Apa itu Kelelahan Waspada? 4 Cara Mengatasinya dan Mencegah Kejenuhan

Bip, bip, ding, ding – asal mula kelelahan waspada.

Kelelahan waspada bukanlah fenomena baru. Itu terjadi ketika para profesional keamanan siber menjadi peka setelah berurusan dengan sejumlah besar peringatan, sehingga mereka mulai mengabaikan atau mengabaikannya dan memiliki waktu respons yang lebih lambat. Dalam sebagian besar kasus kelelahan peringatan, karyawan gagal merespons tepat waktu karena kelelahan yang mereka alami dari peringatan dan notifikasi.

Kelelahan waspada diyakini menjadi penyebab utama Pelanggaran Data Target 2013 yang menyebabkan pencurian kartu kredit dan informasi pribadi sekitar 40 juta pelanggan. Ini menjadi perhatian banyak bisnis dan membutuhkan perhatian serius. Tapi bagaimana Anda mengurangi mitigasi peringatan? Ayo cari tahu.

Perjuangan nyata bagi para profesional keamanan siber

Istilah kelelahan waspada pertama kali diciptakan pada tahun 2004 oleh The Joint Commission, organisasi akreditasi rumah sakit nirlaba yang berbasis di AS, untuk menyatakan efektivitas alarm klinis sebagai standar untuk rumah sakit. Sejak itu menjadi populer bagi banyak bisnis yang berurusan dengan peringatan, termasuk keamanan siber.

Meskipun mengabaikan pesan atau pemberitahuan aplikasi mungkin tidak memengaruhi kehidupan sehari-hari Anda secara negatif, akibatnya bisa parah bagi para profesional keamanan siber dan organisasi mereka. Menurut 2021 Evil Internet Minute Report 1 dari RiskIQ, kejahatan dunia maya merugikan bisnis sebesar $1,79 juta setiap 60 detik.

Sebuah survei pada tahun 2018, hanya empat tahun lalu, menemukan bahwa 27% profesional TI menerima lebih dari 1 juta peringatan keamanan setiap hari (jeda dan biarkan meresap), sementara mayoritas (67%) dibombardir dengan 100.000 peringatan setiap hari. UKM juga tidak terhindar dari banjir peringatan – terkena 4.000 serangan siber setiap hari.

Dan jumlah ini diperkirakan tidak akan turun dalam waktu dekat. Studi terkait dari tahun yang sama menemukan bahwa peringatan meningkat, dan personel keamanan hanya dapat memproses rata-rata 12.000 peringatan per minggu.

Pengunduran diri keamanan siber yang hebat

Tidak mengherankan jika profesional keamanan siber menghadapi kelelahan. Bahkan dengan tim yang cukup besar, menangani 2.000+ notifikasi sehari melelahkan secara mental. Bayangkan berada dalam mode pemadam kebakaran setiap 8 jam pada hari kerja biasa, terkadang bahkan lebih lama.

Sebuah laporan baru-baru ini oleh Panther Labs menemukan bahwa hingga 80% insinyur keamanan mengalami kelelahan. Selain itu, 45% responden untuk Voice of SecOps Report 2 tahunan Deep Instinct edisi ketiga mempertimbangkan untuk meninggalkan industri sama sekali karena stres. Empat puluh enam persen dari responden yang sama mengatakan bahwa mereka mengenal setidaknya seorang rekan yang meninggalkan keamanan siber dalam satu tahun terakhir karena stres.

Kepala petugas keamanan informasi (CISO) kehabisan tenaga dan berhenti pada tingkat yang bahkan lebih mengkhawatirkan. Empat puluh sembilan persen dari 1.000 responden dari laporan yang sama sedang mempertimbangkan untuk meninggalkan industri karena meningkatnya tingkat stres.

Ini bukan hanya tentang orang yang meninggalkan pekerjaannya tetapi kerusakan pada industri itu sendiri. Industri ini kehilangan bakat demi kebaikan, dan sepertinya tidak akan ada tingkat penggantian yang adil untuk mereka. Meskipun lebih banyak orang yang memasuki industri daripada yang meninggalkannya, dibutuhkan waktu bagi pendatang baru untuk mempercepatnya.

Tidak semua lansiran dibuat sama

Jadi mengapa ada begitu banyak peringatan? Alat pemantauan seperti Cloud Security Posture Management (CSPM) dan Security Information and Event Management (SIEM) mengeluarkan peringatan saat anomali terdeteksi dalam infrastruktur cloud. Namun, tidak semua peringatan memerlukan tindakan, atau setidaknya tidak segera. Beberapa peringatan menunjukkan masalah kecil yang dapat diperbaiki nanti atau bahkan diabaikan.

Lalu ada positif palsu, yang merupakan hampir setengah (45%) dari semua peringatan keamanan siber, menurut laporan yang diterbitkan oleh Fastly pada tahun 2021. Positif palsu adalah peringatan yang menunjukkan adanya serangan, kerentanan, atau risiko padahal sebenarnya tidak ada.

Anggap saja sebagai alarm palsu atau anak laki-laki yang menangis serigala. Misalnya, file lama yang sah dengan sertifikat keamanan yang hilang dapat ditandai sebagai berbahaya.

Demikian pula, peringatan dapat dikeluarkan yang menunjukkan login yang mencurigakan oleh karyawan dari lokasi yang tidak diketahui saat tim keamanan informasi (IS) tidak mengetahui bahwa karyawan tersebut sedang berlibur.

Untuk meminimalkan peringatan tersebut, Anda dapat menggunakan kebijakan hak istimewa paling rendah dan hanya membagikan akses ke aplikasi dan data yang tidak rawan ancaman. Anda juga dapat menggunakan model tanpa kepercayaan dan sepenuhnya membatasi akses ke aplikasi dan data yang rawan ancaman atau kritis.

Laporan Fastly juga menemukan bahwa 75% organisasi menghabiskan banyak waktu, dan terkadang lebih banyak waktu, untuk positif palsu daripada serangan sebenarnya. Peringatan palsu ini menyebabkan jumlah downtime yang sama dengan serangan sebenarnya.

Masalah dengan positif palsu bukanlah karena mereka ada, tetapi:

• Banyaknya jumlah mereka
• Masing-masing membutuhkan waktu dan upaya untuk meninjau, menyelidiki, dan memverifikasi untuk memastikan apakah serangan, ancaman, atau kerentanan itu nyata.

Ini adalah akar penyebab kelelahan waspada.

Bayangkan sistem alarm kebakaran yang rusak berbunyi berulang kali di rumah Anda. Pertama kali meratap, Anda menyisir setiap sudut rumah dengan seksama untuk memastikan apakah ada api dan di mana letaknya. Anda dapat melakukan ini untuk beberapa alarm berikutnya, tetapi pada akhirnya, putuskan saja bahwa tidak ada gunanya menyelidiki alarm lain dan mengabaikannya.

Dengan cara yang sama, profesional keamanan siber pada akhirnya dapat sepenuhnya mengabaikan atau melewatkan peringatan penting yang menunjukkan ancaman atau serangan nyata karena kelelahan peringatan. Lalu ada pertimbangan alert mana yang lebih penting dan perlu diprioritaskan.

Beberapa organisasi menggunakan sistem yang berbeda untuk memantau infrastruktur cloud mereka, yang berarti setiap sistem mendapatkan peringatan yang adil. Ini sering kali memiliki efek multiplikasi, membuat para profesional keamanan dunia maya tenggelam dalam lautan peringatan yang luas.

4 rekomendasi untuk mencegah kelelahan waspada

Sayangnya, Anda tidak dapat menghapus peringatan palsu. Aturan pemantauan finetuning membantu menguranginya, tetapi pengurangannya paling tidak signifikan. Namun, menggunakan CSPM dan alat pemantauan lainnya dapat membantu profesional keamanan siber mengontekstualisasikan peringatan atau memberikan informasi yang memadai untuk penyelidikan faktual dan mitigasi ancaman.

Penanggulangan lain yang mungkin dilakukan adalah menyediakan remediasi sekali klik yang mudah sehingga staf keamanan dapat dengan cepat dan mudah memitigasi ancaman umum atau bahkan memberikan petunjuk langkah demi langkah tentang cara memulihkan ancaman ini.

Di bawah ini adalah beberapa fitur yang perlu dipertimbangkan dalam alat CPSM untuk membantu mengurangi kelelahan waspada bagi staf keamanan Anda.

1. Mengontekstualisasikan lansiran

CSPM harus memungkinkan Anda mengidentifikasi dan memperbesar aset yang dicurigai dengan cepat untuk memahami konteks ancaman sehubungan dengan perspektif konfigurasi dan aktivitas yang terkait dengan tingkat keparahan peristiwa.

Ini secara signifikan mengurangi waktu yang diperlukan untuk menyelidiki setiap peringatan. Anda dapat dengan cepat mengidentifikasi dan menutup peringatan palsu, segera mengambil tindakan untuk mengurangi ancaman, atau memulihkan kerentanan.

2. Memberikan wawasan yang dapat ditindaklanjuti

Mencegah selalu lebih baik daripada mengobati. Mengapa menunggu peringatan datang? Bayangkan melihat riwayat semua perubahan yang dilakukan pada lingkungan multi-cloud Anda, masing-masing disertai dengan wawasan yang dapat ditindaklanjuti yang membantu Anda mengetahui potensi ancaman terhadap infrastruktur cloud Anda dan bahkan memandu Anda dalam mengambil tindakan proaktif untuk memitigasi potensi ancaman tersebut.

Memiliki fitur seperti itu juga akan memungkinkan organisasi Anda tetap siap audit untuk standar internasional seperti ISO 27001, SOC 2, standar khusus industri dan teritorial seperti PCI DSS untuk industri pembayaran, MAS TRM Singapura, POJK 38 Indonesia, APRA Australia , dan PDPA Thailand.

3. Aturan khusus dan penandaan tingkat ancaman

Setiap organisasi memiliki kebutuhan keamanan dan bisnis yang unik; milikmu tidak berbeda. Anda mungkin memiliki beberapa aturan keamanan internal untuk dipantau. Beberapa organisasi juga memiliki aset cloud yang lebih penting daripada yang lain dibandingkan dengan rekan industri mereka.

Anda dapat mengurangi kejenuhan peringatan dengan memantau aturan dan aset internal ini, menetapkan tanda kekritisan yang tepat untuk masing-masing, dan memprioritaskannya. Misalnya, Anda mungkin ingin mendapatkan peringatan setiap kali ada perubahan pada bucket AWS S3 yang berisi data Personal Identifiable Information (PII).

Selanjutnya, CSPM harus memungkinkan Anda membuat grup pemantauan tempat Anda dapat menentukan tingkat kekritisan dan secara otomatis menerapkannya ke aset penting lain yang ditandai di organisasi Anda. Ini akan membantu Anda mengurangi kelelahan waspada.

4. Remediasi cepat terhadap ancaman dan kerentanan

Staf keamanan Anda juga harus dapat dengan cepat dan mudah memulihkan kerentanan dan ancaman umum dan kecil serta menerima petunjuk langkah demi langkah untuk mengurangi kerentanan tertentu.

Faktanya, memilih semua kerentanan umum dan kecil lalu memulihkannya secara massal dengan satu klik mouse akan secara signifikan mengurangi waktu yang dihabiskan staf keamanan Anda untuk perbaikan.

Cara lain Anda dapat membantu staf keamanan Anda mencegah keletihan dan peningkatan keterampilan secara bersamaan adalah dengan memastikan bahwa alat CSPM menawarkan petunjuk langkah demi langkah untuk memulihkan kerentanan. Misalnya, staf keamanan Anda dapat memilih untuk memulihkan kerentanan umum dan kecil dengan opsi sekali klik saat menggunakan panduan langkah demi langkah untuk perbaikan yang lebih kompleks dan belajar dari situ.

Tetap waspada, tapi jangan berlebihan

Kelelahan waspada adalah masalah nyata yang dihadapi industri keamanan siber saat ini. Hal ini tidak hanya melemahkan pertahanan organisasi Anda terhadap peningkatan jumlah dan kecanggihan serangan siber, tetapi juga berdampak buruk pada kesehatan mental staf keamanan Anda.

Kelelahan waspada telah menyebabkan banyak contoh pelanggaran di kehidupan nyata. Banyak profesional benar-benar pergi atau berpikir untuk meninggalkan industri ini sama sekali. Ini bukan pertanda baik bagi industri keamanan siber secara keseluruhan, mengingat adopsi cloud sedang meningkat dan kebutuhan akan talenta semacam itu sangat besar dalam skala global.

Meskipun kita harus mengakui bahwa kelelahan waspada tidak pernah bisa diberantas, setidaknya kita bisa melakukan yang terbaik untuk meminimalkan kebusukan. Memperkenalkan dan mengadopsi alat CSPM yang baik adalah salah satu cara yang baik untuk melakukannya.

Masalah ini perlu diselesaikan secepatnya dan tidak dibiarkan berlarut-larut.

Serangan siber masuk! Cari tahu apa yang harus dilakukan ketika Anda mengalami pelanggaran data dan mencegah pelanggaran di masa mendatang.