По данным нового исследования, проведенного компанией Trend Micro, сотрудники центров обеспечения безопасности (SOC) и отделов ИБ подвергаются стрессу даже в нерабочее время. Одной из основных причин называется слишком большое количество предупреждений, генерируемых системами кибербезопасности.
В ходе исследования было опрошено 2303 руководителя, ответственных за отделы ИБ и SOC, в компаниях разного размера из разных отраслей. В ходе опроса 70% респондентов заявили, что на их жизнь и эмоциональное состояние вне работы влияет нагрузка, связанная с обработкой предупреждений о потенциальных угрозах кибербезопасности, и 51% опрошенных считает, что их команда специалистов ИБ получает слишком большое количество предупреждений. В результате 55% заявили, что не совсем уверены в своей способности правильно расставлять приоритеты и реагировать на полученные от системы уведомления. В этой связи не кажется удивительным, что команды тратят до 27% своего времени на отработку ложных срабатываний систем ИБ.
Такие выводы подтверждает и недавнее исследование Forrester «Адаптируйся или умри: о столкновении подхода XDR с традиционными SIEM и SOAR» ('Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR') , в котором указано, что «отделы ИБ явно укомплектованы недостаточно для того, чтобы обеспечить эффективное реагирование на инциденты, при этом количество атак постоянно растет. Центры обеспечения безопасности нуждаются в более эффективных методах обнаружения и реагирования; таким образом системы расширенного обнаружения и реагирования на угрозы (XDR) обеспечивают совершенно иной подход по сравнению с другими представленными на рынке инструментами».
Из-за большого количества предупреждений многие менеджеры SOC не могут расслабиться вне работы и срывают раздражение на друзьях и домашних. В рабочее время они отключают предупреждения (43% делают это время от времени или достаточно часто), покидают свое рабочее место (43%), надеются, что с предупреждением разберётся другой член команды (50%), или полностью игнорируют предупреждения (40%).
«Мы привыкли к тому, что в описании систем кибербезопасности речь идет о людях, процессах и технологиях, — отметила доктор Виктория Бейнс (Victoria Baines), автор и исследователь в сфере кибербезопасности. — Однако слишком часто людей изображают как часть проблемы или уязвимость, а не как актив, и технический аспект защиты оказывается важнее человеческих возможностей. Нам пора возобновить наши инвестиции в человеческие ресурсы в сфере ИБ. Это означает, что мы должны позаботиться о своих коллегах и их командах и предоставить им инструменты, которые помогут сосредоточиться на задачах, с которыми лучше всего справляются именно люди».
Около 74% респондентов уже сталкивались с успешными кибератаками или будут вынуждены иметь с ними дело в течение года, говорится в исследовании. Предполагаемые средние убытки от каждой такой атаки при этом оцениваются в 235 тыс. долл., а их последствия могут быть катастрофическими.
«Члены команд SOC играют решающую роль в защите инфраструктуры от киберугроз, ведь именно они должны получать предупреждения о потенциальных атаках и расследовать инциденты, чтобы избежать негативных для организации последствий. Но, как показывает это исследование, такое давление иногда приводит к крайне высокому уровню стресса, — отметил Бхарат Мистри (Bharat Mistry), технический директор Trend Micro. — Чтобы не потерять лучших сотрудников из-за их выгорания, организации должны искать более совершенные платформы для обнаружения угроз и реагирования на них. Эти инструменты помогут грамотно соотносить данные из различных источников и расставлять приоритеты при расследовании инцидентов. Такой подход не только повысит общий уровень защищённости системы, но и улучшит продуктивность и уровень удовлетворённости работой у сотрудников ИБ и SOC».
Программное решение Trend Micro Vision One умеет определять приоритетность предупреждений и связывать их данные между собой за счёт того, что обрабатывает информацию, получаемую из всей ИТ-инфраструктуры организации. Благодаря этому сотрудники получают возможность более рационально тратить своё рабочее время. Меньшее количество предупреждений и больший объем полезной информации позволяют им вернуть в рабочий процесс баланс и снизить общий уровень стресса, связанного с вопросами кибербезопасности.