ความเหนื่อยล้าในการแจ้งเตือนคืออะไร? 4 วิธีในการบรรเทาและป้องกันความเหนื่อยหน่าย

บี๊บ บี๊บ ดิง ดิง – ต้นกำเนิดของความเมื่อยล้า

ความเมื่อยล้าในการแจ้งเตือนไม่ใช่ปรากฏการณ์ใหม่ เกิดขึ้นเมื่อผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์รู้สึกไม่มั่นใจหลังจากรับมือกับการแจ้งเตือนจำนวนมาก ดังนั้นพวกเขาจึงเริ่มมองข้ามหรือเพิกเฉยต่อพวกเขาและมีเวลาตอบสนองช้าลง ในกรณีส่วนใหญ่ของความเหนื่อยล้าจากการแจ้งเตือน พนักงานไม่สามารถตอบสนองได้ทันเวลาเนื่องจากความเหนื่อยหน่ายที่ได้รับจากการแจ้งเตือนและการแจ้งเตือน

เชื่อว่าความเหนื่อยล้าจากการแจ้งเตือนเป็นสาเหตุหลักของการละเมิดข้อมูลเป้าหมายในปี 2556 ซึ่งนำไปสู่การขโมยบัตรเครดิตและข้อมูลส่วนตัวของลูกค้าประมาณ 40 ล้านราย เป็นเรื่องที่หลายธุรกิจกังวลและต้องการการดูแลอย่างจริงจัง แต่คุณจะลดการแจ้งเตือนได้อย่างไร ลองหากัน

การต่อสู้ที่แท้จริงสำหรับผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์

คำว่าความเมื่อยล้าในการแจ้งเตือนได้รับการประกาศเกียรติคุณเป็นครั้งแรกในปี 2547 โดยคณะกรรมาธิการร่วม ซึ่งเป็นองค์กรรับรองคุณภาพโรงพยาบาลที่ไม่แสวงหาผลกำไรในสหรัฐอเมริกา เพื่อประกาศประสิทธิผลของสัญญาณเตือนภัยทางคลินิกเป็นมาตรฐานสำหรับโรงพยาบาล นับตั้งแต่นั้นเป็นต้นมาก็เป็นที่นิยมสำหรับธุรกิจจำนวนมากที่เกี่ยวข้องกับการแจ้งเตือน รวมถึงความปลอดภัยทางไซเบอร์

แม้ว่าการเพิกเฉยต่อข้อความหรือการแจ้งเตือนของแอพอาจไม่ส่งผลเสียต่อชีวิตประจำวันของคุณ แต่การแตกสาขาอาจรุนแรงสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และองค์กรของพวกเขา ตามรายงาน 2021 Evil Internet Minute Report 1 ของ RiskIQ อาชญากรรมทางไซเบอร์ทำให้ธุรกิจต้องเสียเงินมากถึง 1.79 ล้านดอลลาร์ทุกๆ 60 วินาที

การสำรวจในปี 2018 เมื่อสี่ปีที่แล้วพบว่า 27% ของผู้เชี่ยวชาญด้านไอทีได้รับการแจ้งเตือนความปลอดภัยมากกว่า 1 ล้านครั้งต่อวัน (หยุดชั่วคราวและปล่อยให้มันเข้ามา) ในขณะที่ส่วนใหญ่ (67%) ได้รับการแจ้งเตือน 100,000 ครั้งต่อวัน SME ก็ไม่รอดพ้นจากการตื่นตัวเช่นกัน – โดนโจมตีทางไซเบอร์ 4,000 ครั้งทุกวัน

และคาดว่าจำนวนนี้จะไม่ลดลงในเร็วๆ นี้ การศึกษาที่เกี่ยวข้องในปีเดียวกันพบว่าการแจ้งเตือนเพิ่มมากขึ้น และเจ้าหน้าที่รักษาความปลอดภัยสามารถประมวลผลการแจ้งเตือนโดยเฉลี่ย 12,000 ครั้งต่อสัปดาห์เท่านั้น

การลาออกของความปลอดภัยทางไซเบอร์ที่ยิ่งใหญ่

ไม่น่าแปลกใจที่ผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์กำลังเผชิญกับความเหนื่อยหน่าย แม้จะมีทีมขนาดใหญ่ การจัดการการแจ้งเตือนมากกว่า 2,000 รายการต่อวันก็เป็นเรื่องที่ต้องเสียภาษี ลองนึกภาพว่าอยู่ในโหมดนักผจญเพลิงทุกๆ 8 ชั่วโมงของวันทำงานทั่วไป บางครั้งก็นานกว่านั้น

รายงานล่าสุดโดย Panther Labs พบว่า 80% ของวิศวกรด้านความปลอดภัยประสบภาวะหมดไฟ นอกจากนี้ 45% ของผู้ตอบแบบสอบถามประจำปี Voice of SecOps Report 2 ฉบับที่ 3 ของ Deep Instinct พิจารณาที่จะออกจากอุตสาหกรรมเนื่องจากความเครียด สี่สิบหกเปอร์เซ็นต์ของผู้ตอบแบบเดียวกันกล่าวว่าพวกเขารู้จักเพื่อนอย่างน้อยหนึ่งคนที่ออกจากระบบความปลอดภัยทางไซเบอร์ในปีที่ผ่านมาเนื่องจากความเครียด

หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) กำลังหมดไฟและเลิกทำงานในอัตราที่น่าตกใจยิ่งกว่า สี่สิบเก้าเปอร์เซ็นต์ของผู้ตอบแบบสอบถาม 1,000 คนจากรายงานฉบับเดียวกันกำลังพิจารณาออกจากอุตสาหกรรมเนื่องจากระดับความเครียดที่เพิ่มขึ้น

ไม่ใช่แค่เรื่องคนออกจากงานแต่เป็นความเสียหายต่ออุตสาหกรรมด้วย อุตสาหกรรมนี้กำลังสูญเสียผู้มีความสามารถไปโดยเปล่าประโยชน์ และไม่น่าจะมีอัตราทดแทนที่เท่าเทียมกันสำหรับพวกเขา แม้ว่าจะมีผู้คนจำนวนมากเข้ามาในอุตสาหกรรมนี้มากกว่าที่จะออกจากอุตสาหกรรมนี้ แต่ก็ต้องใช้เวลาสำหรับผู้เข้ามาใหม่เพื่อปรับตัวให้ทัน

การแจ้งเตือนทั้งหมดไม่ได้สร้างเท่ากัน

เหตุใดจึงมีการแจ้งเตือนมากมาย เครื่องมือตรวจสอบ เช่น Cloud Security Posture Management (CSPM) และการแจ้งเตือนปัญหา Security Information and Event Management (SIEM) เมื่อตรวจพบความผิดปกติภายในโครงสร้างพื้นฐานระบบคลาวด์ อย่างไรก็ตาม การแจ้งเตือนบางอย่างไม่จำเป็นต้องดำเนินการ หรืออย่างน้อยก็ไม่จำเป็นต้องดำเนินการในทันที การแจ้งเตือนบางอย่างระบุถึงปัญหาเล็กน้อยที่สามารถแก้ไขได้ในภายหลังหรือแม้แต่ละเว้น

จากนั้นจะมีการแจ้งเตือนที่ผิดพลาดซึ่งคิดเป็นเกือบครึ่งหนึ่ง (45%) ของการแจ้งเตือนความปลอดภัยทางไซเบอร์ทั้งหมด ตามรายงานที่เผยแพร่โดย Fastly ในปี 2021 การแจ้งเตือนที่ผิดพลาดคือการแจ้งเตือนที่บ่งชี้ถึงการโจมตี ช่องโหว่ หรือความเสี่ยงทั้งที่ไม่มีอยู่จริง

คิดว่าเป็นสัญญาณเตือนภัยที่ผิดพลาดหรือเด็กชายที่ร้องไห้หมาป่า ตัวอย่างเช่น ไฟล์เก่าที่ถูกต้องซึ่งไม่มีใบรับรองความปลอดภัยอาจถูกระบุว่าเป็นอันตราย

ในทำนองเดียวกัน อาจมีการแจ้งเตือนที่ระบุการเข้าสู่ระบบที่น่าสงสัยโดยพนักงานจากตำแหน่งที่ไม่รู้จัก เมื่อทีมรักษาความปลอดภัยข้อมูล (IS) ไม่ทราบว่าพนักงานอยู่ที่นั่นในช่วงลาพักร้อน

หากต้องการลดการแจ้งเตือนดังกล่าว คุณสามารถใช้นโยบายสิทธิ์ขั้นต่ำและแชร์การเข้าถึงเฉพาะแอปและข้อมูลที่ไม่เสี่ยงต่อภัยคุกคาม คุณยังสามารถใช้โมเดลที่ไม่มีความน่าเชื่อถือและจำกัดการเข้าถึงแอปและข้อมูลที่สำคัญและเสี่ยงต่อการถูกคุกคามได้อย่างสมบูรณ์

รายงาน Fastly ยังพบว่า 75% ขององค์กรใช้เวลากับผลบวกปลอม (False Positive) มากในบางครั้งมากกว่าการโจมตีจริง การแจ้งเตือนที่ผิดพลาดเหล่านี้ทำให้เวลาหยุดทำงานเท่ากับการโจมตีจริง

ปัญหาเกี่ยวกับผลบวกปลอมไม่ได้มีอยู่จริง แต่:

• จำนวนที่แท้จริงของพวกเขา
• แต่ละครั้งต้องใช้เวลาและความพยายามในการตรวจสอบ สอบสวน และตรวจสอบเพื่อให้แน่ใจว่าการโจมตี ภัยคุกคาม หรือช่องโหว่นั้นมีอยู่จริง

เหล่านี้คือต้นตอของความเหนื่อยล้าจากการตื่นตัว

ลองนึกภาพระบบสัญญาณเตือนอัคคีภัยทำงานผิดพลาดซ้ำแล้วซ้ำเล่าในบ้านของคุณ ครั้งแรกที่มันคร่ำครวญ คุณจะหวีทุกซอกทุกมุมของบ้านอย่างละเอียดเพื่อดูว่ามีไฟไหม้หรือไม่และอยู่ที่ไหน คุณอาจทำเช่นนี้กับสัญญาณเตือนที่ตามมาอีก 2-3 ครั้ง แต่ในที่สุด ให้ตัดสินใจว่าไม่คุ้มค่ากับเวลาของคุณในการตรวจสอบสัญญาณเตือนอื่นและเพิกเฉย

ในทำนองเดียวกัน ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์อาจเพิกเฉยหรือพลาดการแจ้งเตือนที่สำคัญซึ่งบ่งชี้ถึงภัยคุกคามหรือการโจมตีที่แท้จริงเนื่องจากความล้าของการแจ้งเตือน จากนั้นจะมีการพิจารณาว่าการแจ้งเตือนใดมีความสำคัญและจำเป็นต้องจัดลำดับความสำคัญมากกว่ากัน

องค์กรบางแห่งใช้ระบบที่แตกต่างกันในการตรวจสอบโครงสร้างพื้นฐานระบบคลาวด์ ซึ่งหมายความว่าแต่ละระบบจะได้รับการแจ้งเตือนร่วมกันอย่างยุติธรรม สิ่งเหล่านี้มักมีผลทวีคูณ ทำให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จมอยู่ในมหาสมุทรแห่งการแจ้งเตือนอันกว้างใหญ่

4 คำแนะนำเพื่อป้องกันความเมื่อยล้า

คุณไม่สามารถกำจัดการแจ้งเตือนที่ผิดพลาดได้ กฎการมอนิเตอร์แบบละเอียดช่วยลดกฎเหล่านั้นได้ แต่การลดลงนั้นไม่มีนัยสำคัญเลย อย่างไรก็ตาม การใช้ CSPM และเครื่องมือตรวจสอบอื่นๆ สามารถช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กำหนดบริบทของการแจ้งเตือนหรือให้ข้อมูลที่เพียงพอสำหรับการตรวจสอบข้อเท็จจริงและการลดภัยคุกคาม

มาตรการรับมือที่เป็นไปได้อีกประการหนึ่งคือการจัดเตรียมการแก้ไขที่ง่ายดายเพียงคลิกเดียว เพื่อให้เจ้าหน้าที่รักษาความปลอดภัยสามารถบรรเทาภัยคุกคามทั่วไปได้อย่างรวดเร็วและง่ายดาย หรือแม้กระทั่งให้คำแนะนำทีละขั้นตอนเกี่ยวกับวิธีแก้ไขภัยคุกคามเหล่านี้

ด้านล่างนี้เป็นคุณลักษณะบางอย่างที่ควรพิจารณาในเครื่องมือ CPSM เพื่อช่วยลดความเหนื่อยล้าในการแจ้งเตือนสำหรับเจ้าหน้าที่รักษาความปลอดภัยของคุณ

1. การแจ้งเตือนตามบริบท

CSPM ควรช่วยให้คุณระบุและขยายเนื้อหาที่ต้องสงสัยได้อย่างรวดเร็วเพื่อทำความเข้าใจบริบทของภัยคุกคามในแง่ของการกำหนดค่าและมุมมองกิจกรรมที่เกี่ยวข้องกับความรุนแรงของเหตุการณ์

ซึ่งช่วยลดเวลาที่ต้องใช้ในการตรวจสอบการแจ้งเตือนแต่ละรายการได้อย่างมาก คุณสามารถระบุและยกเลิกการแจ้งเตือนที่ผิดพลาดได้อย่างรวดเร็ว ดำเนินการทันทีเพื่อบรรเทาภัยคุกคาม หรือแก้ไขช่องโหว่

2. ให้ข้อมูลเชิงลึกที่นำไปปฏิบัติได้

การป้องกันย่อมดีกว่าการรักษาเสมอ ทำไมต้องรอให้มีการแจ้งเตือน? ลองจินตนาการถึงประวัติของการเปลี่ยนแปลงทั้งหมดที่เกิดขึ้นกับสภาพแวดล้อมแบบมัลติคลาวด์ของคุณ ซึ่งแต่ละครั้งมาพร้อมกับข้อมูลเชิงลึกที่นำไปปฏิบัติได้ซึ่งช่วยให้คุณทราบถึงภัยคุกคามที่อาจเกิดขึ้นกับโครงสร้างพื้นฐานระบบคลาวด์ของคุณ และยังแนะนำคุณเกี่ยวกับการดำเนินการเชิงรุกเพื่อบรรเทาภัยคุกคามที่อาจเกิดขึ้น

การมีฟีเจอร์ดังกล่าวจะช่วยให้องค์กรของคุณพร้อมสำหรับการตรวจสอบสำหรับมาตรฐานสากล เช่น ISO 27001, SOC 2, มาตรฐานเฉพาะอุตสาหกรรมและอาณาเขต เช่น PCI DSS สำหรับอุตสาหกรรมการชำระเงิน, MAS TRM ของสิงคโปร์, POJK 38 ของอินโดนีเซีย, APRA ของออสเตรเลีย และ ส.ป.ก.

3. กฎที่กำหนดเองและการตั้งค่าสถานะระดับภัยคุกคาม

ทุกองค์กรมีความต้องการด้านความปลอดภัยและธุรกิจที่แตกต่างกัน ของคุณก็ไม่ต่างกัน คุณอาจมีกฎความปลอดภัยภายในองค์กรที่ต้องตรวจสอบ บางองค์กรยังมีสินทรัพย์บนคลาวด์ที่มีความสำคัญมากกว่าองค์กรอื่นๆ เมื่อเทียบกับองค์กรอื่นๆ ในอุตสาหกรรม

คุณสามารถลดความเมื่อยล้าในการแจ้งเตือนได้โดยการตรวจสอบกฎและสินทรัพย์ภายในองค์กรเหล่านี้ ตั้งค่าสถานะการวิพากษ์วิจารณ์ที่ถูกต้องสำหรับแต่ละรายการ และจัดลำดับความสำคัญ ตัวอย่างเช่น คุณอาจต้องการรับการแจ้งเตือนทุกครั้งที่มีการเปลี่ยนแปลงในบัคเก็ต AWS S3 ที่มีข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII)

ก้าวต่อไป CSPM ควรอนุญาตให้คุณสร้างกลุ่มการตรวจสอบซึ่งคุณสามารถระบุระดับวิกฤตและนำไปใช้โดยอัตโนมัติกับสินทรัพย์สำคัญอื่นๆ ที่ถูกตั้งค่าสถานะในองค์กรของคุณ สิ่งนี้จะช่วยให้คุณลดความเหนื่อยล้าจากการตื่นตัว

4. การแก้ไขภัยคุกคามและช่องโหว่อย่างรวดเร็ว

เจ้าหน้าที่รักษาความปลอดภัยของคุณควรสามารถแก้ไขช่องโหว่และภัยคุกคามทั่วไปและเล็กน้อยได้อย่างรวดเร็วและง่ายดาย และรับคำแนะนำทีละขั้นตอนในการบรรเทาช่องโหว่เฉพาะ

ในความเป็นจริง การเลือกช่องโหว่ทั่วไปและช่องโหว่เล็กน้อยทั้งหมด จากนั้นทำการแก้ไขจำนวนมากด้วยการคลิกเมาส์เพียงครั้งเดียว จะช่วยลดเวลาที่เจ้าหน้าที่รักษาความปลอดภัยของคุณใช้ในการแก้ไขได้อย่างมาก

อีกวิธีหนึ่งที่คุณสามารถช่วยเจ้าหน้าที่รักษาความปลอดภัยของคุณป้องกันความเหนื่อยล้าจากการแจ้งเตือนและยกระดับทักษะไปพร้อมๆ กันได้คือการทำให้แน่ใจว่าเครื่องมือ CSPM นำเสนอคำแนะนำแบบทีละขั้นตอนสำหรับการแก้ไขช่องโหว่ ตัวอย่างเช่น เจ้าหน้าที่รักษาความปลอดภัยของคุณอาจเลือกที่จะแก้ไขช่องโหว่ทั่วไปและช่องโหว่เล็กน้อยด้วยตัวเลือกคลิกเดียวในขณะที่ใช้ playbook ทีละขั้นตอนสำหรับการแก้ไขที่ซับซ้อนมากขึ้นและเรียนรู้จากสิ่งนั้น

ตื่นตัวแต่อย่ามากเกินไป

ความเหนื่อยล้าจากการแจ้งเตือนเป็นปัญหาจริงที่อุตสาหกรรมความปลอดภัยทางไซเบอร์เผชิญอยู่ในปัจจุบัน ไม่เพียงแต่จะทำให้การป้องกันขององค์กรของคุณอ่อนแอลงจากจำนวนที่เพิ่มขึ้นและความซับซ้อนที่เพิ่มขึ้นของการโจมตีทางไซเบอร์ แต่ยังส่งผลร้ายแรงต่อสภาพจิตใจของเจ้าหน้าที่รักษาความปลอดภัยของคุณอีกด้วย

ความเหนื่อยล้าจากการแจ้งเตือนทำให้เกิดตัวอย่างการละเมิดมากมายในชีวิตจริง มืออาชีพหลายคนกำลังออกหรือคิดที่จะออกจากอุตสาหกรรมนี้โดยสิ้นเชิง สิ่งนี้ไม่เป็นลางดีสำหรับอุตสาหกรรมความปลอดภัยทางไซเบอร์โดยรวม เนื่องจากการปรับใช้ระบบคลาวด์กำลังเพิ่มขึ้นและความต้องการบุคลากรที่มีความสามารถเช่นนี้กำลังเลวร้ายในระดับโลก

แม้ว่าเราต้องยอมรับว่าความเหนื่อยล้าจากการแจ้งเตือนนั้นไม่สามารถกำจัดให้หมดไปได้ แต่อย่างน้อยที่สุดเราก็สามารถพยายามอย่างเต็มที่เพื่อลดความเน่าเสียให้เหลือน้อยที่สุด การแนะนำและการใช้เครื่องมือ CSPM ที่ดีเป็นวิธีหนึ่งที่ดีในการทำเช่นนั้น

ปัญหานี้จำเป็นต้องได้รับการแก้ไขโดยเร็วและไม่ปล่อยให้เป็นหนอง

การโจมตีทางไซเบอร์กำลังมา! ค้นหาสิ่งที่ต้องทำเมื่อคุณมีการละเมิดข้อมูลและป้องกันการละเมิดในอนาคต