taux de Précision lorsqu'ils escaladent des alarmes, et le temps qu'ils passent sur ces tâches.
Le défi des fausses alarmes
Les fausses alarmes posent un vrai problème pour les analystes. Des études montrent qu’elles peuvent représenter jusqu'à 99% des alarmes. Ces fausses alarmes augmentent la charge de travail des analystes et peuvent mener à ce qu'on appelle le burnout. Quand les analystes doivent sans cesse gérer des fausses alarmes, ils commencent à se méfier du système, ce qui complique leurs prises de décision.
Le taux d'alarmes dépend de la configuration de l'IDS. La plupart des IDS génèrent un nombre élevé de fausses alarmes. Cette situation peut embrouiller les analystes car le ratio de vraies menaces par rapport aux activités inoffensives est très bas. Donc, les IDS doivent être très précis pour être efficaces.
Des études ont montré que quand les gens sont informés sur la fiabilité d'un système d'alarme, leur comportement change. Par exemple, s'ils savent que le système n'est pas très fiable, ils ont tendance à questionner les alarmes. Quand ils doutent du système, ils passent plus de temps à vérifier les alarmes, ce qui les ralentit. Dans certains cas, ils peuvent faire confiance aveuglément au système ou l'ignorer complètement pour avancer plus vite dans leur travail.
Recherches précédentes
Certaines recherches se sont penchées sur la performance des analystes dans des tâches de cybersécurité, notamment en ce qui concerne les emails de phishing. À mesure que le nombre d'emails nuisibles diminue, la capacité à identifier les emails malveillants baisse aussi. Dans d'autres études, des analystes ayant des connaissances spécifiques sur le réseau se sont révélés plus performants que ceux ayant seulement des connaissances générales en cybersécurité.
Une étude a consisté à faire évaluer des alarmes IDS simulées par des participants. Ceux qui avaient été formés avec un pourcentage plus élevé d'alarmes vraies s'en sortaient mieux que ceux formés avec un plus faible ratio lors de l'évaluation d'alarmes avec un taux mixte d'alarmes vraies.
Cet article vise à mieux comprendre comment la performance des analystes est influencée par le taux de fausses alarmes. L'étude explore trois idées principales :
- Plus le taux de fausses alarmes augmente, moins les analystes peuvent détecter de vraies menaces.
- Plus le taux de fausses alarmes augmente, moins la précision des décisions des analystes est élevée.
- Plus le taux de fausses alarmes augmente, plus le temps que les analystes passent à évaluer les alarmes augmente.
Conception de l'étude
Au total, 52 bénévoles provenant de domaines liés à l'informatique ont participé à l'étude. Comme compensation, les participants pouvaient participer à une tombola ou recevoir des crédits supplémentaires pour leurs cours, peu importe leurs performances.
On a dit aux participants qu'ils étaient des analystes juniors en cybersécurité dans une entreprise et leur tâche était de déterminer si une série d'alarmes de l'IDS nécessitait une enquête plus approfondie ou pouvait être considérée comme une activité normale.
Les alarmes simulées présentées dans l'étude étaient basées sur un scénario où un utilisateur semblait se connecter de deux lieux impossibles à atteindre dans le délai imparti. Ce scénario est simple et correspond à de vraies enquêtes.
L'étude comportait 30 alarmes vraies et 43 fausses. Chaque alarme contenait des détails comme les emplacements géographiques des tentatives de connexion, le nombre de connexions réussies et échouées, et d'autres informations pertinentes qui pourraient déclencher une alarme dans un système réel.
L'expérience a été conduite via une application web qui guidait les participants à travers les tâches. Elle incluait une formation sur la manière d'évaluer les alarmes et un "Playbook de Sécurité" fournissant des principes d'évaluation.
Les participants ont été répartis en deux groupes : un groupe voyait des alarmes avec un taux de fausses alarmes de 50%, tandis que l'autre faisait face à un taux de 86%. L'idée était que le taux de 50% est plus gérable pour les analystes, tandis que le taux de 86% reflète un scénario plus réaliste qu'ils pourraient rencontrer.
Résultats
L'étude a trouvé que la précision et le temps passé par les analystes variaient fortement entre les deux groupes. Les analystes du groupe avec le taux de fausses alarmes plus élevé (86%) étaient beaucoup moins précis, avec une précision inférieure de 47% par rapport à ceux du groupe avec le taux de fausses alarmes moins élevé (50%). Ils prenaient aussi environ 40% de temps supplémentaire pour accomplir leurs tâches.
Fait intéressant, les deux groupes avaient des niveaux de Sensibilité similaires, ce qui signifie que les deux réussissaient à identifier efficacement les vraies alarmes. Cette constatation suggère que la sensibilité n'est pas aussi négativement affectée par des taux de fausses alarmes plus élevés que ce qui était pensé auparavant.
Cependant, comme prévu, la précision de la prise de décision a diminué à mesure que le taux de fausses alarmes augmentait. Les analystes dans le groupe à taux de fausses alarmes plus élevé ont escaladé plus d'alarmes que nécessaire, probablement par crainte de manquer une vraie menace.
De plus, les analystes du groupe à taux de fausses alarmes plus élevé prenaient plus de temps pour évaluer chaque alarme, indiquant qu'ils étaient plus prudents et incertains quant à leurs décisions. Ils avaient souvent besoin de revérifier les détails avant d'arriver à une conclusion.
Implications
L'étude souligne certains points importants pour améliorer la performance des analystes en cybersécurité :
Un taux de fausses alarmes d'environ 50% peut conduire à une bien meilleure précision de prise de décision comparé à un taux plus élevé de 86%. Cela montre qu'un taux de 50% peut sembler élevé, mais il peut considérablement améliorer l'efficacité des analystes.
Étant donné que les analystes du groupe avec 50% de fausses alarmes pouvaient travailler plus rapidement et avec plus de précision, les organisations devraient viser ce taux de fausses alarmes pour réduire la charge de travail inutile et améliorer les temps de réponse.
Les résultats indiquent aussi qu'avoir un nombre élevé de fausses alarmes ne ralentit pas seulement les analystes mais affecte également la qualité de leurs décisions. Cela peut mener à des enquêtes inutiles et à une perte de temps.
L'étude met en lumière la nécessité de mener d'autres enquêtes en utilisant des groupes plus importants, des tâches plus variées et différents niveaux d'expérience parmi les participants.
Conclusion
En cybersécurité, gérer les fausses alarmes est crucial. Les analystes doivent se sentir confiants dans leurs systèmes pour réduire le stress et améliorer leurs performances. Cette étude illustre l'impact significatif des taux de fausses alarmes sur la sensibilité, la précision et la gestion du temps des analystes. En trouvant des moyens de réduire les taux de fausses alarmes, les organisations peuvent aider leurs analystes en cybersécurité à travailler plus efficacement, améliorant ainsi les mesures de sécurité globales.
Titre: A Controlled Experiment on the Impact of Intrusion Detection False Alarm Rate on Analyst Performance
Résumé: Organizations use intrusion detection systems (IDSes) to identify harmful activity among millions of computer network events. Cybersecurity analysts review IDS alarms to verify whether malicious activity occurred and to take remedial action. However, IDS systems exhibit high false alarm rates. This study examines the impact of IDS false alarm rate on human analyst sensitivity (probability of detection), precision (positive predictive value), and time on task when evaluating IDS alarms. A controlled experiment was conducted with participants divided into two treatment groups, 50% IDS false alarm rate and 86% false alarm rate, who classified whether simulated IDS alarms were true or false alarms. Results show statistically significant differences in precision and time on task. The median values for the 86% false alarm rate group were 47% lower precision and 40% slower time on task than the 50% false alarm rate group. No significant difference in analyst sensitivity was observed.
Auteurs: Lucas Layman, William Roden
Dernière mise à jour: 2023-07-13 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2307.07023
Source PDF: https://arxiv.org/pdf/2307.07023
Licence: https://creativecommons.org/licenses/by-nc-sa/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.
Liens de référence
- https://orcid.org/0000-0002-2534-8762
- https://journals.sagepub.com/doi/10.1177/154193120504900304
- https://dl.acm.org/doi/10.1145/306549.306571
- https://www.usenix.org/system/files/conference/soups2015/soups15-paper-sundaramurthy.pdf
- https://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.136.1949&rep=rep1&type=pdf
- https://dl.acm.org/doi/10.1145/1380564.1380566
- https://www.usenix.org/conference/cset18/presentation/dykstra
- https://www.tandfonline.com/doi/abs/10.1080/00140139508925269
- https://journals.sagepub.com/doi/10.1518/001872001775870395
- https://www.tandfonline.com/doi/abs/10.3200/GENP.136.3.303-322
- https://portal.acm.org/citation.cfm?doid=357830.357849
- https://journals.sagepub.com/doi/10.1177/1541931213571301
- https://journals.sagepub.com/doi/10.1177/0018720818780472
- https://www.sciencedirect.com/science/article/pii/S0747563215000539
- https://arxiv.org/abs/2002.10530
- https://uncw-hfcs.github.io/ids-simulator/
- https://uncw-hfcs.github.io/ids-simulator-analysis/
- https://www.sciencedirect.com/science/article/pii/S0167404818301408