什么是警觉疲劳? 减轻它并防止倦怠的 4 种方法

已发表: 2022-11-14

哔、哔、叮、叮——警觉疲劳的起源。

警觉疲劳并不是一个新现象。 当网络安全专业人员在处理大量警报后变得不敏感时,就会发生这种情况,因此他们开始忽视或忽略它们并且响应时间变慢。 在警报疲劳的大多数情况下,员工无法及时响应,因为他们对警报和通知感到精疲力尽。

警报疲劳被认为是 2013 年目标数据泄露事件的主要原因,该事件导致约 4000 万客户的信用卡和个人信息被盗。 这是许多企业关心的问题,需要引起高度重视。 但是你如何缓解警报缓解呢? 让我们找出来。

网络安全专业人员的真正斗争

警报疲劳一词最早由总部位于美国的非营利性医院认证组织联合委员会于 2004 年创造,旨在宣布临床警报有效性作为医院的标准。 从那以后,它在许多处理警报(包括网络安全)的企业中变得流行起来。

虽然忽略消息或应用程序通知可能不会对您的日常生活产生负面影响,但对于网络安全专业人员及其组织而言,后果可能很严重。 根据 RiskIQ 的 2021 年邪恶互联网分钟报告 1,网络犯罪每 60 秒给企业造成的损失高达 179 万美元。

就在四年前,2018 年的一项调查发现,27% 的 IT 专业人员每天收到超过 100 万条安全警报(暂停并让它沉没),而大多数 (67%) 每天受到 100,000 条警报的轰炸。 中小企业也未能幸免于警报泛滥——每天遭受 4,000 次网络攻击。

而且这个数字预计不会很快下降。 同年的一项相关研究发现,警报正在增加,而安全人员平均每周只能处理 12,000 个警报。

伟大的网络安全辞职

网络安全专业人员面临倦怠并不奇怪。 即使拥有庞大的团队,每天处理 2,000 多条通知也是一种精神负担。 想象一下,在一个典型的工作日中,每 8 小时就处于消防员模式,有时甚至更长。

Panther Labs 最近的一份报告发现,高达 80% 的安全工程师感到精疲力尽。 此外,在 Deep Instinct 第三版年度 SecOps 之声报告 2 中,45% 的受访者考虑因压力而完全离开该行业。 46% 的受访者表示,他们至少认识一位在过去一年因压力而离开网络安全部门的同行。

首席信息安全官 (CISO) 正以更加惊人的速度精疲力竭和离职。 同一份报告的 1,000 名受访者中有 49% 正考虑因压力增加而离开该行业。

这不仅仅是人们离职,还有对行业本身的损害。 该行业正在永远失去人才,而且他们不太可能有公平的替代率。 尽管进入该行业的人多于离开该行业的人,但新进入者需要时间才能跟上步伐。

并非所有警报都生而平等

那么为什么会有这么多警报呢? 当在云基础架构中检测到异常时,云安全态势管理 (CSPM) 和安全信息和事件管理 (SIEM) 等监控工具会发出警报。 但是,并非所有警报都需要采取措施,或者至少不需要立即采取措施。 一些警报表示可以稍后修复甚至忽略的小问题。

根据 Fastly 在 2021 年发布的一份报告,还有误报,占所有网络安全警报的近一半 (45%)。误报是指在实际不存在攻击、漏洞或风险时发出的警报。

将其视为虚惊或狼来了的男孩。 例如,缺少安全证书的旧合法文件可能被标记为恶意文件。

同样,当信息安全 (IS) 团队不知道该员工正在休假时,可能会发出警报,指示该员工从未知位置进行的可疑登录。

要最大程度地减少此类警报,您可以使用最低权限策略并仅共享对不易受到威胁的应用程序和数据的访问。 您还可以使用零信任模型并完全限制对易受威胁或关键应用程序和数据的访问。

Fastly 报告还发现,75% 的组织花在误报上的时间与花在实际攻击上的时间一样多,有时甚至更多。 这些错误警报导致的停机时间与真正的攻击相同。

误报的问题不在于它们存在,而是:

  • 他们的绝对数量
  • 每一个都需要时间和精力来审查、调查和验证以确定攻击、威胁或漏洞是否真实。

这些是警报疲劳的根本原因。

想象一下您家中有故障的火警系统反复响起。 它第一次发出哀号时,你会仔细检查房子的每个角落,以确定是否有火灾以及火灾发生的位置。 您可能会对随后的几个警报执行此操作,但最终,您会认为不值得花时间调查另一个警报并忽略它。

同样,由于警报疲劳,网络安全专业人员最终可能会完全忽略或错过表明真正威胁或攻击的重要警报。 然后是考虑哪些警报更重要并且需要优先考虑。

一些组织使用不同的系统来监控他们的云基础设施,这意味着每个系统都会收到其公平份额的警报。 这些通常会产生乘法效应,让网络安全专业人员淹没在浩瀚的警报海洋中。

防止警觉疲劳的 4 条建议

不幸的是,您无法消除误报。 微调监控规则有助于减少它们,但这种减少充其量是微不足道的。 但是,使用 CSPM 和其他监控工具可以帮助网络安全专业人员将警报置于上下文中,或者为事实调查和威胁缓解提供足够的信息。

另一种可能的对策是提供简单的一键修复,这样安全人员就可以快速轻松地缓解常见威胁,甚至提供有关如何修复这些威胁的分步说明。

以下是 CPSM 工具中需要考虑的一些功能,以帮助减轻安全人员的警报疲劳。

1. 情境化警报

CSPM 应该允许您快速识别和放大可疑资产,以根据与事件严重性相关的配置和活动视角了解威胁的上下文。

这显着减少了调查每个警报所需的时间。 您可以快速识别并消除错误警报,立即采取措施减轻威胁,或修复漏洞。

2. 提供可操作的见解

预防永远胜于治疗。 为什么要等待警报通过? 想象一下,看到对您的多云环境所做的所有更改的历史记录,每项更改都伴随着可操作的洞察力,可帮助您了解对云基础架构的潜在威胁,甚至指导您采取主动行动来减轻潜在威胁。

拥有这样的功能还可以让您的组织为国际标准(例如 ISO 27001、SOC 2)、特定行业和地区标准(例如支付行业的 PCI DSS、新加坡的 MAS TRM、印度尼西亚的 POJK 38、澳大利亚的 APRA)做好审计准备, 和泰国 PDPA。

3.自定义规则和威胁级别标记

每个组织都有独特的安全和业务需求; 你的也不例外。 您可能需要监控一些内部安全规则。 与业内同行相比,一些组织还拥有比其他组织更重要的云资产。

您可以通过监控这些内部规则和资产、为每个规则和资产设置正确的关键性标志并确定它们的优先级来减少警报疲劳。 例如,您可能希望在包含个人身份信息 (PII) 数据的 AWS S3 存储桶发生任何更改时收到警报。

更进一步,CSPM 应该允许您创建监控组,您可以在其中指定关键级别并自动将其应用于组织中其他标记的关键资产。 这将帮助您减少警觉疲劳。

4.快速修复威胁和漏洞

您的安全人员还应该能够快速轻松地修复常见和次要的漏洞和威胁,并接收有关缓解特定漏洞的分步说明。

事实上,选择所有常见和次要漏洞,然后通过单击鼠标批量修复它们将显着减少安全人员花在修复上的时间。

另一种可以帮助您的安全人员避免警报疲劳和同时提高技能的方法是确保 CSPM 工具提供修复漏洞的分步说明。 例如,您的安全人员可能会选择使用一键式选项修复常见和次要漏洞,同时使用分步手册进行更复杂的修复并从中学习。

保持警惕,但不要太多

警报疲劳是当今网络安全行业面临的一个真正问题。 它不仅会削弱您的组织对越来越多和越来越复杂的网络攻击的防御能力,还会对您的安全人员的心理健康造成严重损害。

警报疲劳已导致许多现实生活中的违规案例。 许多专业人士实际上正在离开或考虑完全离开这个行业。 这对整个网络安全行业来说并不是一个好兆头,因为云的采用率正在上升,而且全球范围内对此类人才的需求非常迫切。

虽然我们不得不承认警觉疲劳永远无法根除,但我们至少可以尽最大努力将这种情况降到最低,可以这么说。 引入和采用一个好的 CSPM 工具是做到这一点的一种好方法。

这个问题需要尽快解决,不能任其恶化。

网络攻击来袭! 了解发生数据泄露时应采取的措施并防止未来发生泄露。