Uyarı Yorgunluğu Nedir? Tükenmişliği Azaltmanın ve Tükenmişliği Önlemenin 4 Yolu

Bip, bip, ding, ding – uyanık yorgunluğun kökenleri.

Uyarı yorgunluğu yeni bir fenomen değildir. Siber güvenlik uzmanları, çok sayıda uyarıyla uğraştıktan sonra duyarsızlaştığında, bu nedenle onları gözden kaçırmaya veya görmezden gelmeye ve daha yavaş yanıt sürelerine sahip olmaya başladığında ortaya çıkar. Çoğu uyarı yorgunluğu durumunda, çalışanlar uyarılardan ve bildirimlerden yaşadıkları tükenmişlik nedeniyle zamanında yanıt veremezler.

Uyarı yorgunluğunun, kredi kartının ve yaklaşık 40 milyon müşterinin kişisel bilgilerinin çalınmasına yol açan 2013 Hedef Veri İhlalinin ana nedeni olduğuna inanılıyor. Bu, birçok işletme için bir endişe kaynağıdır ve ciddi dikkat gerektirmektedir. Ancak uyarı azaltmayı nasıl azaltabilirsiniz? Hadi bulalım.

Siber güvenlik profesyonelleri için gerçek bir mücadele

Uyarı yorgunluğu terimi ilk olarak 2004 yılında ABD merkezli kar amacı gütmeyen bir hastane akreditasyon kuruluşu olan The Joint Commission tarafından klinik alarm etkinliğini hastaneler için bir standart olarak ilan etmek üzere ortaya atılmıştır. O zamandan beri, siber güvenlik de dahil olmak üzere uyarılarla uğraşan birçok işletme için popüler hale geldi.

Mesajları veya uygulama bildirimlerini dikkate almamak günlük yaşamınızı olumsuz etkilemese de siber güvenlik uzmanları ve kuruluşları için sonuçları ciddi olabilir. RiskIQ'nun 2021 Kötü İnternet Dakika Raporu 1'e göre, siber suçlar işletmelere her 60 saniyede 1,79 milyon dolara mal oluyor.

Sadece dört yıl önce 2018'de yapılan bir anket, BT uzmanlarının %27'sinin günde 1 milyondan fazla güvenlik uyarısı aldığını (duraklatın ve bunun farkına varın), çoğunluğun (%67) ise günde 100.000 uyarı bombardımanına tutulduğunu ortaya çıkardı. KOBİ'ler de her gün 4.000 siber saldırıya maruz kalan alarm tufanından kurtulmuş değil.

Ve bu sayının yakın zamanda düşmesi beklenmiyor. Aynı yıl yapılan ilgili bir araştırma, uyarıların arttığını ve güvenlik personelinin haftada yalnızca ortalama 12.000 uyarıyı işleyebildiğini buldu.

Büyük siber güvenlik istifası

Siber güvenlik uzmanlarının tükenmişlikle karşı karşıya kalması şaşırtıcı değil. Kalabalık bir ekiple bile günde 2.000'den fazla bildirimle uğraşmak zihinsel olarak yorucu. Tipik bir iş gününün her 8 saatinde bir, bazen daha da uzun bir süre itfaiyeci modunda olduğunuzu hayal edin.

Panther Labs'ın yakın tarihli bir raporu, güvenlik mühendislerinin %80'e varan oranda tükenmişlik yaşadığını ortaya koydu. Ek olarak, Deep Instinct'in yıllık SecOps'un Sesi Raporu 2'nin üçüncü baskısına yanıt verenlerin %45'i stres nedeniyle sektörden tamamen ayrılmayı düşünüyor. Aynı yanıt verenlerin yüzde kırk altısı, en azından geçen yıl stres nedeniyle siber güvenlikten ayrılan bir akranını tanıdıklarını söyledi.

Baş bilgi güvenliği görevlileri (CISO'lar) daha da endişe verici bir oranda tükeniyor ve işi bırakıyor. Aynı raporda yanıt veren 1.000 kişinin yüzde kırk dokuzu, artan stres seviyeleri nedeniyle sektörden ayrılmayı düşünüyor.

Bu sadece insanların işlerini bırakmasıyla ilgili değil, aynı zamanda endüstrinin kendisine verilen zararla ilgili. Sektör, yetenekleri sonsuza dek kaybediyor ve onlar için adil bir yenileme oranı olması pek olası değil. Sektöre girenlerden çıkanlardan daha fazla insan olsa da, yeni girenlerin hız kazanması zaman alıyor.

Tüm uyarılar eşit oluşturulmaz

Öyleyse neden bu kadar çok uyarı var? Cloud Security Posture Management (CSPM) ve Security Information and Event Management (SIEM) gibi izleme araçları, bir bulut altyapısında anormallikler algılandığında uyarı verir. Ancak, tüm uyarılar eylem gerektirmez veya en azından hemen gerektirmez. Bazı uyarılar, daha sonra düzeltilebilecek veya hatta göz ardı edilebilecek küçük sorunları gösterir.

Fastly tarafından 2021'de yayınlanan bir rapora göre, tüm siber güvenlik uyarılarının yaklaşık yarısını (%45) oluşturan yanlış pozitifler de var. Yanlış pozitifler, gerçekte hiçbiri olmadığı halde bir saldırıyı, güvenlik açığını veya riski gösteren uyarılardır.

Bunu yanlış bir alarm ya da kurt ağlayan çocuk olarak düşün. Örneğin, güvenlik sertifikaları eksik olan eski meşru dosyalar kötü amaçlı olarak işaretlenebilir.

Benzer şekilde, bilgi güvenliği (IS) ekibi çalışanın tatilde olduğunun farkında olmadığında bilinmeyen bir konumdan bir çalışanın şüpheli giriş yaptığını gösteren bir uyarı verilebilir.

Bu tür uyarıları en aza indirmek için, en düşük ayrıcalık ilkesini kullanabilir ve yalnızca tehdide açık olmayan uygulama ve verilere erişimi paylaşabilirsiniz. Ayrıca sıfır güven modeli kullanabilir ve tehdide açık veya kritik uygulamalara ve verilere erişimi tamamen kısıtlayabilirsiniz.

Fastly raporu ayrıca, kuruluşların %75'inin yanlış pozitiflere gerçek saldırılardan daha fazla ve bazen daha fazla zaman harcadığını ortaya çıkardı. Bu yanlış uyarılar, gerçek saldırılarla aynı miktarda kesintiye neden olur.

Yanlış pozitiflerle ilgili sorun, var olmaları değil, fakat:

• Onların tam sayısı
• Her birinin gözden geçirilmesi, araştırılması ve saldırının, tehdidin veya güvenlik açığının gerçek olup olmadığının doğrulanması için zaman ve çaba gerekir.

Bunlar, uyanık yorgunluğun temel nedenleridir.

Evinizde arızalı bir yangın alarm sisteminin tekrar tekrar çaldığını hayal edin. İlk kez feryat ettiğinde, yangın olup olmadığını ve nerede olduğunu anlamak için evin her köşesini iyice tararsınız. Bunu birkaç sonraki alarm için yapabilirsiniz, ancak sonunda, başka bir alarmı araştırmak için zaman ayırmaya değmeyeceğine karar verin ve onu yok sayın.

Aynı şekilde, siber güvenlik uzmanları, uyarı yorgunluğu nedeniyle gerçek bir tehdide veya saldırıya işaret eden önemli uyarıları sonunda tamamen görmezden gelebilir veya kaçırabilir. Ardından, hangi uyarıların daha önemli olduğu ve önceliklendirilmesi gerektiği düşünülür.

Bazı kuruluşlar, bulut altyapılarını izlemek için farklı sistemler kullanır; bu, her sistemin uyarılardan adil bir pay aldığı anlamına gelir. Bunların genellikle çoğalan etkileri vardır ve siber güvenlik profesyonellerini uçsuz bucaksız bir uyarı okyanusunda boğulmaya bırakır.

Uyarı yorgunluğunu önlemek için 4 öneri

Ne yazık ki yanlış uyarıları ortadan kaldıramazsınız. İzleme kurallarının ince ayarlanması, bunların azaltılmasına yardımcı olur, ancak azalma en iyi ihtimalle önemsizdir. Bununla birlikte, bir CSPM ve diğer izleme araçlarının kullanılması, siber güvenlik uzmanlarının uyarıları bağlamsallaştırmasına veya olgusal inceleme ve tehdit azaltma için yeterli bilgi sağlamasına yardımcı olabilir.

Diğer bir olası karşı önlem, güvenlik personelinin yaygın tehditleri hızlı ve kolay bir şekilde azaltabilmesi ve hatta bu tehditlerin nasıl giderileceğine ilişkin adım adım talimatlar sunabilmesi için tek tıklamayla kolay düzeltme sağlamaktır.

Aşağıda, güvenlik personeliniz için uyarı yorgunluğunu azaltmaya yardımcı olacak bir CPSM aracında dikkate alınması gereken bazı özellikler bulunmaktadır.

1. Uyarıları bağlamsallaştırın

Bir CSPM, olay önem dereceleriyle ilişkili yapılandırma ve etkinlik perspektifleri ışığında tehdidin bağlamını anlamak için şüpheli varlıkları hızlı bir şekilde tanımlamanıza ve yakınlaştırmanıza olanak sağlamalıdır.

Bu, her uyarıyı araştırmak için gereken süreyi önemli ölçüde azaltır. Yanlış bir uyarıyı hızlı bir şekilde belirleyip yok sayabilir, tehdidi azaltmak için anında harekete geçebilir veya güvenlik açığını giderebilirsiniz.

2. Eyleme geçirilebilir içgörüler sağlayın

Korunma her zaman tedaviden iyidir. Uyarıların gelmesini neden bekleyesiniz? Çoklu bulut ortamınızda yapılan tüm değişikliklerin geçmişini, bulut altyapınıza yönelik potansiyel tehditleri bilmenize yardımcı olan ve hatta potansiyel tehditleri azaltmak için proaktif eylemde bulunmanıza yardımcı olan eyleme dönüştürülebilir bir içgörü ile birlikte gördüğünüzü hayal edin.

Böyle bir özelliğe sahip olmak, kuruluşunuzun ISO 27001, SOC 2 gibi uluslararası standartlar ve ödeme sektörü için PCI DSS, Singapur'un MAS TRM'si, Endonezya'nın POJK 38'i, Avustralya'nın APRA'sı gibi sektöre özgü ve bölgesel standartlar için denetime hazır kalmasına da olanak tanır. ve Tay PDPA.

3. Özel kurallar ve tehdit düzeyi işaretleme

Her kuruluşun benzersiz güvenlik ve iş ihtiyaçları vardır; seninki de farklı değil İzlemeniz gereken bazı şirket içi güvenlik kurallarınız olabilir. Bazı kuruluşların, sektördeki emsallerine kıyasla diğerlerinden daha önemli bulut varlıkları da vardır.

Bu kurum içi kuralları ve varlıkları izleyerek, her biri için doğru önem derecesini belirleyerek ve bunlara öncelik vererek uyarı yorgunluğunu azaltabilirsiniz. Örneğin, Kişisel Tanımlanabilir Bilgiler (PII) verileri içeren bir AWS S3 klasöründe herhangi bir değişiklik olduğunda uyarı almak isteyebilirsiniz.

Daha da ileri giderek, bir CSPM, kritiklik düzeyini belirleyebileceğiniz ve bunu kuruluşunuzdaki diğer işaretlenmiş kritik varlıklara otomatik olarak uygulayabileceğiniz izleme grupları oluşturmanıza izin vermelidir. Bu, uyarı yorgunluğunu azaltmanıza yardımcı olacaktır.

4. Tehditlerin ve güvenlik açıklarının hızla düzeltilmesi

Güvenlik personeliniz ayrıca yaygın ve küçük güvenlik açıklarını ve tehditleri hızlı ve kolay bir şekilde düzeltebilmeli ve belirli güvenlik açıklarını hafifletmek için adım adım talimatlar alabilmelidir.

Aslında, tüm yaygın ve küçük güvenlik açıklarını seçmek ve ardından bunları tek bir fare tıklamasıyla toplu olarak düzeltmek, güvenlik personelinizin düzeltme için harcadığı zamanı önemli ölçüde azaltacaktır.

Güvenlik personelinizin alarm yorgunluğundan kurtulmasına ve aynı anda beceri geliştirmesine yardımcı olmanın bir başka yolu da, CSPM aracının güvenlik açıklarını gidermek için adım adım talimatlar sunmasını sağlamaktır. Örneğin, güvenlik personeliniz, daha karmaşık düzeltmeler için adım adım oyun kitabını kullanırken tek tıklama seçeneğiyle yaygın ve küçük güvenlik açıklarını düzeltmeyi seçebilir ve bundan ders çıkarabilir.

Uyanık ol, ama çok fazla değil

Uyarı yorgunluğu, bugün siber güvenlik endüstrisinin karşı karşıya olduğu gerçek bir sorundur. Sayıları giderek artan ve karmaşıklığı artan siber saldırılara karşı kuruluşunuzun savunmasını zayıflatmakla kalmaz, aynı zamanda güvenlik personelinizin zihinsel sağlığını da ciddi şekilde etkiler.

Uyarı yorgunluğu, gerçek hayattan çok sayıda ihlal örneğine neden oldu. Pek çok profesyonel aslında sektörden tamamen ayrılıyor veya ayrılmayı düşünüyor. Bulut benimsemenin arttığı ve küresel ölçekte bu tür yeteneklere olan ihtiyacın korkunç olduğu düşünüldüğünde, bu bir bütün olarak siber güvenlik endüstrisi için iyiye işaret değil.

Uyanık yorgunluğun asla ortadan kaldırılamayacağını kabul etmek zorunda olsak da, tabiri caizse çürümeyi en aza indirmek için elimizden gelenin en iyisini yapabiliriz. İyi bir CSPM aracını tanıtmak ve benimsemek, tam da bunu yapmanın iyi bir yoludur.

Bu sorunun bir an önce çözülmesi ve çürümeye bırakılmaması gerekiyor.

Siber saldırı geliyor! Bir veri ihlaliniz olduğunda ne yapacağınızı öğrenin ve gelecekteki ihlalleri önleyin.