Theo công ty bảo mật Vectra AI, các nhóm hoạt động bảo mật (SecOps) ngày nay có nhiệm vụ vụ bảo vệ người dùng khỏi các cuộc tấn công mạng ngày càng có nhịp độ nhanh và tinh vi.

Tuy nhiên, sự phức tạp của con người khiến quy trình và công nghệ mà họ có thể sử dụng trong việc phòng thủ mạng ngày càng trở nên không bền vững. Bề mặt tấn công ngày càng mở rộng cùng với các phương pháp tấn công đang phát triển khiến cho khối lượng công việc của các nhà phân tích Trung tâm điều hành an ninh (Security Operation Center - SOC) ngày càng tăng. Điều này đang trở thành rào cản cho các nhóm bảo mật.

Chi phí cao của phân loại cảnh báo thủ công

Ở Hoa Kỳ, việc phân loại cảnh báo thủ công tiêu tốn 3,3 tỷ USD hàng năm và các nhà phân tích bảo mật được giao nhiệm vụ lớn là phát hiện, điều tra, ứng phó nhanh chóng và hiệu quả nhất với các mối đe dọa trong khi bề mặt tấn công ngày càng mở rộng với hàng nghìn cảnh báo bảo mật hàng ngày.

Kết quả nghiên cứu cho thấy, 63% người được hỏi phản hồi cho biết quy mô bề mặt tấn công của họ đã tăng lên trong 3 năm qua. Trung bình, các nhóm SOC nhận được 4.484 cảnh báo hàng ngày và mất gần 3 giờ/ngày để phân loại các cảnh báo theo cách thủ công. Các nhà phân tích bảo mật không thể xử lý hết 67% cảnh báo hàng ngày nhận được với 83% báo cáo rằng cảnh báo chỉ là giả và không đáng để họ dành thời gian.

Thiếu tầm nhìn khiến doanh nghiệp (DN) gặp rủi ro

Mặc dù phần lớn các nhà phân tích SOC báo cáo rằng các công cụ của họ có hiệu quả, nhưng các “điểm mù” và một lượng lớn cảnh báo giả đang gây cản trở các DN và các nhóm SOC ngăn chặn thành công các rủi ro mạng.

Do vậy, nếu không có khả năng hiển thị trên toàn bộ cơ sở hạ tầng công nghệ thông tin (CNTT) thì các tổ chức sẽ không thể xác định được những dấu hiệu phổ biến nhất của một cuộc tấn công như chuyển động ngang, leo thang đặc quyền và tấn công hijacking (kiểu tấn công chiếm đoạt phiên làm việc của người dùng) trên đám mây.

Nghiên cứu cũng cho thấy 97% các nhà phân tích SOC lo lắng về việc bỏ lỡ một sự kiện bảo mật có liên quan vì nó bị “chôn vùi” dưới vô số cảnh báo. Tuy nhiên, đại đa số cho rằng các công cụ của họ nhìn chung có hiệu quả.

41% tin rằng tình trạng quá tải cảnh báo là bình thường. 38% cho rằng các công cụ bảo mật được sử dụng chỉ là để đáp ứng các yêu cầu tuân thủ và 47% mong muốn các thành viên trong nhóm CNTT tham khảo ý kiến của họ trước khi đầu tư vào các sản phẩm mới.

Các nhà phân tích bảo mật dự tính thay đổi nghề nghiệp

Mặc dù việc áp dụng AI và các công cụ tự động hóa ngày càng tăng nhưng ngành bảo mật vẫn cần một số lượng đáng kể nhân viên để biên dịch dữ liệu, tiến hành điều tra và thực hiện hành động khắc phục dựa trên thông tin tình báo mà họ được cung cấp.

Đối mặt với tình trạng quá tải cảnh báo và các nhiệm vụ nhàm chán, lặp đi lặp lại, 2/3 các nhà phân tích bảo mật cho biết họ đang cân nhắc hoặc sẽ rời bỏ công việc của mình. Con số thống kê cho thấy điều này có khả năng gây ra ảnh hưởng lâu dài đối với ngành.

Ngoài ra, mặc dù 74% số người được hỏi cho rằng công việc của họ phù hợp với mong đợi, nhưng 67% đang cân nhắc rời bỏ hoặc chủ động rời bỏ công việc của họ.

Trong số các nhà phân tích đang cân nhắc rời bỏ hoặc chủ động rời bỏ vai trò của mình, 34% cho rằng họ không có các công cụ cần thiết để đảm bảo an toàn cho tổ chức của họ. 55% các nhà phân tích cho rằng họ bận rộn đến mức cảm thấy như đang làm công việc của nhiều người và 52% tin rằng làm việc trong lĩnh vực bảo mật không phải là một lựa chọn nghề nghiệp lâu dài và khả thi.

Kevin Kennedy, Phó Chủ tịch cấp cao của Vectra AI cho biết: “Khi các DN chuyển sang các môi trường kết hợp và đa đám mây thì các nhóm bảo mật phải liên tục đối mặt với nhiều bề mặt tấn công, nhiều phương thức tấn công để trốn tránh các biện pháp phòng thủ hơn, nhiều sự phức tạp và nhiều cuộc tấn công kết hợp hơn”.

Cách tiếp cận để phát hiện mối đe dọa hiện nay đã không còn hiệu quả và những phát hiện của báo cáo này đã chứng minh sự dư thừa của các công cụ trong phát hiện để các nhà phân tích SOC có thể quản lý thành công. Thay vào đó nó tạo ra một môi trường lý tưởng cho những kẻ tấn công xâm nhập.

Đã đến lúc các nhà cung cấp dịch vụ bảo mật phải chịu trách nhiệm về tính hiệu quả của tín hiệu của họ. Tín hiệu về mối đe dọa càng hiệu quả thì SOC càng trở nên linh hoạt và hiệu quả hơn, ông Kevin Kenedy cho hay./.

Hạnh Tâm