Cách giảm tình trạng quá tải cho đội ngũ bảo mật
Trong một nghiên cứu gần đây được Kaspersky ủy quyền cho Enterprise Strategy Group thực hiện, 70% tổ chức thừa nhận đang gặp khó khăn trong việc theo kịp khối lượng cảnh báo bảo mật.
Tình trạng quá tải đối với đội ngũ bảo mật
Cảm thấy kiệt sức vì những công việc lặp đi lặp lại, trở nên kém tập trung hơn trong công việc hoặc cảm thấy tiêu cực hay hoài nghi về công việc của mình là những triệu chứng của sự kiệt sức. Thực tế bất kỳ ai cũng đã từng trải qua điều này vào một thời điểm nào đó trong đời. Những triệu chứng này phổ biến đến mức tổ chức y tế thế giới (WHO) đã xếp chúng vào hiện tượng nghề nghiệp.
Đối với những người làm việc trong lĩnh vực bảo mật thông tin, chẳng hạn như trong trung tâm điều hành bảo mật (SOC), bản chất công việc của họ là con đường trực tiếp dẫn đến tình trạng kiệt sức. Điều này không chỉ có thể gây tổn hại cho bản thân họ mà còn cho nơi họ làm việc.
Về cơ bản, công việc này đòi hỏi ngày ngày phải tìm kiếm sự bất thường trong dữ liệu đến. Khi phát hiện được một sự bất thường thì những công việc hàng ngày sẽ có chút thay đổi vì có sự cố cần điều tra, dữ liệu cần thu thập cũng như các đánh giá rủi ro và thiệt hại. Những sự cố mạng nghiêm trọng không phổ biến ở các công ty cần có giải pháp tiên tiến bảo vệ máy chủ, máy trạm và toàn bộ cơ sở hạ tầng thông tin.
Trong một nghiên cứu gần đây được Kaspersky ủy quyền cho Enterprise Strategy Group thực hiện, 70% tổ chức thừa nhận đang gặp khó khăn trong việc theo kịp khối lượng cảnh báo bảo mật.
Theo nghiên cứu ESG, ngoài số lượng, sự đa dạng của các cảnh báo là một thách thức khác đối với 67% tổ chức. Tình huống này khiến nhà phân tích SOC khó tập trung vào các nhiệm vụ quan trọng và phức tạp hơn. 34% công ty có các nhóm an ninh mạng bị quá tải với các cảnh báo và vấn đề bảo mật khẩn cấp, họ không có đủ thời gian để cải thiện chiến lược và quy trình.
Ông Yeo Siang Tiong, Tổng Giám đốc Kaspersky Đông Nam Á cho biết: “Các chuyên gia của chúng tôi dự đoán rằng thám báo về mối đe dọa trực tuyến và tìm kiếm mối đe dọa sẽ là thành tố quan trọng trong mọi chiến lược phát triển SOC. Nhưng với bối cảnh hiện tại, nơi các nhà phân tích SOC đang sử dụng thời gian, kỹ năng và năng lượng của họ để xử lý các IoC chất lượng kém và chiến đấu với cảnh báo không cần thiết thay vì tìm kiếm những mối đe dọa phức tạp, khó phát hiện trong cơ sở hạ tầng không chỉ là cách tiếp cận không hiệu quả mà còn khiến tình trạng kiệt sức không thể tránh khỏi.
Theo quan sát của Kapersky, trong năm 2023, SOC sẽ tiếp tục đối mặt với các cuộc tấn công tinh vi, như mã độc tống tiền và chuỗi cung ứng. Điều đó có nghĩa là nhóm SOC phải sẵn sàng đối mặt với những mối đe dọa này và yếu tố thành công chính trong quá trình chuẩn bị sẽ là nâng cao toàn diện các khía cạnh cho SOC, bao gồm cả chiến đấu với tình trạng kiệt sức. Kapersky khuyến nghị các tổ chức nên nghĩ đến cách giúp cho các nhiệm vụ của SOC trở nên đa dạng hơn, có thể cân nhắc đến các giải pháp tự động hóa và sử dụng dịch vụ bên ngoài để giải quyết những vấn đề nội bộ, giúp đội ngũ SOC thoát khỏi tình trạng kiệt sức, đồng thời tăng mức độ an ninh mạng.
Các cách thức giảm tải
Để hợp lý hóa công việc của một SOC và tránh sự mệt mỏi vì cảnh báo, Kaspersky chia sẻ các cách sau:
Sắp xếp các ca làm việc trong nhóm SOC để tránh nhân viên làm việc quá sức. Đảm bảo tất cả các nhiệm vụ chính được phân bổ cho mọi người như giám sát, điều tra, quản trị kiến trúc và kỹ thuật CNTT, và quản lý SOC tổng thể.
Các biện pháp như điều chuyển và luân chuyển nội bộ cũng như tự động hóa các hoạt động thông thường và thuê chuyên gia giám sát dữ liệu bên ngoài có thể giúp giải quyết tình trạng nhân viên quá tải, điều có thể dẫn đến tình trạng kiệt sức của SOC.
Sử dụng dịch vụ thám báo về mối đe dọa đã được chứng minh cho phép tích hợp thông tin thám báo mà máy có thể đọc được vào các biện pháp kiểm soát bảo mật hiện có, chẳng hạn như hệ thống SIEM, để tự động hóa quy trình xử lý ban đầu và tạo đủ ngữ cảnh để quyết định xem có nên điều tra cảnh báo ngay lập tức hay không.
Để giúp giải phóng SOC khỏi các tác vụ xử lý cảnh báo thông thường, hãy sử dụng dịch vụ phát hiện và phản hồi được quản lý đã được chứng minh, như nền tảng phát hiện và phản hồi mở rộng của Kaspersky (Kaspersky Extended Detection and Response - XDR), một công nghệ bảo mật nhiều lớp giúp bảo vệ cơ sở hạ tầng IT. XDR được coi là phiên bản nâng cao hơn của phát hiện và phản hồi điểm cuối (EDR).
Trong khi EDR tập trung vào các điểm cuối, XDR mở rộng hơn vào nhiều điểm kiểm soát bảo mật để phát hiện các mối đe dọa nhanh hơn bằng cách sử dụng phân tích chuyên sâu và tự động hóa./.
