什麼是警覺疲勞? 減輕它並防止倦怠的 4 種方法

已發表: 2022-11-14

嗶、嗶、叮、叮——警覺疲勞的起源。

警覺疲勞並不是一個新現象。 當網絡安全專業人員在處理大量警報後變得不敏感時,就會發生這種情況,因此他們開始忽視或忽略它們並且響應時間變慢。 在警報疲勞的大多數情況下,員工無法及時響應,因為他們對警報和通知感到精疲力竭。

警報疲勞被認為是 2013 年目標數據洩露事件的主要原因,該事件導致約 4000 萬客戶的信用卡和個人信息被盜。 這是許多企業關心的問題,需要引起高度重視。 但是你如何緩解警報緩解呢? 讓我們找出來。

網絡安全專業人員的真正鬥爭

警報疲勞一詞最早由總部位於美國的非營利性醫院認證組織聯合委員會於 2004 年創造,旨在宣布臨床警報有效性作為醫院的標準。 從那以後,它在許多處理警報(包括網絡安全)的企業中變得流行起來。

雖然忽略消息或應用程序通知可能不會對您的日常生活產生負面影響,但對於網絡安全專業人員及其組織而言,後果可能很嚴重。 根據 RiskIQ 的 2021 年邪惡互聯網分鐘報告 1,網絡犯罪每 60 秒給企業造成的損失高達 179 萬美元。

就在四年前,2018 年的一項調查發現,27% 的 IT 專業人員每天收到超過 100 萬條安全警報(暫停並讓它沉沒),而大多數 (67%) 每天受到 100,000 條警報的轟炸。 中小企業也未能倖免於警報氾濫——每天遭受 4,000 次網絡攻擊。

而且這個數字預計不會很快下降。 同年的一項相關研究發現,警報正在增加,而安全人員平均每週只能處理 12,000 個警報。

偉大的網絡安全辭職

網絡安全專業人員面臨倦怠並不奇怪。 即使擁有龐大的團隊,每天處理 2,000 多條通知也是一種精神負擔。 想像一下,在一個典型的工作日中,每 8 小時就處於消防員模式,有時甚至更長。

Panther Labs 最近的一份報告發現,高達 80% 的安全工程師感到精疲力盡。 此外,在 Deep Instinct 第三版年度 SecOps 之聲報告 2 中,45% 的受訪者考慮因壓力而完全離開該行業。 46% 的受訪者表示,他們至少認識一位在過去一年因壓力而離開網絡安全部門的同行。

首席信息安全官 (CISO) 正以更加驚人的速度精疲力竭和離職。 同一份報告的 1,000 名受訪者中有 49% 正考慮因壓力增加而離開該行業。

這不僅僅是人們離職,還有對行業本身的損害。 該行業正在永遠失去人才,而且他們不太可能有公平的替代率。 儘管進入該行業的人多於離開該行業的人,但新進入者需要時間才能跟上步伐。

並非所有警報都生而平等

那麼為什麼會有這麼多警報呢? 當在雲基礎架構中檢測到異常時,雲安全態勢管理 (CSPM) 和安全信息和事件管理 (SIEM) 等監控工具會發出警報。 但是,並非所有警報都需要採取措施,或者至少不需要立即採取措施。 一些警報表示可以稍後修復甚至忽略的小問題。

根據 Fastly 在 2021 年發布的一份報告,還有誤報,佔所有網絡安全警報的近一半 (45%)。誤報是指在實際不存在攻擊、漏洞或風險時發出的警報。

將其視為虛驚或狼來了的男孩。 例如,缺少安全證書的舊合法文件可能被標記為惡意文件。

同樣,當信息安全 (IS) 團隊不知道該員工正在休假時,可能會發出警報,指示該員工從未知位置進行的可疑登錄。

要最大程度地減少此類警報,您可以使用最低權限策略並僅共享對不易受到威脅的應用程序和數據的訪問。 您還可以使用零信任模型並完全限制對易受威脅或關鍵應用程序和數據的訪問。

Fastly 報告還發現,75% 的組織花在誤報上的時間與花在實際攻擊上的時間一樣多,有時甚至更多。 這些錯誤警報導致的停機時間與真正的攻擊相同。

誤報的問題不在於它們存在,而是:

  • 他們的絕對數量
  • 每一個都需要時間和精力來審查、調查和驗證以確定攻擊、威脅或漏洞是否真實。

這些是警報疲勞的根本原因。

想像一下您家中有故障的火警系統反复響起。 它第一次發出哀號時,你會仔細檢查房子的每個角落,以確定是否有火災以及火災發生的位置。 您可能會對隨後的幾個警報執行此操作,但最終,您會認為不值得花時間調查另一個警報並忽略它。

同樣,由於警報疲勞,網絡安全專業人員最終可能會完全忽略或錯過表明真正威脅或攻擊的重要警報。 然後是考慮哪些警報更重要並且需要優先考慮。

一些組織使用不同的系統來監控他們的雲基礎設施,這意味著每個系統都會收到其公平份額的警報。 這些通常會產生乘法效應,讓網絡安全專業人員淹沒在浩瀚的警報海洋中。

防止警覺疲勞的 4 條建議

不幸的是,您無法消除誤報。 微調監控規則有助於減少它們,但這種減少充其量是微不足道的。 但是,使用 CSPM 和其他監控工具可以幫助網絡安全專業人員將警報置於上下文中,或者為事實調查和威脅緩解提供足夠的信息。

另一種可能的對策是提供簡單的一鍵修復,這樣安全人員就可以快速輕鬆地緩解常見威脅,甚至提供有關如何修復這些威脅的分步說明。

以下是 CPSM 工具中需要考慮的一些功能,以幫助減輕安全人員的警報疲勞。

1. 情境化警報

CSPM 應該允許您快速識別和放大可疑資產,以根據與事件嚴重性相關的配置和活動視角了解威脅的上下文。

這顯著減少了調查每個警報所需的時間。 您可以快速識別並消除錯誤警報,立即採取措施減輕威脅,或修復漏洞。

2. 提供可操作的見解

預防永遠勝於治療。 為什麼要等待警報通過? 想像一下,看到對您的多雲環境所做的所有更改的歷史記錄,每項更改都伴隨著可操作的洞察力,可幫助您了解對雲基礎架構的潛在威脅,甚至指導您採取主動行動來減輕潛在威脅。

擁有這樣的功能還可以讓您的組織為國際標準(例如 ISO 27001、SOC 2)、特定行業和地區標準(例如支付行業的 PCI DSS、新加坡的 MAS TRM、印度尼西亞的 POJK 38、澳大利亞的 APRA)做好審計準備, 和泰國 PDPA。

3.自定義規則和威脅級別標記

每個組織都有獨特的安全和業務需求; 你的也不例外。 您可能需要監控一些內部安全規則。 與業內同行相比,一些組織還擁有比其他組織更重要的雲資產。

您可以通過監控這些內部規則和資產、為每個規則和資產設置正確的關鍵性標誌並確定它們的優先級來減少警報疲勞。 例如,您可能希望在包含個人身份信息 (PII) 數據的 AWS S3 存儲桶發生任何更改時收到警報。

更進一步,CSPM 應該允許您創建監控組,您可以在其中指定關鍵級別並自動將其應用於組織中其他標記的關鍵資產。 這將幫助您減少警覺疲勞。

4.快速修復威脅和漏洞

您的安全人員還應該能夠快速輕鬆地修復常見和次要的漏洞和威脅,並接收有關緩解特定漏洞的分步說明。

事實上,選擇所有常見和次要漏洞,然後通過單擊鼠標批量修復它們將顯著減少安全人員花在修復上的時間。

另一種可以幫助您的安全人員避免警報疲勞和同時提高技能的方法是確保 CSPM 工具提供修復漏洞的分步說明。 例如,您的安全人員可能會選擇使用一鍵式選項修復常見和次要漏洞,同時使用分步手冊進行更複雜的修復並從中學習。

保持警惕,但不要太多

警報疲勞是當今網絡安全行業面臨的一個真正問題。 它不僅會削弱您的組織對越來越多和越來越複雜的網絡攻擊的防禦能力,還會對您的安全人員的心理健康造成嚴重損害。

警報疲勞已導致許多現實生活中的違規案例。 許多專業人士實際上正在離開或考慮完全離開這個行業。 這對整個網絡安全行業來說並不是一個好兆頭,因為雲的採用率正在上升,而且全球範圍內對此類人才的需求非常迫切。

雖然我們不得不承認警覺疲勞永遠無法根除,但我們至少可以盡最大努力將這種情況降到最低,可以這麼說。 引入和採用一個好的 CSPM 工具是做到這一點的一種好方法。

這個問題需要盡快解決,不能任其惡化。

網絡攻擊來襲! 了解發生數據洩露時應採取的措施並防止未來發生洩露。