Что такое бдительная усталость? 4 способа смягчить последствия и предотвратить эмоциональное выгорание

Бип, бип, динь, динь — причины усталости.

Бдительная усталость — явление не новое. Это происходит, когда специалисты по кибербезопасности теряют чувствительность после обработки огромного количества предупреждений, поэтому они начинают игнорировать или игнорировать их и медленнее реагируют. В большинстве случаев усталости от предупреждений сотрудники не реагируют вовремя из-за выгорания, которое они испытывают из-за предупреждений и уведомлений.

Усталость от бдительности считается основной причиной нарушения целевых данных в 2013 году, которое привело к краже кредитных карт и личной информации около 40 миллионов клиентов. Это проблема для многих предприятий и требует серьезного внимания. Но как смягчить предупреждение? Давай выясним.

Настоящая борьба для профессионалов кибербезопасности

Термин «усталость при тревоге» был впервые введен в 2004 году Объединенной комиссией, американской некоммерческой организацией по аккредитации больниц, чтобы объявить эффективность клинической тревоги стандартом для больниц. С тех пор он стал популярным для многих предприятий, занимающихся оповещениями, включая кибербезопасность.

Хотя игнорирование сообщений или уведомлений приложений не может негативно повлиять на вашу повседневную жизнь, последствия могут быть серьезными для специалистов по кибербезопасности и их организаций. Согласно отчету RiskIQ Evil Internet Minute Report 1 за 2021 год, киберпреступность обходится предприятиям в колоссальные 1,79 миллиона долларов каждые 60 секунд.

Опрос, проведенный в 2018 году всего четыре года назад, показал, что 27% ИТ-специалистов ежедневно получают более 1 миллиона предупреждений о безопасности (сделайте паузу и дайте им впитаться), в то время как большинство (67%) ежедневно получают по 100 000 предупреждений. Не обошли вниманием и малые и средние предприятия: каждый день происходит 4000 кибератак.

И ожидается, что это число не сократится в ближайшее время. Связанное с этим исследование, проведенное в том же году, показало, что количество предупреждений увеличивается, а сотрудники службы безопасности могут обрабатывать в среднем только 12 000 предупреждений в неделю.

Великая отставка в области кибербезопасности

Неудивительно, что специалисты по кибербезопасности сталкиваются с выгоранием. Даже с большой командой обработка более 2000 уведомлений в день требует психологического напряжения. Представьте себе, что вы находитесь в режиме пожарного каждые 8 ​​часов обычного рабочего дня, а иногда и дольше.

Недавний отчет Panther Labs показал, что до 80% инженеров по безопасности страдают выгоранием. Кроме того, 45% респондентов третьего выпуска ежегодного отчета Voice of SecOps Report 2, подготовленного Deep Instinct, рассматривают возможность ухода из отрасли из-за стресса. Сорок шесть процентов тех же респондентов заявили, что знают по крайней мере коллегу, который ушел из кибербезопасности в прошлом году из-за стресса.

Директора по информационной безопасности (CISO) выгорают и увольняются с еще более тревожной скоростью. Сорок девять процентов из 1000 респондентов из того же отчета рассматривают возможность ухода из отрасли из-за повышения уровня стресса.

Дело не только в том, что люди увольняются с работы, но и в ущербе, наносимом самой отрасли. Отрасль теряет таланты навсегда, и вряд ли для них будет справедливая норма замещения. Несмотря на то, что в отрасль входит больше людей, чем покидает ее, новым участникам требуется время, чтобы освоиться.

Не все оповещения одинаковы

Так почему же так много предупреждений? Инструменты мониторинга, такие как управление состоянием облачной безопасности (CSPM) и управление информацией и событиями безопасности (SIEM), выдают предупреждения при обнаружении аномалий в облачной инфраструктуре. Однако не все предупреждения требуют действий или, по крайней мере, немедленных действий. Некоторые предупреждения указывают на незначительные проблемы, которые можно исправить позже или даже проигнорировать.

Кроме того, есть ложные срабатывания, на которые приходится почти половина (45%) всех предупреждений о кибербезопасности, согласно отчету, опубликованному Fastly в 2021 году. Ложные срабатывания — это предупреждения, указывающие на атаку, уязвимость или риск, когда их на самом деле не существует.

Думайте об этом как о ложной тревоге или о мальчике, который кричал «волк». Например, старые законные файлы с отсутствующими сертификатами безопасности могут быть помечены как вредоносные.

Точно так же может быть выдано предупреждение о подозрительном входе в систему сотрудника из неизвестного места, когда группа информационной безопасности (IS) не знает, что сотрудник находится в отпуске.

Чтобы свести к минимуму такие оповещения, вы можете использовать политику наименьших привилегий и предоставлять доступ только к приложениям и данным, не подверженным угрозам. Вы также можете использовать модель нулевого доверия и полностью ограничить доступ к уязвимым или критически важным приложениям и данным.

Отчет Fastly также показал, что 75% организаций тратят столько же, а иногда и больше времени на ложные срабатывания, чем на настоящие атаки. Эти ложные предупреждения вызывают такое же время простоя, как и настоящие атаки.

Проблема с ложными срабатываниями не в том, что они существуют, а в следующем:

• Само их количество
• Каждая из них требует времени и усилий для анализа, расследования и проверки, чтобы убедиться, что атака, угроза или уязвимость реальны.

Это коренные причины бдительной усталости.

Представьте, что в вашем доме постоянно срабатывает неисправная система пожарной сигнализации. В первый раз, когда он завоет, вы тщательно прочесываете каждый уголок дома, чтобы убедиться, есть ли огонь и где он находится. Вы можете сделать это для нескольких последующих сигналов тревоги, но, в конце концов, просто решите, что не стоит тратить время на изучение другого сигнала тревоги и игнорируйте его.

Точно так же специалисты по кибербезопасности могут в конечном итоге полностью игнорировать или пропустить важные предупреждения, указывающие на реальную угрозу или атаку, из-за усталости от предупреждений. Затем следует рассмотреть, какие оповещения более важны и должны быть приоритетными.

Некоторые организации используют разрозненные системы для мониторинга своих облачных инфраструктур, что означает, что каждая система получает свою долю предупреждений. Они часто имеют мультипликативный эффект, в результате чего специалисты по кибербезопасности тонут в огромном океане предупреждений.

4 рекомендации по предотвращению усталости от бдительности

К сожалению, вы не можете искоренить ложные предупреждения. Тонкая настройка правил мониторинга помогает их уменьшить, но в лучшем случае уменьшение будет незначительным. Однако использование CSPM и других инструментов мониторинга может помочь специалистам по кибербезопасности контекстуализировать оповещения или предоставить достаточную информацию для расследования фактов и устранения угроз.

Еще одна возможная мера противодействия — обеспечить простое исправление одним щелчком мыши, чтобы сотрудники службы безопасности могли быстро и легко устранять распространенные угрозы или даже предоставлять пошаговые инструкции по устранению этих угроз.

Ниже приведены некоторые функции, которые следует учитывать в инструменте CPSM, чтобы снизить утомляемость сотрудников службы безопасности.

1. Контекстные оповещения

CSPM должен позволять вам быстро идентифицировать подозрительные активы и увеличивать их масштаб, чтобы понять контекст угрозы в свете конфигурации и перспектив действий, связанных с серьезностью событий.

Это значительно сокращает время, необходимое для изучения каждого предупреждения. Вы можете быстро определить и отклонить ложное предупреждение, принять незамедлительные меры для уменьшения угрозы или устранения уязвимости.

2. Предоставьте полезную информацию

Профилактика всегда лучше лечения. Зачем ждать, пока придут оповещения? Представьте себе, что вы видите историю всех изменений, внесенных в вашу многооблачную среду, каждое из которых сопровождается практическими данными, которые помогут вам узнать о потенциальных угрозах для вашей облачной инфраструктуры и даже помогут вам принять упреждающие меры для смягчения потенциальных угроз.

Наличие такой функции также позволит вашей организации быть готовой к аудиту в соответствии с международными стандартами, такими как ISO 27001, SOC 2, отраслевыми и территориальными стандартами, такими как PCI DSS для индустрии платежей, MAS TRM Сингапура, POJK 38 Индонезии, APRA Австралии. и тайской НДПА.

3. Пользовательские правила и маркировка уровня угрозы

Каждая организация имеет уникальные потребности в области безопасности и бизнеса; твой ничем не отличается. У вас могут быть некоторые внутренние правила безопасности для мониторинга. Некоторые организации также имеют облачные активы, более важные, чем другие, по сравнению с их коллегами по отрасли.

Вы можете снизить утомляемость предупреждений, отслеживая эти внутренние правила и активы, устанавливая для каждого из них правильные флаги критичности и расставляя им приоритеты. Например, вы можете захотеть получать оповещения о любых изменениях в корзине AWS S3, содержащей данные личной идентифицируемой информации (PII).

Идя дальше, CSPM должен позволять вам создавать группы мониторинга, в которых вы можете указать уровень критичности и автоматически применять его к другим помеченным критически важным активам в вашей организации. Это поможет вам снизить усталость от бдительности.

4. Быстрое устранение угроз и уязвимостей

Ваши сотрудники службы безопасности также должны иметь возможность быстро и легко устранять распространенные и незначительные уязвимости и угрозы и получать пошаговые инструкции по устранению конкретных уязвимостей.

На самом деле, выбор всех общих и незначительных уязвимостей, а затем их массовое устранение одним щелчком мыши значительно сократит время, затрачиваемое вашим персоналом службы безопасности на устранение.

Еще один способ, которым вы можете помочь своим сотрудникам службы безопасности одновременно снизить усталость от предупреждений и повысить квалификацию, — убедиться, что инструмент CSPM предлагает пошаговые инструкции по устранению уязвимостей. Например, ваши сотрудники службы безопасности могут решить устранить распространенные и незначительные уязвимости одним щелчком мыши, а для более сложных исправлений использовать пошаговые инструкции и извлечь из этого уроки.

Будьте бдительны, но не слишком

Усталость от предупреждений — это реальная проблема, с которой сегодня сталкивается индустрия кибербезопасности. Это не только ослабляет защиту вашей организации от растущего числа и изощренных кибератак, но и серьезно сказывается на психическом благополучии сотрудников службы безопасности.

Усталость от предупреждений привела к многочисленным случаям взломов из реальной жизни. Многие профессионалы на самом деле уходят или думают о том, чтобы вообще уйти из отрасли. Это не сулит ничего хорошего для индустрии кибербезопасности в целом, учитывая, что внедрение облачных технологий растет, а потребность в таких талантах остра в глобальном масштабе.

Хотя мы должны признать, что бдительность никогда не может быть искоренена, мы можем, по крайней мере, сделать все возможное, чтобы свести к минимуму, так сказать, гниение. Внедрение и внедрение хорошего инструмента CSPM — один из хороших способов сделать это.

Эту проблему нужно решать как можно скорее, а не оставлять на потом.

Приближается кибератака! Узнайте, что делать при утечке данных и предотвратить будущие нарушения.