Задача специалистов по безопасности - это поиск информации о вирусных угрозах и уведомлений о нападениях, но избыток данных провоцирует информационный шум, который является причиной того, что легко их пропустить или проигнорировать.

Если система безопасности генерирует в день 60 предупреждений, а в течение нескольких недель - тысячи, администратор видит, что ни одно из них не требует активных действий, в итоге начинает игнорировать предупреждения. ИТ-отделы имеют много других задач и, зачастую, слишком мало времени и ресурсов для тщательного анализа каждого оповещения.

Конечно, любое устройство безопасности можно настроить так, чтобы свести к минимуму число создаваемых оповещений. Но это трудоемкий процесс и он вызывает дополнительную нагрузку на ИТ-администраторов, которы неохотно берут на работу. Такова реальность. Как сообщает сайт Сервер Сити, сотрудники ИТ-подразделений в компаниях, в основном, фокусируются на задачах, которые обеспечивают непрерывность работы бизнеса, поддерживают его рост, который бы приносил доход. Кроме того, инвестиции в системы безопасности, как правило, сосредоточены в настоящее время на решениях, которые должны обеспечить соблюдение законодательства и требований регулирующих органов. В результате фирма может установить нужное устройство, потому что оно должно быть в системе, но забывает о его тонкой настройки. К сожалению, по умолчанию настройки, сделанные через провайдера, часто не оправдываются после внедрения решения в активную среду.

В результате, администратора заливает волна ложных срабатываний уведомлений, которые являются шумом, мешающим идентифицировать истинные сигналы об опасности. А некоторые из игнорируемых сигналов являются важными предупреждениями. В соответствии с отчетом Verizon, уже в 2010 году 86% компаний стали жертвами вирусов, но информация об угрозах, ранее зафиксированная в протоколах действий, была ими проигнорирована. В последнее время отличным примером этой проблема была эффективная атаки на сайт американской компании Target.

Проведенные позже в Target исследования показали, что после взлома корпоративной сети небольшая часть активности хакеров была зарегистрирована в журнале активности и передана в виде оповещения сотрудников, занимающихся безопасностью. Эти предупреждения, были проверены, но в основе их стандартной интерпретации было установлено, что они не требуют немедленной реакции. Такие ситуации происходят во многих компаниях по всему миру ежедневно. Разница заключается в том, что о нарушении в Target узнала общественность.