什么是警觉疲劳? 4种方法来缓解它和防止疲劳

喘息,吹口哨,挤压,挤压 – 警觉疲劳的原因。

正念疲劳并不是一个新现象。 当网络安全专业人员在处理大量警报后变得麻木不仁时,就会发生这种情况,因此他们开始忽略或忽略它们并且响应时间较慢。 在大多数警报疲劳的情况下,员工由于疲劳而无法及时响应警报和通知。

警报疲劳被认为是导致 2013 年数据泄露目标 导致大约4000万客户的信用卡和个人信息被盗。 这是许多公司关注的问题,需要认真关注。 但是如何减轻警报呢? 让我们来了解一下。

网络安全专业人员的真正斗争

警觉疲劳一词于 2004 年由 联合委员会,一家总部位于美国的非营利性医院认证组织,宣布临床警报作为医院标准的有效性。 从那时起,它在许多处理警报(包括网络安全)的公司中变得流行起来。

虽然忽略消息或应用程序通知可能不会对您的日常生活产生负面影响,但对网络安全专业人员及其组织的影响可能会很严重。 根据 RiskIQ 2021 年互联网分钟报告 1网络犯罪每 60 秒给企业造成 179 万美元的损失。

就在四年前,2018 年的一项调查发现, 27% 的 IT 专业人士 每天接收超过 100 万个安全警报(暂停并让它沉入其中),而大多数 (67%) 每天收到 100,000 个警报。 中小型企业也未能幸免洪水警报——它达到了 4000 咖啡馆袭击 每天。

预计这个数字不会很快减少。 同年的一项相关研究发现警报正在增加,而安全人员只能处理平均 每周 12,000 个警报.

伟大的网络安全辞职

网络安全专业人员面临倦怠不足为奇。 即使是一个大型团队,每天处理 2,000 多个通知也是一种心理负担。 想象一下,您在典型的工作日中每 8 小时(有时更长)就处于消防员的位置。

Panther Labs 最近的一份报告发现,这取决于 80% 的安全工程师 筋疲力尽的此外,45% 的参与者 Deep Instinct 第三版 SecOps 年度报告之声 2 考虑完全因为压力而离开这个行业。 46% 的受访者表示,他们知道至少有一位同行在过去一年中因压力而退出网络安全。

首席信息安全官 (CISO) 正在以更加危险的速度精疲力尽并辞职。 同一份报告的 1,000 名受访者中有 49% 正在考虑由于压力水平增加而离开该行业。

这不仅仅是关于人们离开工作的问题,而是对行业本身的损害。 该行业正在永远失去人才,而且不可能有一个公平的替代率。 虽然进入这个行业的人比离开的人多,但新进入者跟上步伐需要时间。

并非所有警报都是平等的

那么为什么会有这么多警报呢? 监控工具如 云安全模式管理 (CSPM) 安全信息和事件管理 (SIEM) 在云基础架构中检测到异常时发出警报。 但是,并非所有警报都需要采取行动,或者至少不需要立即采取行动。 一些警报表示可以稍后修复甚至忽略的小问题。

然后那里 误报,根据 Fastly 在 2021 年发布的一份报告,占所有网络安全警报的近一半 (45%)。误报是表示攻击、漏洞或危险不存在的警报。

把它想象成一个虚惊或尖叫狼的男孩。 例如,可以将缺少安全证书的旧合法文件标记为恶意文件。

同样,当信息安全 (IS) 团队不知道员工在那里度假时,员工可能会从未知位置发出指示可疑登录的警报。

要减少这些警报,您可以使用文件 最少特许经营政策 并且只共享对不易受到威胁的应用程序和数据的访问。 您也可以使用文件 零置信模型 完全限制对敏感或易受威胁的应用程序和数据的访问。

Fastly 报告还发现,与实际攻击相比,75% 的组织在误报上花费的时间更多,有时甚至更多。 这些错误警报会导致与真实攻击相同的停机时间。

误报的问题不在于它们存在,而在于:

  • 他们的数量巨大
  • 每个都需要时间和精力来审查、调查和验证攻击、威胁或漏洞是否真实。

这些是警觉疲劳的根本原因。

想象一下,有故障的火灾报警系统经常在您家中响起。 他第一次哭的时候,你梳理房子的每个角落,看看有没有火,在哪里。 您可以为以后的几个警报执行此操作,但最后,只需决定不值得您花时间调查另一个警报并忽略它。

同样,由于警报疲劳,网络安全专业人员最终可能会忽略或完全错过表明真正威胁或攻击的重要警报。 然后考虑需要优先处理的最重要的警报。

一些组织使用不同的系统来监控他们的云基础设施,这意味着每个系统都会获得公平的警报份额。 这些影响通常会产生连锁反应,使网络安全专业人员被海量的警报淹没。

预防警觉压力的 4 条建议

不幸的是,您无法摆脱错误警报。 微调监控规则有助于减少它,但减少最多是微不足道的。 但是,使用 CSPM 和其他监控工具可以帮助网络安全专业人员对警报进行情境化,或为实际调查和威胁缓解提供足够的信息。

另一种潜在的对策是提供简单的一键式补救措施,以便安全人员可以快速轻松地缓解常见威胁,甚至提供有关如何解决这些威胁的分步说明。

以下是 CPSM 工具中需要考虑的一些功能,以帮助减少安全人员的警报疲劳。

1. 设置警报的上下文

CSPM 应该允许您根据与事件严重性相关的配置和活动视角快速识别和放大可疑资产,以了解威胁的背景。

这大大减少了调查每个警报所需的时间。 您可以快速识别并消除错误警报,立即采取措施缓解威胁或解决漏洞。

2. 提供可行的见解

预防总是胜于治疗。 为什么要等待警报到达? 想象一下查看对文件所做的所有更改的历史记录 多云 每个环境都附有可操作的见解,可帮助您了解对云基础架构的潜在威胁,甚至指导您采取主动行动来减轻潜在威胁。

拥有这样的功能还可以让您的组织随时准备根据 ISO 27001、SOC 2 等国际标准、行业特定标准和区域标准(例如支付行业的 PCI DSS、新加坡的 MAS TRM、印度尼西亚的 POJK 38)进行审核,澳大利亚 APRA 和 PDPA 泰语。

3. 自定义规则和威胁级别标记

每个组织都有独特的安全和业务需求; 你的也不例外。 您可能需要监控一些内部安全规则。 与行业同行相比,一些组织还拥有比其他组织更重要的云资产。

您可以通过监控这些内部规则和资产、标记每个规则和资产的适当重要性并确定它们的优先级来减轻警报压力。 例如,您可能希望在包含个人身份信息 (PII) 数据的 AWS S3 容器发生更改时收到警报。

展望未来,CSPM 应该允许您创建控制组,您可以在其中定义重要性级别并将其自动应用于组织中标记的其他关键资产。 这将帮助您减少警觉疲劳。

4. 快速处理威胁和漏洞

您的安全人员还应该能够快速轻松地解决常见和次要漏洞和威胁,并接收有关减轻已识别漏洞的分步说明。

事实上,识别所有常见和次要漏洞,然后通过单击鼠标共同解决这些漏洞,将显着减少安全人员修复所花费的时间。

帮助安全人员避免警报疲劳并同时提高技能的另一种方法是确保 CSPM 工具提供解决漏洞的分步说明。 例如,您的安全人员可以选择通过一键式选项解决常见和次要漏洞,同时使用和学习分步操作指南以获得更复杂的补救措施。

保持警惕,但不要太多

警报压力是当今网络安全行业面临的一个真正问题。 它不仅削弱了您的组织对日益增多和复杂的网络攻击的防御能力,而且还严重损害了您的安全人员的心理健康。

警报状态下的疲劳导致了许多现实世界的违规示例。 许多专业人士正在离开这个行业或考虑完全离开它。 这对整个网络安全行业来说并不是一个好兆头,因为云的采用正在上升,并且在全球范围内迫切需要这样的人才。

虽然我们不得不承认警报压力无法消除,但我们至少可以尽最大努力减少霉菌,可以这么说。 介绍和认证一个好的 CSPM 是做到这一点的一种好方法。

这个问题应该尽快解决,不允许恶化。

即将到来的网络攻击! 了解当您有文件时该怎么做 数据泄露 并防止未来的违规行为。


#什么是警觉疲劳 #4种方法来缓解它和防止疲劳

Leave a Comment

Your email address will not be published. Required fields are marked *