Co to jest czujne zmęczenie? 4 sposoby na złagodzenie go i zapobieganie wypaleniu

Beep, beep, ding, ding – przyczyny czujnego zmęczenia.

Czujne zmęczenie nie jest nowym zjawiskiem. Występuje, gdy specjaliści ds. bezpieczeństwa cybernetycznego stają się niewrażliwi po uporaniu się z przytłaczającą liczbą alertów, więc zaczynają je przeoczać lub ignorować i mają wolniejszy czas reakcji. W większości przypadków zmęczenia alertami pracownicy nie reagują na czas z powodu wypalenia, którego doświadczają z powodu alertów i powiadomień.

Uważa się, że zmęczenie czujnością było główną przyczyną naruszenia danych docelowych w 2013 r., które doprowadziło do kradzieży kart kredytowych i danych osobowych około 40 milionów klientów. Jest to problem wielu firm i wymaga poważnej uwagi. Ale jak złagodzić ostrzeżenie? Dowiedzmy Się.

Prawdziwa walka dla specjalistów od cyberbezpieczeństwa

Termin alarmowe zmęczenie został po raz pierwszy ukuty w 2004 roku przez The Joint Commission, amerykańską organizację non-profit zajmującą się akredytacją szpitali, w celu uznania skuteczności alarmów klinicznych za standard dla szpitali. Od tego czasu stał się popularny wśród wielu firm zajmujących się alertami, w tym cyberbezpieczeństwem.

Chociaż ignorowanie wiadomości lub powiadomień aplikacji może nie wpływać negatywnie na Twoje codzienne życie, konsekwencje mogą być poważne dla specjalistów ds. cyberbezpieczeństwa i ich organizacji. Według raportu RiskIQ 2021 Evil Internet Minute Report 1, cyberprzestępczość kosztuje firmy aż 1,79 miliona dolarów co 60 sekund.

Ankieta przeprowadzona w 2018 r., zaledwie cztery lata temu, wykazała, że ​​27% specjalistów IT otrzymuje dziennie ponad milion alertów bezpieczeństwa (zatrzymaj się i pozwól, aby to dotarło), podczas gdy większość (67%) jest codziennie bombardowana 100 000 alertów. MŚP również nie oszczędzają potopu alertów – każdego dnia dotkniętych jest 4000 cyberataków.

I nie oczekuje się, że liczba ta spadnie w najbliższym czasie. Powiązane badanie z tego samego roku wykazało, że liczba alertów wzrasta, a pracownicy ochrony mogą przetwarzać średnio tylko 12 000 alertów tygodniowo.

Wielka rezygnacja z cyberbezpieczeństwa

Nic dziwnego, że specjaliści ds. cyberbezpieczeństwa stają w obliczu wypalenia zawodowego. Nawet przy dużym zespole obsługa ponad 2000 powiadomień dziennie jest obciążająca psychicznie. Wyobraź sobie, że jesteś w trybie strażaka co 8 godzin typowego dnia pracy, czasem nawet dłużej.

Niedawny raport firmy Panther Labs wykazał, że nawet 80% inżynierów ds. bezpieczeństwa cierpi z powodu wypalenia zawodowego. Ponadto 45% respondentów trzeciej edycji dorocznego raportu Voice of SecOps 2 Deep Instinct rozważa całkowite odejście z branży z powodu stresu. Czterdzieści sześć procent tych samych respondentów stwierdziło, że zna przynajmniej jednego pracownika, który odszedł z cyberbezpieczeństwa w ciągu ostatniego roku z powodu stresu.

Szefowie bezpieczeństwa informacji (CISO) wypalają się i odchodzą w jeszcze bardziej alarmującym tempie. Czterdzieści dziewięć procent z 1000 respondentów z tego samego raportu rozważa odejście z branży ze względu na rosnący poziom stresu.

Nie chodzi tylko o odejście ludzi z pracy, ale o szkody dla samej branży. Branża traci talenty na dobre i jest mało prawdopodobne, aby istniała sprawiedliwa stopa ich zastąpienia. Mimo że więcej osób wchodzi do branży niż ją opuszcza, potrzeba czasu, aby nowi uczestnicy przyzwyczaili się.

Nie wszystkie alerty są sobie równe

Dlaczego więc jest tyle alertów? Narzędzia do monitorowania, takie jak Cloud Security Posture Management (CSPM) oraz Security Information and Event Management (SIEM), generują alerty w przypadku wykrycia anomalii w infrastrukturze chmury. Jednak nie wszystkie alerty wymagają działania, a przynajmniej nie natychmiast. Niektóre alerty wskazują drobne problemy, które można naprawić później lub nawet zignorować.

Są też fałszywe alarmy, które stanowią prawie połowę (45%) wszystkich alertów dotyczących cyberbezpieczeństwa, zgodnie z raportem opublikowanym przez Fastly w 2021 r. Fałszywe alarmy to alerty wskazujące na atak, lukę w zabezpieczeniach lub ryzyko, które w rzeczywistości nie istnieją.

Pomyśl o tym jak o fałszywym alarmie lub o chłopcu, który wołał wilka. Na przykład starsze legalne pliki z brakującymi certyfikatami bezpieczeństwa mogą zostać oznaczone jako złośliwe.

Podobnie może zostać wysłany alert wskazujący na podejrzane logowanie pracownika z nieznanej lokalizacji, gdy zespół ds. bezpieczeństwa informacji (IS) nie wie, że pracownik przebywa tam na urlopie.

Aby zminimalizować takie alerty, możesz zastosować zasadę najmniejszych uprawnień i udostępniać dostęp tylko aplikacjom i danym, które nie są podatne na zagrożenia. Możesz także użyć modelu zerowego zaufania i całkowicie ograniczyć dostęp do aplikacji i danych podatnych na zagrożenia lub krytycznych.

Raport Fastly wykazał również, że 75% organizacji spędza tyle samo czasu, a czasem więcej czasu, na fałszywych alarmach niż na rzeczywistych atakach. Te fałszywe alarmy powodują tyle samo przestojów, co rzeczywiste ataki.

Problem z fałszywymi alarmami nie polega na tym, że istnieją, ale:

• Sama ich liczba
• Każdy wymaga czasu i wysiłku, aby przejrzeć, zbadać i zweryfikować, czy atak, zagrożenie lub luka w zabezpieczeniach są prawdziwe.

To są podstawowe przyczyny zmęczenia czujnością.

Wyobraź sobie wadliwy system przeciwpożarowy, który wielokrotnie włącza się w twoim domu. Gdy zawodzi po raz pierwszy, dokładnie przeczesujesz każdy zakamarek domu, aby sprawdzić, czy i gdzie się pali. Możesz to zrobić dla kilku kolejnych alarmów, ale ostatecznie zdecyduj, że nie warto tracić czasu na badanie innego alarmu i zignorowanie go.

W ten sam sposób specjaliści ds. cyberbezpieczeństwa mogą ostatecznie całkowicie zignorować lub przeoczyć ważne alerty wskazujące na rzeczywiste zagrożenie lub atak z powodu zmęczenia alertami. Następnie należy wziąć pod uwagę, które alerty są ważniejsze i należy nadać im priorytet.

Niektóre organizacje używają różnych systemów do monitorowania swoich infrastruktur chmurowych, co oznacza, że ​​każdy system otrzymuje odpowiednią liczbę alertów. Często mają one multiplikatywny wpływ, pozostawiając specjalistów ds. cyberbezpieczeństwa tonących w ogromnym oceanie alertów.

4 zalecenia, aby zapobiec zmęczeniu czujności

Niestety, nie można wyeliminować fałszywych alarmów. Dostrojenie reguł monitorowania pomaga je zredukować, ale redukcja jest w najlepszym razie nieznaczna. Jednak korzystanie z CSPM i innych narzędzi do monitorowania może pomóc specjalistom ds. bezpieczeństwa cybernetycznego w kontekstualizacji alertów lub w dostarczeniu informacji wystarczających do faktycznego zbadania i ograniczenia zagrożeń.

Innym możliwym środkiem zaradczym jest zapewnienie łatwej naprawy jednym kliknięciem, dzięki czemu pracownicy ochrony mogą szybko i łatwo ograniczyć typowe zagrożenia, a nawet dostarczyć instrukcje krok po kroku, jak zaradzić tym zagrożeniom.

Poniżej przedstawiono kilka funkcji, które należy wziąć pod uwagę w narzędziu CPSM, aby zmniejszyć zmęczenie pracowników ochrony.

1. Dostosuj alerty do kontekstu

CSPM powinien umożliwiać szybkie identyfikowanie i powiększanie podejrzanych zasobów w celu zrozumienia kontekstu zagrożenia w świetle konfiguracji i perspektyw działań związanych z istotnością zdarzenia.

To znacznie skraca czas potrzebny na zbadanie każdego alertu. Możesz szybko zidentyfikować i odrzucić fałszywy alarm, podjąć natychmiastowe działania w celu złagodzenia zagrożenia lub usunięcia luki w zabezpieczeniach.

2. Dostarczaj użytecznych spostrzeżeń

Zapobieganie jest zawsze lepsze niż leczenie. Po co czekać, aż pojawią się alerty? Wyobraź sobie, że widzisz historię wszystkich zmian wprowadzonych w Twoim środowisku wielochmurowym, a każdej z nich towarzyszy praktyczny wgląd, który pomaga poznać potencjalne zagrożenia dla infrastruktury chmurowej, a nawet pomaga w podejmowaniu proaktywnych działań w celu złagodzenia potencjalnych zagrożeń.

Posiadanie takiej funkcji pozwoli również Twojej organizacji zachować gotowość do audytów pod kątem standardów międzynarodowych, takich jak ISO 27001, SOC 2, standardów branżowych i terytorialnych, takich jak PCI DSS dla branży płatniczej, singapurski MAS TRM, indonezyjski POJK 38, australijski APRA i tajskiego PDPA.

3. Niestandardowe reguły i oznaczanie poziomu zagrożenia

Każda organizacja ma unikalne potrzeby w zakresie bezpieczeństwa i biznesu; twój nie jest inny. Możesz mieć pewne wewnętrzne zasady bezpieczeństwa do monitorowania. Niektóre organizacje mają również zasoby w chmurze ważniejsze niż inne w porównaniu z ich odpowiednikami z branży.

Możesz zmniejszyć zmęczenie alertami, monitorując te wewnętrzne zasady i zasoby, ustawiając dla każdego z nich odpowiednie flagi krytyczności i nadając im priorytet. Na przykład możesz chcieć otrzymywać alerty za każdym razem, gdy nastąpi jakakolwiek zmiana w zasobniku AWS S3 zawierającym dane osobowe (PII).

Idąc dalej, CSPM powinien umożliwiać tworzenie grup monitorowania, w których można określić poziom krytyczności i automatycznie zastosować go do innych oznaczonych zasobów krytycznych w organizacji. Pomoże to zmniejszyć zmęczenie czujnością.

4. Szybkie usuwanie zagrożeń i luk w zabezpieczeniach

Twoi pracownicy ds. bezpieczeństwa powinni również być w stanie szybko i łatwo naprawić typowe i pomniejsze luki w zabezpieczeniach i zagrożenia oraz otrzymać instrukcje krok po kroku dotyczące łagodzenia określonych luk w zabezpieczeniach.

W rzeczywistości wybranie wszystkich powszechnych i pomniejszych luk w zabezpieczeniach, a następnie zbiorcze usuwanie ich za pomocą jednego kliknięcia myszką znacznie skróci czas, jaki pracownicy ochrony poświęcają na naprawę.

Innym sposobem, w jaki możesz pomóc personelowi ds. bezpieczeństwa zapobiegać zmęczeniu czujnością i jednocześnie podnosić umiejętności, jest upewnienie się, że narzędzie CSPM zawiera instrukcje krok po kroku dotyczące korygowania luk w zabezpieczeniach. Na przykład Twoi pracownicy ds. bezpieczeństwa mogą zdecydować się na naprawienie typowych i mniejszych luk w zabezpieczeniach za pomocą opcji jednego kliknięcia, korzystając z przewodnika krok po kroku w celu bardziej złożonych działań naprawczych i wyciągnąć z tego wnioski.

Bądź czujny, ale nie za bardzo

Zmęczenie alertami to prawdziwy problem dzisiejszej branży cyberbezpieczeństwa. Nie tylko osłabia obronę Twojej organizacji przed rosnącą liczbą i coraz bardziej wyrafinowanymi cyberatakami, ale także poważnie odbija się na psychice pracowników ochrony.

Zmęczenie czujnością spowodowało wiele rzeczywistych przykładów naruszeń. Wielu profesjonalistów faktycznie odchodzi lub myśli o całkowitym odejściu z branży. Nie wróży to dobrze całej branży cyberbezpieczeństwa, biorąc pod uwagę, że adopcja chmury rośnie, a zapotrzebowanie na takie talenty jest ogromne w skali globalnej.

Chociaż musimy przyznać, że czujnego zmęczenia nigdy nie można wyeliminować, możemy przynajmniej zrobić wszystko, co w naszej mocy, aby zminimalizować gnicie, że tak powiem. Wprowadzenie i przyjęcie dobrego narzędzia CSPM to jeden z dobrych sposobów na zrobienie tego.

Ten problem należy jak najszybciej rozwiązać, a nie zostawiać go, by się jątrzył.

Nadchodzi cyberatak! Dowiedz się, co zrobić, gdy dojdzie do naruszenia ochrony danych, i zapobiegnij naruszeniom w przyszłości.