알림 피로란 무엇입니까? 그것을 완화하고 소진을 방지하는 4가지 방법

삐, 삐, 딩, 딩 – 알림 피로의 원인.

경고 피로는 새로운 현상이 아닙니다. 사이버 보안 전문가가 압도적인 수의 경고를 처리한 후 무감각해져 경고를 간과하거나 무시하기 시작하고 응답 시간이 느려질 때 발생합니다. 경보 피로의 대부분의 경우 직원은 경보 및 알림으로 인한 번아웃으로 인해 제때 응답하지 못합니다.

알림 피로도는 약 4천만 고객의 신용 카드 및 개인 정보 도난으로 이어진 2013년 Target Data Breach의 주요 원인으로 여겨집니다. 이는 많은 기업의 관심사이며 심각한 주의가 필요합니다. 그러나 경보 완화를 어떻게 완화합니까? 알아 보자.

사이버 보안 전문가를 위한 진정한 투쟁

경보 피로라는 용어는 2004년 미국에 기반을 둔 비영리 병원 인증 기관인 The Joint Commission이 임상 경보 효과를 병원의 표준으로 선언하기 위해 처음 사용했습니다. 이후 사이버 보안을 포함하여 경고를 다루는 많은 비즈니스에서 인기를 얻었습니다.

메시지나 앱 알림을 무시해도 일상 생활에 부정적인 영향을 미치지는 않지만 사이버 보안 전문가와 해당 조직에 심각한 영향을 미칠 수 있습니다. RiskIQ의 2021년 Evil Internet Minute Report 1에 따르면 사이버 범죄로 인해 기업은 60초마다 무려 179만 달러의 비용을 지출합니다.

불과 4년 전인 2018년 설문 조사에 따르면 IT 전문가의 27%가 매일 100만 개 이상의 보안 경고를 받는 반면(일시 중지하고 가라앉히기) 대다수(67%)는 매일 100,000개의 경고를 받습니다. SME도 매일 4,000건의 사이버 공격을 받는 경고 홍수를 피할 수 없습니다.

그리고 이 숫자는 곧 떨어질 것으로 예상되지 않습니다. 같은 해의 관련 연구에 따르면 경보가 증가하고 있으며 보안 담당자는 주당 평균 12,000개의 경보만 처리할 수 있습니다.

위대한 사이버 보안 사임

사이버 보안 전문가가 번아웃에 직면한 것은 놀라운 일이 아닙니다. 규모가 큰 팀이 있어도 하루에 2,000개 이상의 알림을 처리하는 것은 정신적으로 힘든 일입니다. 일반적인 근무일의 8시간마다, 때로는 더 오래 소방관 모드에 있다고 상상해 보십시오.

Panther Labs의 최근 보고서에 따르면 최대 80%의 보안 엔지니어가 번아웃을 겪고 있습니다. 또한 Deep Instinct의 연례 Voice of SecOps 보고서 2 제3판 응답자의 45%는 스트레스로 인해 업계를 완전히 떠나는 것을 고려하고 있습니다. 같은 응답자의 46%는 지난 1년 동안 스트레스 때문에 사이버 보안을 떠난 동료를 적어도 한 명 알고 있다고 말했습니다.

CISO(Chief Information Security Officer)는 훨씬 더 놀라운 속도로 지치고 그만두고 있습니다. 같은 보고서의 응답자 1,000명 중 49%가 스트레스 수준 증가로 인해 업계를 떠날 것을 고려하고 있습니다.

사람들이 직장을 그만두는 것뿐만 아니라 산업 자체에 대한 피해도 있습니다. 업계는 영원히 인재를 잃고 있으며 이들을 위한 공평한 대체율이 있을 것 같지 않습니다. 더 많은 사람들이 업계를 떠나는 것보다 업계에 진입하고 있지만 새로운 진입자가 속도를 내는 데는 시간이 걸립니다.

모든 알림이 동일하게 생성되는 것은 아닙니다.

그렇다면 왜 그렇게 많은 경고가 있습니까? CSPM(Cloud Security Posture Management) 및 SIEM(Security Information and Event Management)과 같은 모니터링 도구는 클라우드 인프라 내에서 이상이 감지되면 경고를 발행합니다. 그러나 모든 경고에 조치가 필요하거나 적어도 즉시 조치가 필요한 것은 아닙니다. 일부 경고는 나중에 수정하거나 무시할 수도 있는 사소한 문제를 나타냅니다.

2021년 Fastly가 발표한 보고서에 따르면 모든 사이버 보안 경고의 거의 절반(45%)을 차지하는 오탐지가 있습니다. 오탐지는 실제로 존재하지 않는 공격, 취약성 또는 위험을 나타내는 경고입니다.

거짓 경보 또는 늑대를 울린 소년이라고 생각하십시오. 예를 들어 보안 인증서가 누락된 이전의 합법적인 파일은 악성으로 표시될 수 있습니다.

마찬가지로 정보 보안(IS) 팀이 직원이 휴가 중이라는 사실을 알지 못하는 경우 직원이 알 수 없는 위치에서 의심스러운 로그인을 나타내는 경고가 발행될 수 있습니다.

이러한 경고를 최소화하기 위해 최소 권한 정책을 사용하고 위협에 취약하지 않은 앱 및 데이터에 대한 액세스만 공유할 수 있습니다. 제로 트러스트 모델을 사용하고 위협에 취약하거나 중요한 앱 및 데이터에 대한 액세스를 완전히 제한할 수도 있습니다.

Fastly 보고서는 또한 조직의 75%가 실제 공격보다 오탐에 많은 시간을, 때로는 더 많은 시간을 소비한다는 사실을 발견했습니다. 이러한 잘못된 경고는 실제 공격과 동일한 다운타임을 유발합니다.

잘못된 긍정의 문제는 존재한다는 것이 아니라 다음과 같습니다.

• 그들의 순전히 숫자
• 각각은 공격, 위협 또는 취약성이 실제인지 확인하기 위해 검토, 조사 및 확인하는 데 시간과 노력이 필요합니다.

이것이 경보 피로의 근본 원인입니다.

가정에서 반복적으로 작동하는 결함이 있는 화재 경보 시스템을 상상해 보십시오. 처음 울면 집 구석구석을 철저히 샅샅이 뒤져 불이 났는지, 어디에 있는지 확인합니다. 몇 가지 후속 알람에 대해 이 작업을 수행할 수 있지만 결국에는 다른 알람을 조사하고 무시하는 것이 시간을 투자할 가치가 없다고 결정합니다.

마찬가지로 사이버 보안 전문가는 경고 피로로 인해 실제 위협이나 공격을 나타내는 중요한 경고를 결국 완전히 무시하거나 놓칠 수 있습니다. 그런 다음 어떤 알림이 더 중요하고 우선 순위를 지정해야 하는지 고려해야 합니다.

일부 조직에서는 서로 다른 시스템을 사용하여 클라우드 인프라를 모니터링합니다. 즉, 각 시스템이 공평한 알림을 받습니다. 이들은 종종 배가 효과가 있어 사이버 보안 전문가를 방대한 경고의 바다에 빠뜨립니다.

경고 피로를 방지하기 위한 4가지 권장 사항

안타깝게도 잘못된 경고를 근절할 수는 없습니다. 모니터링 규칙을 미세 조정하면 이를 줄이는 데 도움이 되지만 그 감소는 기껏해야 미미합니다. 그러나 CSPM 및 기타 모니터링 도구를 사용하면 사이버 보안 전문가가 경고를 맥락화하거나 사실 조사 및 위협 완화를 위한 충분한 정보를 제공하는 데 도움이 될 수 있습니다.

또 다른 가능한 대책은 보안 직원이 일반적인 위협을 빠르고 쉽게 완화하거나 이러한 위협을 해결하는 방법에 대한 단계별 지침을 제공할 수 있도록 간편한 원클릭 치료를 제공하는 것입니다.

다음은 보안 직원의 경고 피로를 줄이는 데 도움이 되는 CPSM 도구에서 고려해야 할 몇 가지 기능입니다.

1. 경고 상황화

CSPM을 사용하면 의심되는 자산을 빠르게 식별하고 확대하여 이벤트 심각도와 관련된 구성 및 활동 관점에서 위협의 컨텍스트를 이해할 수 있어야 합니다.

이렇게 하면 각 경고를 조사하는 데 필요한 시간이 크게 줄어듭니다. 거짓 경고를 신속하게 식별 및 해제하거나, 위협을 완화하기 위해 즉각적인 조치를 취하거나, 취약성을 수정할 수 있습니다.

2. 실행 가능한 통찰력 제공

예방은 항상 치료보다 낫습니다. 알림이 올 때까지 기다리는 이유는 무엇입니까? 클라우드 인프라에 대한 잠재적인 위협을 파악하는 데 도움이 되는 실행 가능한 통찰력과 함께 다중 클라우드 환경에 대한 모든 변경 사항의 기록을 보고 잠재적인 위협을 완화하기 위한 사전 조치를 취하도록 안내한다고 상상해 보십시오.

이러한 기능을 통해 조직은 ISO 27001, SOC 2와 같은 국제 표준, 지불 산업을 위한 PCI DSS, 싱가포르의 MAS TRM, 인도네시아의 POJK 38, 호주의 APRA와 같은 산업별 및 지역 표준에 대한 감사 준비 상태를 유지할 수 있습니다. , 태국 PDPA.

3. 사용자 지정 규칙 및 위협 수준 플래그 지정

모든 조직에는 고유한 보안 및 비즈니스 요구 사항이 있습니다. 당신도 다르지 않습니다. 모니터링할 사내 보안 규칙이 있을 수 있습니다. 일부 조직은 업계 동료에 비해 다른 조직보다 더 중요한 클라우드 자산을 보유하고 있습니다.

이러한 사내 규칙 및 자산을 모니터링하고 각각에 대해 올바른 중요도 플래그를 설정하고 우선 순위를 지정하여 경고 피로를 줄일 수 있습니다. 예를 들어 개인 식별 정보(PII) 데이터가 포함된 AWS S3 버킷에 변경 사항이 있을 때마다 알림을 받고 싶을 수 있습니다.

더 나아가 CSPM을 사용하면 중요도 수준을 지정하고 조직에서 플래그가 지정된 다른 중요한 자산에 자동으로 적용할 수 있는 모니터링 그룹을 만들 수 있습니다. 이렇게 하면 경보 피로도를 줄이는 데 도움이 됩니다.

4. 위협 및 취약점에 대한 빠른 치료

또한 보안 직원은 일반적이고 사소한 취약성과 위협을 빠르고 쉽게 해결할 수 있어야 하며 특정 취약성을 완화하기 위한 단계별 지침을 받을 수 있어야 합니다.

사실, 일반 및 사소한 취약점을 모두 선택한 다음 마우스 클릭 한 번으로 일괄 수정하면 보안 직원이 수정에 소요하는 시간이 크게 줄어듭니다.

보안 직원이 경고 피로를 피하고 기술을 동시에 향상하도록 도울 수 있는 또 다른 방법은 CSPM 도구가 취약성 수정을 위한 단계별 지침을 제공하는지 확인하는 것입니다. 예를 들어, 보안 직원은 원클릭 옵션으로 일반적인 취약성과 사소한 취약성을 수정하고 보다 복잡한 수정을 위해 단계별 플레이북을 사용하여 이를 통해 학습할 수 있습니다.

경계를 늦추지 말고 너무 많이

경고 피로는 오늘날 사이버 보안 산업이 직면한 실제 문제입니다. 점점 더 많아지고 정교해지는 사이버 공격에 대한 조직의 방어력을 약화시킬 뿐만 아니라 보안 직원의 정신 건강에도 심각한 피해를 줍니다.

경보 피로로 인해 수많은 실제 위반 사례가 발생했습니다. 많은 전문가들이 실제로 업계를 완전히 떠나거나 떠날 생각을 하고 있습니다. 클라우드 채택이 증가하고 있고 이러한 인재에 대한 필요성이 전 세계적으로 절실하다는 점을 고려할 때 이는 사이버 보안 산업 전체에 좋은 징조가 아닙니다.

경보 피로를 절대 근절할 수 없다는 점을 인정해야 하지만, 적어도 부패를 최소화하기 위해 최선을 다할 수는 있습니다. 좋은 CSPM 도구를 도입하고 채택하는 것은 이를 위한 좋은 방법 중 하나입니다.

이 문제는 최대한 빨리 해결해야 하며 곪게 두어서는 안 됩니다.

사이버 공격이 온다! 데이터 유출이 발생했을 때 해야 할 일을 알아보고 향후 유출을 방지하십시오.