アラート疲労とは？ それを軽減し、燃え尽き症候群を防ぐ4つの方法

ピー、ピー、ディン、ディン - アラート疲労の原因。

アラート疲労は新しい現象ではありません。 これは、サイバーセキュリティの専門家が膨大な数のアラートを処理した後に鈍感になり、アラートを見落としたり無視したりして応答時間が遅くなったときに発生します。 アラート疲労のほとんどの場合、従業員はアラートや通知による燃え尽き症候群のために時間内に応答できません。

2013 年のターゲット データ侵害では、約 4,000 万人の顧客のクレジット カードと個人情報が盗まれましたが、アラート疲労が主な原因であると考えられています。 これは多くの企業にとって懸念事項であり、真剣な注意が必要です。 しかし、アラートの軽減をどのように軽減しますか? 確認してみましょう。

サイバーセキュリティの専門家にとっての真の戦い

アラート疲労という用語は、2004 年に、米国に本拠を置く非営利の病院認定組織であるジョイント コミッションによって、臨床アラームの有効性を病院の基準として宣言するために初めて造られました。 それ以来、サイバーセキュリティを含むアラートを扱う多くの企業で人気を博しています.

メッセージやアプリの通知を無視しても、日常生活に悪影響を与えることはないかもしれませんが、サイバーセキュリティの専門家とその組織にとっては深刻な影響を与える可能性があります. RiskIQ の 2021 Evil Internet Minute Report 1 によると、サイバー犯罪は企業に 60 秒ごとに 179 万ドルという莫大な損害を与えています。

わずか 4 年前の 2018 年の調査によると、IT プロフェッショナルの 27% が毎日 100 万件以上のセキュリティ アラートを受信して​​おり (一時停止してそれを受け入れます)、大多数 (67%) は毎日 100,000 件のアラートにさらされています。 中小企業もアラートの大洪水を免れることはできず、毎日 4,000 件のサイバー攻撃を受けています。

そして、この数がすぐに減少するとは予想されていません。 同じ年の関連する調査では、アラートが増加しており、セキュリティ担当者が処理できるアラートは 1 週間あたり平均 12,000 件にすぎないことがわかりました。

偉大なサイバーセキュリティの辞任

サイバーセキュリティの専門家が燃え尽き症候群に直面していることは驚くべきことではありません。 大規模なチームであっても、1 日に 2,000 件以上の通知を処理するのは精神的に負担がかかります。 典型的な勤務日の 8 時間ごと、時にはそれ以上の時間、消防士モードになっていることを想像してみてください。

Panther Labs による最近のレポートによると、セキュリティ エンジニアの最大 80% が燃え尽き症候群に苦しんでいます。 さらに、Deep Instinct の年次 Voice of SecOps レポート 2 の第 3 版に対する回答者の 45% が、ストレスのために業界を完全に離れることを検討しています。 同じ回答者の 46% が、過去 1 年間にストレスが原因でサイバーセキュリティを離れた同僚を少なくとも 1 人知っていると述べています。

最高情報セキュリティ責任者 (CISO) は、さらに驚くべき速さで燃え尽きて退職しています。 同じレポートの 1,000 人の回答者の 49% が、ストレス レベルの上昇により、業界を離れることを検討しています。

人々が仕事を辞めるだけではなく、業界自体へのダメージです。 業界は永久に才能を失っており、公平な代替率はありそうにありません。 業界を去るよりも多くの人々が業界に参入しているにもかかわらず、新規参入者がスピードに慣れるまでには時間がかかります.

すべてのアラートが同じように作成されるわけではありません

では、なぜこれほど多くのアラートが発生するのでしょうか。 Cloud Security Posture Management (CSPM) や Security Information and Event Management (SIEM) などの監視ツールは、クラウド インフラストラクチャ内で異常が検出されるとアラートを発行します。 ただし、すべてのアラートに対応が必要なわけではなく、少なくともすぐに対応する必要はありません。 一部のアラートは、後で修正または無視できるマイナーな問題を示します。

次に、Fastly が 2021 年に発行したレポートによると、すべてのサイバーセキュリティ アラートのほぼ半分 (45%) を占める偽陽性があります。偽陽性とは、実際には存在しない攻撃、脆弱性、またはリスクを示すアラートです。

誤報か、オオカミを叫んだ少年と考えてください。 たとえば、セキュリティ証明書が欠落している古い正当なファイルに、悪意のあるファイルとしてフラグを立てることができます。

同様に、従業員が休暇中であることに情報セキュリティ (IS) チームが気付いていない場合、不明な場所からの従業員による不審なログインを示すアラートが発行される場合があります。

このようなアラートを最小限に抑えるには、最小特権ポリシーを使用して、脅威が発生しにくいアプリとデータへのアクセスのみを共有します。 また、ゼロトラスト モデルを使用して、脅威が発生しやすいアプリや重要なアプリやデータへのアクセスを完全に制限することもできます。

また、Fastly のレポートでは、組織の 75% が実際の攻撃よりも誤検出に多くの時間を費やしていることもわかりました。 これらの誤ったアラートは、実際の攻撃と同じ量のダウンタイムを引き起こします。

誤検知の問題は、それらが存在することではありませんが、次の点にあります。

• それらの膨大な数
• いずれも、攻撃、脅威、または脆弱性が本物かどうかを確認するために、レビュー、調査、検証に時間と労力を要します。

これらは、アラート疲労の根本的な原因です。

あなたの家で故障した火災警報システムが繰り返し作動することを想像してみてください。 初めて鳴き声を上げたときは、家の隅々まで徹底的に調べて、火事の有無と場所を確認します。 後続のいくつかのアラームに対してこれを行うこともできますが、最終的には、別のアラームを調査して無視するのは時間の無駄だと判断します。

同様に、サイバーセキュリティの専門家は、アラート疲労により、実際の脅威や攻撃を示す重要なアラートを最終的に完全に無視したり見逃したりする可能性があります。 次に、どのアラートがより重要で、優先順位を付ける必要があるかを検討します。

一部の組織は、異なるシステムを使用してクラウド インフラストラクチャを監視しています。つまり、各システムが公平にアラートを受け取ることになります。 これらは多くの場合、相乗効果をもたらし、サイバーセキュリティの専門家は膨大な量のアラートの海に溺れています。

アラート疲労を防ぐための 4 つの推奨事項

残念ながら、誤報を根絶することはできません。 監視ルールを微調整すると、それらを減らすことができますが、その削減はせいぜい重要ではありません。 ただし、CSPM やその他の監視ツールを使用すると、サイバーセキュリティの専門家がアラートのコンテキストを把握したり、事実調査や脅威の軽減に十分な情報を提供したりするのに役立ちます。

もう 1 つの考えられる対策は、簡単なワンクリック修復を提供して、セキュリティ スタッフが一般的な脅威を迅速かつ簡単に軽減したり、これらの脅威を修復する方法について段階的な指示を提供したりすることです。

以下は、セキュリティ スタッフのアラート疲労を軽減するために CPSM ツールで考慮すべき機能の一部です。

1.アラートを文脈化する

CSPM を使用すると、疑わしいアセットをすばやく特定して拡大し、イベントの重大度に関連する構成とアクティビティの観点から脅威のコンテキストを理解できる必要があります。

これにより、各アラートの調査に必要な時間が大幅に短縮されます。 誤ったアラートをすばやく特定して却下し、脅威を軽減するための迅速な措置を講じたり、脆弱性を修復したりできます。

2.実用的な洞察を提供する

予防は常に治療よりも優れています。 アラートが届くのを待つ必要はありません。 マルチクラウド環境に加えられたすべての変更の履歴を見ることを想像してみてください。それぞれに、クラウド インフラストラクチャに対する潜在的な脅威を知るのに役立つ実用的な洞察が付随しており、潜在的な脅威を軽減するためのプロアクティブなアクションを実行するためのガイドも含まれています。

このような機能を持つことで、組織は、ISO 27001、SOC 2 などの国際規格、決済業界の PCI DSS、シンガポールの MAS TRM、インドネシアの POJK 38、オーストラリアの APRA などの業界固有および地域の規格の監査準備を整えることもできます。 、およびタイの PDPA。

3. カスタム ルールと脅威レベルのフラグ設定

どの組織にも独自のセキュリティとビジネス ニーズがあります。 あなたも同じです。 監視する社内セキュリティ ルールがいくつかある場合があります。 一部の組織は、同業他社と比較して他の組織よりも重要なクラウド資産を持っています。

これらの社内ルールと資産を監視し、それぞれに適切な重要度フラグを設定し、それらに優先順位を付けることで、アラート疲労を軽減できます。 たとえば、個人を特定できる情報 (PII) データを含む AWS S3 バケットに変更があるたびにアラートを受け取ることができます。

さらに、CSPM を使用すると、重要度レベルを指定して組織内の他のフラグ付きの重要な資産に自動的に適用できる監視グループを作成できます。 これにより、アラート疲れを軽減できます。

4.脅威と脆弱性の迅速な修復

また、セキュリティ スタッフは、一般的および軽度の脆弱性と脅威を迅速かつ簡単に修正し、特定の脆弱性を軽減するための段階的な指示を受けられる必要があります。

実際、一般的な脆弱性とマイナーな脆弱性をすべて選択し、マウスを 1 回クリックするだけでそれらを一括修復すると、セキュリティ スタッフが修復に費やす時間が大幅に短縮されます。

セキュリティ スタッフがアラート疲労を回避し、同時にスキルアップを支援できるもう 1 つの方法は、CSPM ツールが脆弱性を修正するための段階的な手順を確実に提供することです。 たとえば、セキュリティ スタッフは、一般的な脆弱性やマイナーな脆弱性をワンクリック オプションで修復することを選択し、より複雑な修復には段階的なプレイブックを使用して、そこから学ぶことができます。

油断は禁物

アラート疲労は、今日のサイバーセキュリティ業界が直面している真の問題です。 ますます巧妙化するサイバー攻撃に対する組織の防御が弱体化するだけでなく、セキュリティ スタッフの精神的健康に深刻な打撃を与えます。

アラート疲労は、侵害の実際の例を数多く引き起こしています。 多くの専門家が実際に業界を離れたり、完全に離れることを考えています。 クラウドの採用が増加しており、そのような人材の必要性が世界規模で切迫していることを考えると、これはサイバーセキュリティ業界全体にとって良い兆候ではありません.

警戒疲労を根絶することはできないことを認めなければなりませんが、少なくとも腐敗を最小限に抑えるために最善を尽くすことはできます. 優れた CSPM ツールを導入して採用することは、そのための良い方法の 1 つです。

この問題はできるだけ早く解決する必要があり、放置してはなりません。

サイバー攻撃到来！ データ侵害が発生したときに何をすべきかを確認し、将来の侵害を防ぎます。